全市民46万人の住所など情報入ったUSBメモリー紛失…“飲食店に寄って帰宅”で鞄紛失
コメント
選択しているユーザー
記事を読む限り、紛失して給付が出来なくなったわけではないようだから、データのバックアップはあるんでしょうね。
USB・CD-R・フロッピーディスクのような物理媒体でなく、ネットワーク回線でのデータの持ち運びは出来なかったんでしょうか?
物理媒体だと紛失・盗難のリスクは拭えないですよね。もしもの時に備えてデータの暗号化をするとか…。
元IT監査人だったのでこういうニュースを見る度に、単純にUSBはないわーとか尼崎市や委託業者を非難するよりも、どうやったら情報漏洩のリスクを防止や低減出来たか考えてしまいます。
<追記>
他報道によると、
① 漏洩したのはオリジナルデータを複製してUSBにコピーしたもの。とりあえずはデータ自体は無くならなくて良かったですね。
② USBメモリにはパスワードロックがかけられていて、さらにデータ暗号化がかけられていた。ここは良い👍。委託業者のUSBメモリの仕様ですかね。
③ 本来データの持ち出しには申請が必要で、持ち出す際には職員の同席が必要だったがそれが守られなかった。🙅♂️USBメモリを紛失したのは委託業者の再委託業者。孫請まで来るとガバナンスやモラルの徹底は期待出来ないかも。
そもそもUSBメモリでデータを持ち運びしなければならない時点で、尼崎市のITインフラが貧相なものだったのでしょう。このような状況で出来る事を考えると、市役所の全ての端末のUSBポートをデフォルトで使えなくして、ポートの開放が必要な際には申請を上げさせる等、ガチガチのガバナンスプロセスを敷くしかないかと。
注目のコメント
本業目線で行くと
・機微情報をUSBに入れる(実は無許可だった?)
・さらに持ち出す(無許可だった)
・そのまま飲食店(キャバか?)に行く、恐らく酒も飲んだろう
完全アウトです。
この業者とそのスタッフは完全に機微情報を取り扱う適性、資格がない。
もちろんこの業務を許可した尼崎市の責任も大。
再発防止策程度では責任を取れませんね。契約解除ものでしょう。
そもそも住基データなど絶対に紛失の許されないデータの取り扱いは現場で処理させるかセキュリティ度を最大にしたオンラインストレージ上での運用にすべきです。市も業者も一体何を考えてるのか意味不明です。
<追記>
他報道で持ち出しは許可性だったが当事者は無許可で持ち出した、とありました。
全くもって最低の行為ですが、無許可でもUSBにダウンロード出来、簡単に持ち出せるシステムや運用にもかなりの落ち度がありますね。情報管理において全ての面でアウトと言っても過言ではなさそうです。市民の情報をUSBにコピーできる、データを暗号化してるか不明である、外部事業者がそれを外に持ち出せる(この感じだと自宅のPCにもコピーできそう)、データを持ち出した人間の管理ができていない等々。
普通に考えると、行政が個人情報に関わる業務を委託している以上、ISMSなりPマークなりを取得している業者のはずですが、そこで規程されたことがまったく現場で実践されていないという意味において、何を基準に委託業者を選定すればいいのかという話にもなりかねません。この担当者・委託業者への批判をしたくなるのは当然の心理だと思いますが、
こういうのって批判しすぎると「正直に報告しても割りに合わない。黙っておくのがうまい方法」となって、紛失した事実自体がどんどん隠蔽されるようになっていきます。
結果、紛失した事実には誰も気づかず、このデータを入手した悪徳業者だけが利益を得る社会が出来上がり。もちろん、現場の改善も進みません。
なので、こういう事態が起きたときには、仕組みを憎んで人を憎まず。
建設的に理性的に、負の感情を抜きにして「どうしたら再発しない仕組みを構築できるか」だけにエネルギーを注いで議論すべきです。