V.S.A. III

こんにちは、五十嵐智です。新年早々、指紋認証をすり抜けて再入国したという事件や、PS3 を 200台使ってのMD5 のコリジョンの生成などの報告から始まっていますが、独立行政法人情報処理推進機構(IPA)からの情報漏えい事故がニュース欄を賑わせているようです。

情報処理推進機構

IPA職員の私物パソコンによる情報流出について

2009年1月5日更新
2009年1月4日掲載

独立行政法人情報処理推進機構

　当機構職員が自宅において保有する私物のパソコンでファイル交換ソフトを使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したという事実を確認しました。
　これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られます。他方、これまでの調査では、当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っているところです。
　 当機構は、情報セキュリティ対策を推進しており、ファイル交換ソフトの利用の危険性についてもかねてから注意喚起を行ってきたところです。今般このような 事態が発生したことについて、陳謝申し上げるとともに、職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するなど、再発の防止に全力を尽くして まいります。

• IPA職員がファイル交換ソフトでウイルスに感染、写真など流出
• IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用：Enterprise：RBB TODAY (ブロードバンド情報サイト) 2009/01/04
• ファイル交換ソフトを使用：IPA職員のPCから業務情報などが漏えい - ITmedia エンタープライズ
• 「おそらくShare」　IPA職員が情報流出に使ったファイル交換ソフト:ニュース - CNET Japan
• IPA職員がまさかの情報流出 - 「Share」の可能性も「現在本人に確認中」 | ネット | マイコミジャーナル
• 「ウイルス注意喚起」独立法人職員のPCから個人データ流出 : 日刊サイゾー

総じてどれも情報セキュリティを推進する中心のはずの IPA の職員が！というような記述になっているようです。この話題を取り上げたブログなどもほとんどが IPA をこき下ろすようなものばかりとなっていて、正直、うんざりしました。

この問題の重要な点は、情報セキュリティを推進している IPA でさえ、内部統制が難しいということです。特に「自宅のPC」はくせものです。私物であるため、そこにまで内部統制を行えるのか、ということは良く考えてみる必要があります。

IPA でさえガバナンス(内部統制)を効かせるのが難しいということは、一般企業にあってはもっと難しいと考えなければなりません。従業員の情報セキュリティ教育に力を入れている企業は良く見かけますが、そこに加えて労働環境にまで踏み込んでいる企業は少ないでしょう。

ここでいう労働環境とは、業務上のデータを自宅に持ち帰らざるを得ないような環境の事です。なぜ自宅に持ち帰らなければならなかったのかという点に一歩踏み込んで考えなければなりません。

残業が当たり前、自宅で作業しなければ期日に間に合わない、といった現場の状況を把握せず、単に教育だけで内部統制ができていると勘違いしている経営者はいらっしゃらないでしょうか。

情報セキュリティの知識と能力を与えてリテラシを向上させることは大切なことです。しかし、それだけでは内部統制は成り立たないのです。現場の状況がどのようになっているのかという事をしっかりと把握し、労働環境を改善していく取り組みを併せて行って、初めて効力を発揮します。

IPA の事故を非難するばかりではなく、自社を振り返って、この事故を他山の石としてほしいと思います。

カテゴリ：情報セキュリティ , 雑感

<< 恭賀新年 2009 | Main | IPA、情報セキュリティのRSSポータルサイトを公開 >>