執筆原稿
適切な教育訓練が施されていれば個人情報の二次流出は防げたはず 鳥取県公式Web「とりネット」の個人情報流出とその後
| 掲載誌 | 有料メールマガジン「Scan Security Management(2003年度)(バガボンド)」 今注目のネットワークにまつわる規格・制度をわかりやすく解説! |
|---|---|
| 掲載年月 | 2003年9月30日 Vol.028 |
| 執筆者 | 井上きよみ |
| 記事の解説 | インシデントのマンスリーレポートとして |
鳥取県の公式Webサイト「とりネット」で、誤って個人情報が掲載され、最長9ヶ月間放置されたままとなっていた。さらに検索サイトのキャッシュに登録され、結果的に個人情報が二次流出してしまった。しかし、現在までに情報流出による被害報告のないのが不幸中の幸いと言えよう。
発生の経緯とその後の対応
この事件に関し、発覚からその後の対応を、Webへの情報掲載を担当している鳥取県総務部広報課のコメントを中心にまとめた。
個人情報流出の発覚から対応までの主な経緯
7月31日
- 外部の者からの指摘を受け、個人情報が掲示されいることを確認
- 直ちにWebから削除
- 「国民文化祭」のExcelファイルで、複数のワークシートから成りその中に応募者全員(32都道府県の89名)の住所や電話番号が含まれていた
8月1日
- 他の公開中情報について個人情報が掲示されていないか確認
- 1ファイルを確認し、Webから削除「韓国義勇消防隊」のWordファイルで韓国人の訪日団員39人の個人情報が含まれていた
- これら2件に関し、記者発表。Webにも謝罪を掲載
- 関係者へそれぞれ電話で謝罪するとともに謝罪状を郵送
8月5日
- 検索サイトGoogleにキャッシュ情報が残っていることを確認
- 財団法人鳥取県情報センターに依頼し、サイト管理者権限でその情報を削除
県政情報がWebに掲載されるまで
県の内部情報である個人情報が掲載されていたExcel、Wordファイルはいずれも庁内LANのノーツデータベース「県政情報コーナー」(県政記者クラブへ資料提供を行うデータベース)をインターネットで公開しているものであった。
これらのファイルは、以下の段階を経てWebに公開される。
- 記者資料提供したい部局が原案(ファイル)作成
- 総務部広報課において内容審査、修正指示
- 資料提供と同時に広報課職員がホームページ上に公開の手続き
広報課4名のそれぞれの職員には対応部局が割り当てられており、内容審査は1部局1名体制で実施される。その後、課長または課長補佐と協議する。修正指示を出した場合は、該当部局の担当者が指示どおり修正されているかなどを確認した後、Webに公開する。
また、これとは別に鳥取県では、わかりやすい資料提供ができるように「パブリシティ・マニュアル」を独自に作成し、内容審査で用いている。そして、これをもとに教育訓練も実施している。
個人情報の含まれたファイルが誤って掲載されてしまった理由
一見、大した問題はないと感じるチェック体制だが、そこに落とし穴があった。結局、個人情報が掲載されたのは、次のような見落としがあったと考えられている。
- Excelファイル(行事応募者の個人情報) 公開手続きを行った担当者が、1ファイル内に複数のワークシートがあることに気がつかなかった。
- Wordファイル(韓国人の訪日団員の個人情報) 内容審査時点で個人情報削除するよう修正指示をしていたが、ファイルが修正されていないのに気づかないまま担当者が公開してしまった。
その後、長期間放置された理由
掲載したページの性質から、一度公開してしまうと再び担当者が見返すことがない。つまり、公開後のチェック体制がないため、結果的に外部からの指摘があるまで気づかなかったわけである。
検索サイト(Google)へ二次流出した情報削除の遅れ
広報課にインターネットに精通した職員がおらず、検索サイトへの単純な削除依頼メールにとどまっていた。数日後、サイトの管理者権限で削除依頼できることが判明し、サーバ管理者である財団法人鳥取県情報センターに依頼した。
個人情報流出の再発防止に向けて
「県の保有する個人情報の適正な管理の徹底について」という総務部長通知を全職員を対象に発出するとともに、県庁内各会議等で今回の事例を説明し、注意喚起を行った。広報課内でも、再発防止に向け、2つの具体的対策を講じた。
- 担当者のみで実施していた公開時のチェックを、課長くは課長補佐が必ずチェックする二重チェック体制とした。
- 完全にテキスト化できる情報は、公開に当たりファイルの添付をやめることとした。
- 担当部局が提供する情報に不必要なものがないか、個人情報の取扱について従前以上にチェックしているとのことである。
この事件により、鳥取県はgoogleなど検索サイトにキャッシュ情報が残っている段階での記者発表は、情報の二次流出を招きかねないとの教訓を得た。そして、専門的知識を持った職員養成の必要性を強く感じたとも語っている。
早急・適切なインシデント対応には教育が必須
個人情報流出が発覚した翌日に、その事実を記者発表し、Webへの謝罪掲載にとどまらず、該当者に対し直接、電話・書面にて告知・謝罪した点は、特に大きく評価できる。
それだけにネットにおける情報の広がりと速度が実社会と決定的に異なる、ネット特有の危険性に着目できなかったことが、かえって事態を大きくしてしまい、残念である。リスク管理における最初の段階、つまり「リスクの洗い出し」から当該事項が抜け落ちていたのだが、その根本はセキュリティに関する知識不足に他ならない。
この重大事件を機に、必要なセキュリティ教育が早急に実施され、問題が問題として認識され、体制として整備されることを期待したい。
EDIT
カテゴリ:
トラックバック(0)
このブログ記事を参照しているブログ一覧: 適切な教育訓練が施されていれば個人情報の二次流出は防げたはず 鳥取県公式Web「とりネット」の個人情報流出とその後
このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/32
コメントする