個人情報保護体制を認証する団体が情報漏えいしていたということでニュースになっていました。
プライバシーマークという認証制度があります。個人情報保護体制を審査され、適合していればこのマークを使用できるというもの。
自分の勤め先でも取れたらステータスになるかなと思ってちょろっとだけ調べたことがあるのですが、資料を用意するのがクソめんどくさそうなのでそれ以来関心を向けるのを止めました。今は上層部がこの認証の存在を知って取得を命じてこないかを心配しています。
認証を受けた団体が漏えいしていた事案は過去にもあったようですが、今回は認証する側の落ち度で漏えいしていたとのこと。
ニュース記事の内容
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。
8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。
その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年10月~2023年7月までに実施したPマーク審査の関連資料と、05~11年まで協会と契約していた審査員名簿などが少なくとも20年7月~23年8月までネット上で閲覧可能な状態となっていた。この期間中、少なくとも3種類のランサムウェア攻撃を受け、暗号化されたファイルがあることも確認したという。
審査関連情報には、一部担当者のメールアドレスが少なくとも3500件分の他、事業者名や所在地、電話番号なども含まれていた。なお、銀行口座番号やクレジットカード番号などは含まれていなかったという。審査員名簿には、JIPDEC642人、日本印刷産業連合会27人の氏名やメールアドレス、電話番号、住所といった情報が含まれていた。銀行口座番号やカード番号などは含んでいなかった。
JIPDECでは事前許可を取れば、個人所有PCでのPマーク審査の一部業務を行うことを認めていた。申請の際には、PCの機種やOSのバージョン、ウイルス対策などの作業環境を報告させていたが、該当審査員は届けていない機器を複数使っていた。今回の件の発覚後、該当審査員への審査業務の委託を停止し、11月9日付で審査員資格を取り消した。
~後略~
https://www.itmedia.co.jp/news/articles/2311/13/news133.html
まず漏えいを発見したPマーク取得事業者は血の気が引いたでしょうね。ネット上に本来あるはずがない情報が見つかるというのは相当気持ち悪いです。自社の責任も疑いますしパニックになりそうです。
悪かったポイントを挙げます。
事前許可を得ていない端末だった
最も大きな引き金となったのは個人所有PCの使用です。事前許可で一部業務が可能だったとのことですが、今回は申請すらされていない未許可端末だったようです。
BYODの考え方もあるので個人所有PCの使用が絶対悪とは言えませんが、個人情報保護を生業とする団体ですから端末は管理下に置いたものに制限すべきでしたね。
ちなみに僕の会社ではSaaSといったWeb上でできる業務については個人所有端末でも可ですが、VPNを使用した社内サーバーへのアクセスは会社所有端末からに制限しています。そもそもVPNが事前共有キーでのアクセスだから設定方法を教えたくない。
個人所有PCにデータが残ったままだった
先ほど僕の会社ではWeb上でできるものは個人所有端末でもOKと言いましたが、ダウンロードしたデータの取り扱いはかなり怖いなと思います。
SaaS上の情報は不正アクセスさえ防げばある程度安全ですが、各端末にダウンロードされたものについては端末のセキュリティ状況に左右されてしまうからです。
また、データが残っていたり復元可能な状況でリサイクルショップに売却されると、それを買った第三者がデータを手に入れてしまいます。過去にも中古HDDから情報漏えいしたというニュースがありましたよね。
NASがインターネットで公開状態だった
業務で使用したデータはNASに入れていたようで、なんとこいつがインターネットで閲覧できる状態だったとのことです。
どういう風に閲覧できる状態だったのかわからないのですが、インターネット経由でリモートアクセス可能な機種があるようですので、おそらくこの機能を悪用したのではないかと思います。
明日は我が身
といった感じで個人情報保護の体制を審査・認証する機関のセキュリティ体制がガバガバだったというお話でした。というか3種類のランサムウェア攻撃受けてるとか脆弱すぎでしょw
でも、セキュリティに一家言あるような組織であっても破られるのがセキュリティです。このニュースをダサいと思わず、セキュリティにうるさそうなところですら情報漏えいしていることに緊張すべきです。明日は我が身です。
あと最も恐ろしいのは人的脅威ということもよくわかりました。セキュリティに関する規程見直そっかな……。
コメント