株式会社インターネットイニシアティブ(東京都千代田区、略称:IIJ)は、9月14日付で、自社の顧客情報の含まれたノートパソコンが紛失されたと発表しました。昨今、こういう発表が相次いでますので、コメントしたいと思います。
✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!
IIJからの公式発表によると、発生したのは9月6日の深夜23時で、JR山手線の電車内での紛失とのこと。
そのノートパソコンに含まれていた個人情報は、54社分の見積書、提案書など法人顧客の情報であり、ハードディスク全体の暗号化と、起動時のパスワード(BIOSパスワードのことか?詳細不明です)と、ログイン時のパスワードが設定されていたとのことです。
IIJとしては、暗号化、パスワード設定などの自社基準でのセキュリティ対策が施されているので、不正利用の事実は今のところないとし、該当顧客へのお詫びと報告を行うと同時に、情報セキュリティ担当役員を責任者とする対策本部を設置し、今回の対策と再発防止策を実行するとしています。
(私のコメント)
■今回の発表から推測すると、
・社員が酔っ払っていたか、寝ていて、
・盗難されたか、紛失したか
上記の組み合わせのいずれかにより発生したものと思われます。
ありがちなパターンです。
■また、ハードディスク全体の暗号化と、適切なパスワード設定が行われていたのであれば、「高度な暗号化等の秘匿化が施されている場合」にあたると考えることが可能であり、経済産業省の現在のガイドラインに従えば、必ずしも公表する必要はないとも考えられます。
ただし、同社は電気通信事業者であるため、総務省の電機通信事業者向けガイドラインに従う必要があります。電気通信事業者向けガイドラインには、経済産業省のガイドラインのようなはっきりとした記述はありませんので、厳密に解釈すれば今回の事件も公表が求められるということになります。
■今回の発表では見積書、提案書などとしか公表されていませんが、これが通常の業務用パソコンであると考えた場合、通常はメールソフトが使用されているはずです。これについて全く記述がないのは不思議です。
メールソフトの受信簿に記録されている過去の通信履歴には、個人情報が大量に含まれています。またほとんどが私信ですので、個人の思想信条をあらわしていると認識できるものが含まれる可能性もあります。営業用資料などよりもよほど重要なものであると私は認識しています。
一般的にメールソフトの受信簿が流出したという発表はほとんど目にしません。全く無視をしているかのようです。しかし、私は、メールソフトの受信簿は、センシティブ情報を含む、重要な個人情報であり、ノートパソコンの紛失時には、きちんとそれも含めて発表してほしいと思っています。
-------------------------------
ですから、基本的にはノートパソコンの紛失で、含まれる個人情報は数十件の場合には、大騒ぎするほどではないのではないかと思いながらも、メール受信簿の方にむしろ注意をおいてほしいと考えます。
また、何か同様の事件があれば、注目したいと思います。
http://www.iij.ad.jp/news/pressrelease/2007/0914.html
そのノートパソコンに含まれていた個人情報は、54社分の見積書、提案書など法人顧客の情報であり、ハードディスク全体の暗号化と、起動時のパスワード(BIOSパスワードのことか?詳細不明です)と、ログイン時のパスワードが設定されていたとのことです。
IIJとしては、暗号化、パスワード設定などの自社基準でのセキュリティ対策が施されているので、不正利用の事実は今のところないとし、該当顧客へのお詫びと報告を行うと同時に、情報セキュリティ担当役員を責任者とする対策本部を設置し、今回の対策と再発防止策を実行するとしています。
(私のコメント)
■今回の発表から推測すると、
・社員が酔っ払っていたか、寝ていて、
・盗難されたか、紛失したか
上記の組み合わせのいずれかにより発生したものと思われます。
ありがちなパターンです。
■また、ハードディスク全体の暗号化と、適切なパスワード設定が行われていたのであれば、「高度な暗号化等の秘匿化が施されている場合」にあたると考えることが可能であり、経済産業省の現在のガイドラインに従えば、必ずしも公表する必要はないとも考えられます。
ただし、同社は電気通信事業者であるため、総務省の電機通信事業者向けガイドラインに従う必要があります。電気通信事業者向けガイドラインには、経済産業省のガイドラインのようなはっきりとした記述はありませんので、厳密に解釈すれば今回の事件も公表が求められるということになります。
■今回の発表では見積書、提案書などとしか公表されていませんが、これが通常の業務用パソコンであると考えた場合、通常はメールソフトが使用されているはずです。これについて全く記述がないのは不思議です。
メールソフトの受信簿に記録されている過去の通信履歴には、個人情報が大量に含まれています。またほとんどが私信ですので、個人の思想信条をあらわしていると認識できるものが含まれる可能性もあります。営業用資料などよりもよほど重要なものであると私は認識しています。
一般的にメールソフトの受信簿が流出したという発表はほとんど目にしません。全く無視をしているかのようです。しかし、私は、メールソフトの受信簿は、センシティブ情報を含む、重要な個人情報であり、ノートパソコンの紛失時には、きちんとそれも含めて発表してほしいと思っています。
-------------------------------
ですから、基本的にはノートパソコンの紛失で、含まれる個人情報は数十件の場合には、大騒ぎするほどではないのではないかと思いながらも、メール受信簿の方にむしろ注意をおいてほしいと考えます。
また、何か同様の事件があれば、注目したいと思います。
http://www.iij.ad.jp/news/pressrelease/2007/0914.html
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!