ノートPCの持ち出しを許可する企業が多くなった反面、「PCが入ったカバンを電車に置き忘れてしまった」、「電車で寝ている間に盗まれてしまった」など、外出先においての紛失や盗難の事故は後を絶ちません。
2017年は386件の情報漏えい事故が発生しており、1番多いのが誤操作で、続いて多いのは紛失・置き忘れによるものだと発表されました。調査結果を見てみると、以前と比べ盗難・紛失の件数が増えており、リスクがどんどん高まっていると考えられます。
参考:NPO日本ネットワークセキュリティ協会「2017年情報セキュリティインシデントに関する調査報告」
仕事で使っているノートPCには、お客様の個人情報や機密情報、メールのやりとりなどが大量に保存されている場合が多いと思いますが、盗難・紛失が発生してしまった場合、これらの情報はどうなるのでしょうか。
盗難・紛失したPCには、パスワードが設定されているので「個人情報の流出の可能性は極めて低い」と考える方もいると思いますが、絶対に情報が流出しないとは断言できません。そして、パソコンの盗難・紛失が発生したことにより企業の信用はなくなり、経営自体が危うくなるケースもあります。
今回は、パソコンの紛失や盗難に遭った場合に企業がどうなるのか、どう対応すべきかなどを考えていきたいと思います。
パソコンの紛失と盗難の被害にあった際、何が起こるのか
所持していたノートPCが盗難・紛失が発生した場合でも、その後、何事もなく見つかった場合には問題ありませんが、必ずしも見つかるケースばかりではありません。悪意ある第三者に拾われてしまう可能性もあります。もし、その場合に何が起こるのかを考えてみましょう。
・不正利用
2014年には、大手教育事業を運営しているベネッセにて、約2,900万人の個人情報の流出が発覚しました。
会員登録をしている各家庭に全く関係のない企業からダイレクトメールが届くとの問い合わせがあり、流出が発覚しました。本件はパソコンの盗難・紛失ではなく、個人情報を不正に持ち出したことが原因ですが、持ち出された個人情報は名簿業者に売却され、さらに転売が繰り返し行われていたことにより、ベネッセの登録ユーザーに、無関係な企業からダイレクトメールが届くという事態となりました。
・ブラックマーケットでの取り引き
インターネットの普及により窃取された個人情報のデータは「ディープWeb」や「ダークWeb」と言われている、GoogleやYahoo!などの検索エンジンには引っかからないネットワークで取引されています。
また、窃取した情報や不正なツールの売買を行うアンダーグラウンド・フォーラムでは、2億件以上の日本人の個人情報が取引されていたことが確認され、値段は約1万7,000円で取り引きされていました。
取り引きされていた個人情報データは、国内のwebサイトから窃取したデータの他、情報漏えい事故で流出した個人情報データも含まれていたことが確認されています。
参考:日本人の個人情報2億件以上が含まれたファイルを 中国の脅威アクターが販売目的で広告掲載
ブラックマーケットでは、メールアドレスやパスワード以外にもクレジットカード番号やセキュリティコード、住所、電話番号など様々な情報が出回っており、社会保障番号や健康保険番号など簡単に変更が出来ないものは取引価格が高いと言われています。「秘密の質問」でよくある「母親の旧姓は?」「ペットの名前は?」なども出回っています。
2018年サイバー犯罪者のショッピングリスト(盗まれた個人情報の闇市場価格)
・リスト型攻撃
リスト型攻撃とは、流出したメールアドレスやID、パスワードを利用し、不正ログインを試みる手法です。
他社サービスから流出したID・パスワードを利用している可能性が高く、パスワードの使いまわしが原因の1つではありますが、1度メールアドレスやパスワードが流出してしまうと、この攻撃の被害に遭う可能性が高くなります。ダークウェブで取り引きされていたパスワードの一部はハッシュが解除され平文に戻されている他、メールアドレスとは別に流出したパスワードを検索できるサービスが提供されています。
盗難・紛失されたノートPCで、利用しているインターネットにクレジットカード情報や登録しているサイトのID・パスワードを登録し、自動ログイン設定している場合、不正利用される可能性が高くなります。
パソコンの紛失・盗難対策に関するコラムをまとめたホワイトペーパーを公開
情シス担当者を中心に年間約6万人が訪れている人気コラムの中で、パソコンの紛失・盗難に関するコラムをめとめた総集編を提供しています。
