MSレポート NO.11

掲載されました
no11img
ここでいう情報セキュリティマネジメントシステム(ISMS)とはISO27001:2005版に基づいています。

S市の内部資料、ネット上に情報流出 ~職員が私有パソコンで作業~
S市の男性職員の私有パソコンからファイル交換ソフト「ウィニー」※を介して内部資料がインターネット上に流出していたことが5月8日、分かった。市によると、市民の個人情報は含まれていないという。流出したのは6月号広報誌に掲載される原稿の一部で、市からのお知らせ情報8ページ分。職員はゴールデンウイーク期間中、制作中の原稿データを自宅に持ち帰り、私有パソコンで作業。以前にこのパソコンでウィニーを使用していたという。
同市では、個人情報の持ち出しを規定で禁止、内部資料の持ち出しについては各部署の上司の判断で対応している。この職員は上司に無断で内部資料を持ち出したという。6日昼ごろ、別の市職員がネット掲示板に情報が掲載されているのを見つけ、情報流出が発覚した。市総務企画部は、内部資料についても基準を定めるなどセキュリティを徹底し、全職員に指導をし直すとしている。(2008年5月9日付新聞記事より)
※「ウィニー」…日本で開発されたファイル交換ソフト※1の一つ。高い匿名性と、独自のP2P型※2匿名掲示板システムが特徴。2006年以降、ウィニーを介した情報漏洩事件が多発した。
※1「ファイル交換ソフト」…インターネットを介して不特定多数のコンピュータの間でファイルを共有するソフト。著作権侵害をはじめとする違法な情報流通の温床になっているとして非難の対象となっている。
※2「P2P型」…不特定多数のコンピュータが相互に接続され、直接ファイルなどの情報を送受信するインターネットの利用形態。

「仕事を自宅に持ち帰る」・・・皆さんも一度は経験があることではないでしょうか。今やパソコンでの作業は当たり前の時代になりました。今回のトラブルは、自宅のパソコンで仕事をすることの怖さに改めて気づかされた事例です。
そこで今回は、組織の大切な情報を安全に守るためにはどうしたらいいのかを、ISO27001/ISMS(情報セキュリティマネジメントシステム)の視点から考えてみたいと思います。

※= ISMSとは =
ISMSとは、Information Security Management System=情報セキュリティマネジメントシステムの略で、企業などの組織が情報の流出、紛失を防ぎ、適切に管理するために構築する、総括的な枠組み。つまり、組織が重要と考える「情報」に関して機密を守り、誤った使用や改ざんを防ぎ、必要な時に安全確実に利用できるようにしておくこと。この状態を実現し続ける仕組み・ルールをISMSといいます。
以下、ISMSは、その「情報セキュリティマネジメントシステム」が示している要求事項の意訳です。

組織の大切な情報を安全に守るためには、最初に、組織内にある情報をすべて洗い出す必要があります。そしてそれら一つひとつの情報が喪失した場合の影響の度合いを判定します。また、漏れる、壊れるなど、情報が脅かされる具体的な事例(脅威)を挙げます。さらに情報ごとに脅威が発生する可能性を評価して、その結果リスクの大きい情報については、管理策・対応策を決めます。
今回の事例では、「広報誌に掲載する情報」は、本来発行される前に外部に公表されるべきではない大切な情報といえます。そう考えると、「構外に内部資料(情報)を持ち出すことで、情報が漏れるかもしれない」というリスクに対する管理策が必要だったのではないでしょうか。

ISMS組織は、組織内の情報資産を特定し、リスクを洗い出すこと。また、これらの情報資産に対して価値、脅威、脅威発生の可能性、脅威が発生した場合の影響度などの観点からリスク対策を実施すること。

また、どんなセキュリティ対策を実施していても、情報を取り扱うのは“人”です。つまり情報を守るのは人ですが、漏らすのも人といえます。したがって、情報の管理に対する適切な意識の向上のためには、従業員だけでなく、パートなど雇用形態に関係なく、組織の情報を取り扱うすべての人に対して、繰り返し教育・訓練を実施していく必要があります。
今回は、「ウィニー」の危険性が問題視されている中で、「ウィニー」を使用したことのある自分のパソコンで作業をしたことは、自覚がないと言われても仕方のない行為のように思います。また、上司に無断で構外に情報を持ち出したということは、「この情報くらい・・」という安易な気持ちがあったのではないでしょうか。

ISMS組織は、組織の情報管理(ISMS)に影響のある業務に携わるすべての人が、その目的、重要性、自分の役割を認識できるようにし、人による間違いの発生リスクを低減できるようにすること。また、装置や情報、ソフトウェアは、許可なしでは、構外に持ち出してはならない。

組織の情報を構外に持ち出して仕事をすることがある場合(在宅勤務、委託先での作業など)は、情報を守るための注意点やルールを明確にする必要があると思います。例えば、許可される作業、適切な通信装置の準備、家族や来訪者によるパソコン等へのアクセスに関する手引き等を明確にして、周知する必要があるでしょう。
今回の場合であれば、広報誌に掲載する情報は構外に持ち出し可能かどうか、もし可能であれば、作業するパソコンは許可されているのか・・・など、構外で作業する場合のルールが明確でなかったように思います。

ISMS・組織の要員が自分の所属する組織外で作業するときは、そのための方針、運用計画及び手順を策定し、実施しなければならない。
・組織の情報媒体(文書、CD、USB・・・)の取扱いや保管方法の手順を決めて確実に守ること。

 情報を守るのも、漏らすのも“人”!?
同市では、個人情報の取り扱いについては、管理策が決められていたようですが、広報誌の原稿など、日常業務で取り扱う情報(内部資料)は管理の対象か否か、曖昧な面があったのではないでしょうか。つまり、管理しなければいけない情報は何かを明確に定めていなかったことが今回のトラブルの原因のように思います。
「休日に仕事をする」という善意的な行動が、結局はアダになってしまった今回のトラブル。日頃は意識することの少ない情報ですが、実はその取り扱いに対する知識や考え方は人により違っています。だからこそ、情報を取り扱っている人の意識やモラルは重要になります。また、適切に情報を管理するための、組織における共通のルール(仕組み)が必要と思います。
情報といっても様々な情報があります。個人情報はもちろん、顧客情報や契約情報、製品情報やプロジェクト情報、情報システム(ハードウェア、ソフトウェア、ネットワーク)など、広範囲にわたりますが、組織にとって重要で価値のある情報は、組織の財産といえます。その財産を取り扱う人のモラルを高めることは組織の大切な役割ではないでしょうか。

  • このエントリーをはてなブックマークに追加
  • follow us in feedly
PAGE TOP