日本情報経済社会推進協会(JIPDEC)が今年8月に発生した情報漏洩事件の
顛末と対策を発表しました。
JIPDECってなに?というと、
Pマーク(プライバシーマーク)やISMSの認証を行っていいる団体です。
いわばキュリティ対策がきちんとされているかチェックをする機関ですね。
そんな機関が情報漏洩を起こしてしまったから大変です。
発表された文章にも、
「プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め」
と書かれており、事の重大さを当事者も理解している様子です。
今回の漏洩の内容としては、
・審査員の個人のNASに保存していた書類が誰でも見れる設定になっていた
ということに始まり、
・個人端末の使用は申請で許可しているものの、申請されていない機器も使用していた
・作業終了後は使用したファイルを削除するルールだが、削除していなかった
という、項目が要因として挙げられています。
本件に対する対策として、
”個人PCは使わずに貸出PCでのみ作業をする”
ということを打ち出しています。
NASの公開設定もちゃんとできない人が審査してたのかというのはおいといて(苦笑)
”BYODをやめて貸与PCにする”
という生産性的には後退する状況となりました。
今後、審査員の人は自分の作業用PCと審査作業用のPCの2台持ちとなるわけです。
おそらく貸与PCって薄いスタイリッシュなノートじゃなくて、
ぶ厚いテンキー付きの重たいノートの可能性が高いので、
それを持ち運ぶかと思うとちょっと同情します。
また、PCを分けるということは、PC間のデータ授受についても当然取り決めができるわけで、
普段やり取りしているメールの添付ファイルを作業用PCにどうやって持ってくるのか?
という問題が発生します。
”USBメモリ禁止、クラウドストレージ禁止”となった場合、
データを受け渡すにはルールを破るしかなくなります。
業務では必要なことが、ルールを破らないとできない。
これはセキュリティとして破綻しています。
”情報漏洩したから貸与PCへ切り替える”
ある意味正しくある意味そうじゃない気がします。
”BYODの環境のままセキュリティを高めて生産性を維持する”
JIPDECにはそんなチャレンジをして欲しかったと思います。