2023年のパソコン盗難・紛失の事案
2023年も多数のパソコン盗難・紛失の事故が発生しました。
■東京都立大が個人情報が入ったノートPC盗難被害
令和5年8月27 日(日)日本時間19時頃、本学特任教授がドイツからオランダへの電車での移動中に個人所有であるノートパソコンが入ったカバンを盗難されました。ノートパソコンにはパスワードを設定していて、現時点では、当該個人情報の第三者への流出や不正使用による被害などの事実は確認されていません。
(出典:東京都立大学)■尼崎市の幼稚園で児童の写真1千枚超記録のデジカメ紛失
尼崎市は2023年10月20日、市立保育園が所有していた児童の写真1千枚超が記録されたデジタルカメラおよびSDカードを紛失したと発表。尼崎市によると紛失が判明したのは2023年9月25日のことで、教員が気付き幼稚園に報告し、複数の教員がデジタルカメラを捜索しましたが公表時点で発見には至っていません。なお、内部にはSDカードが挿入されており、児童の写真およそ1千枚が記録されていたことがわかっています。
(出典:尼崎市)■長野県南佐久郡佐久穂町で4,000人余の口座情報保存のUSBメモリー紛失
佐久穂町は4,000人余りの口座情報などが保存されたUSBメモリーを紛失したと11日明らかにしました。紛失が確認されたのは、佐久穂町住民税務課が業務で使用しているUSBメモリー、あわせて5つです。住民税務課によりますと、これらのUSBメモリーは、税金を取り扱うために使用しているということで、町民など、合わせて4,000人余りのおよそ4,700の口座の金融機関名や支店名、それに番号などが保存されているということです。
(出典:NHK)■下仁田厚生病院、要配慮情報含む患者情報2,013件記録のUSBメモリを委託先が紛失
下仁田厚生病院にて個人情報含むUSBメモリを紛失。同院にて、医療事務の委託先業者が診療報酬明細書点検業務を行うため、週1回程度レセプトデータを院内の端末から移管する際に利用しているUSBメモリが所定の場所に無く、紛失しました。(2023年9月29日発表)
その後の捜索継続の結果、当該USBメモリが院内で発見されました。USBメモリ内の履歴を確認した結果、個人情報の外部流出は無いとしています。(2023年10月25日追加)
(出典:下仁田厚生病院)
今回発表した事故の他にも、多数のパソコンの盗難・紛失事故が発生しています。原因は様々ですが、どこかに置き忘れたことによる紛失・盗難など、ほとんどヒューマンエラーが原因であることが考えられます。
盗難・紛失が発生した場合の企業の対応について
まず、盗難・紛失が発生してしまったら、当人が速やかに会社へ報告を行うことが最も大切です。
いつ・どこで・なぜ発生したか、理由などの情報、パソコンに保存されている個人情報や機密情報などを洗い出し、予想される二次被害、PCにはどのようなセキュリティ対策が実施されていたのかを確認しましょう。
企業が社員から報告を受けて、企業が行うべきことは、
・被害者に対しお詫びと説明 ・HPへの掲載
被害者へ個別に謝罪と事情説明を兼ねたメールや手紙をお送りします。また企業のHPにも謝罪と盗難・紛失の経緯や現在の状況について公表を行います。相談窓口を設置する企業もあります。
・関係各所へ連絡
紛失・盗難した場所に問い合わせを行い、警察へ遺失届、被害届や紛失届などの届け出を行いましょう。
企業は被害者への損害賠償費用等が発生する可能性が高く、また情報漏えいが発生した企業とみられ、社会的信用がなくなります
・盗難・紛失にあった従業員への処分
企業側が、従業員に対して与える処分は企業により様々ですが、解雇や懲戒処分などが検討されます。会社から支給されたノートPCを盗難・紛失した場合に報告する義務がある場合、報告をせず黙ったままでいれば、規則に反したとみなされる可能性も高いでしょう。
まとめ
ノートPCの持ち出しを許可するということは、企業にとっても従業員にとってもメリットがたくさんあります。企業側は盗難・紛失のリスクがあることを考え、セキュリティ対策を設定させること、持ち出しをする従業員は、常に個人情報などの重要なデータが入っているパソコンを持ち歩いているということを常に意識をすることが大切です。
今や法人ではPCの盗難・紛失対策は必要不可欠
テレワークが当たり前になっている状況のなかで、企業のパソコンの盗難・紛失による情報漏えい対策は必要不可欠となっています。もしもの場合に備えた対策を行いましょう。