新型コロナウイルスの感染拡大に合わせ、2020年以降、国内企業では続々とテレワークの導入が進められました。オフィスへの通勤を必要としないテレワークは、業務効率化や従業員の負担削減、オフィス運営のコスト削減などに大きく寄与しました。そのため、コロナ禍が収束しつつある現在でも引き続きテレワークを採用している企業は少なくありません。
ただ、テレワークの実施は良い点ばかりではなく、懸念すべきリスクも伴うことは覚えておかなければなりません。中でもセキュリティリスクの高まりは憂慮すべき問題であり、どのようなリスクがあるのか、そしてどうリスクに対策すれば良いのかに全ての企業が向き合う必要があるでしょう。
今回は、そのテレワークでのインシデントについての事例を紹介します。そもそも、テレワークにおけるインシデントとは、具体的にどのような事態を指すのでしょうか。ここでは実際に発生したテレワーク関連のインシデントを確認しながら、どのような被害が発生したのか、何が原因でインシデントを招き、そしてどんな対策を取るべきだったのか、確認していきましょう。
ファミリーマートで起きたノートPCの盗難
2023年3月、コンビニエンスストアのファミリーマート店舗を経営するエイ・ケイ・フランチャイズシステムは、同社社員が社外で盗難に遭い、コンビニ従業員の個人情報が入ったPCの行方がわからなくなったことを発表しました。
盗難されたPCの中には従業員の氏名や住所、銀行口座や保険加入状況などが含まれていると同時に、複数店舗の個人情報が保存されていたということで、事態の収集に向けた取り組みが進んでいます。
今回発生したノートPCの盗難は、同社社員が帰宅途中に寄り道をした際に発生したということで、社用端末を所持したまま直帰しなかったことに原因があります。盗難当時はロッカーに預けていたということですが、基本的にロッカー設備のある店舗でも盗難についての責任を追求することは難しく、預けた本人の自己責任となるケースがほとんどです。
ノートPC含め、社用端末の持ち出しに関するルールの設定、およびルールの厳守が徹底されていれば回避することができたと考えられます。
46万人分の尼崎市民情報が入ったUSBの紛失
近年の端末持ち出しに伴う紛失事故としては最大級のものとなったのが、2022年6月に発生した尼崎市民情報を含んだUSBメモリの紛失事件です。兵庫県尼崎市から業務委託を受けていたBIPROGYの社員は、46万人分の市民の個人情報を記録していたUSBメモリを帰宅途中で泥酔し紛失したことは、全国放送で大々的に報道されました。
結果的には紛失発覚の翌日に問題のUSBメモリを発見できたものの、行方がわからなくなっていたら重大なインシデントにつながっていたと思われます。紛失の報道があった6月23日には1日で1万6,000件もの問い合わせがあったということで、大きな混乱を招いたことは間違いありません。
端末持ち出し時のルール設定や、同社社員による高いセキュリティ意識があれば簡単に免れることのできた事態です。
小学館にて業務用スマホから個人情報が流出
悪意ある攻撃によって、従業員の社用端末が被害を被るケースも増加傾向にあります。2023年4月、出版社の小学館は同社取締役が使用する業務用スマホから、個人情報が流出したことを発表しました。
発表によると、今回の流出は宅配業者を装った偽メールが届き、同社取締役がそれに気づかず当人のアカウント情報を入力してしまい、不正アクセスの被害に遭ったことが確認されたということです。結果、当該スマホに保存されていた302件の個人情報が第三者に流出してしまいました。
近年は本物との区別がつかない、精巧に作られたフィッシングメールなどが横行しています。実際のケーススタディへの理解を深め、不審なメールには取り合わないリテラシーが行き届いていれば、回避可能な事件だったと言えるでしょう。
熊本県立高で自宅PCから生徒情報が流出
2022年10月、熊本県立高の教諭が生徒情報をUSBに保存し自宅に持ち帰り、自宅PCで作業していたところウイルスに感染し、生徒情報が漏えいした疑いがあるということです。
公用端末の校外への持ち出しは元々同県の情報対策基準で禁止と定められていましたが、ルールを設定していたにもかかわらず違反があったことや、実際に流出の疑いが出てしまった事実と向き合わなければなりません。
今回のウイルス感染の経緯は、同教諭が作業中に突然表示されたウイルス感染の表示に慌ててしまい、表示された電話番号に連絡してしまったことが発端です。その後連絡先の相手による遠隔操作が行われ、その際に情報流出が起きた可能性があるということです。
決められていたルールの遵守はもちろんですが、教諭本人のセキュリティリテラシーが問われる事件でもあったことから、ルールだけでは回避しきれないリスクもあることを痛感させられます。
千葉大学医学部附属病院にて自宅PCを経由し患者情報が流出
2021年4月、千葉大学医学部附属病院の職員が宅配業者を装ったフィッシングメールを経由して自身のID情報を流出させてしまいました。
同職員は、同病院の規定に違反しながら許可されていないクラウドサービスを以前から利用していましたが、今回流出したのはそのクラウドサービスのID情報です。職員は患者情報をこのクラウドサービス上に保存していたことで、ID情報が窃取されてしまい、第三者から情報が筒抜けになっていた可能性があります。
同病院のように、組織によっては一部のクラウドサービスの利用を制限しているケースが見られます。これは今回のような事態を招かないよう、セキュリティレベルの低いサービスの利用から職員を遠ざける理由があるためですが、今回のように無許可で使用されてしまうケースについては後手に回ってしまうことも少なくありません。
こういった事態を防ぐ上では、ルールの厳守を促すことはもちろんですが、職員にとって利便性が高く、なおかつセキュリティレベルの高いクラウドサービスを提供することも、再発防止において重要です。
複数の大手企業にて「手土産転職」による情報漏洩が発生
人材の流動性が高まったことで、近年は「手土産転職」と呼ばれる情報漏洩のリスクが高まっていることも報告されています。
「手土産転職」とは、転職元の会社の機密情報を転職先に持参の上転職するというもので、競合企業へ自社の社外秘の情報が元社員経由で流出してしまうものです。
国内企業間での手土産転職のケースはもちろん、国内企業から国外企業に重大機密が持ち出される事態も懸念されており、発覚したケースの中にはソフトバンクや積水化学のような大手企業も含まれます。
秘密保持契約を社員に遵守してもらうことはもちろん大切ですが、そもそも細かなアクセス権限を与えておかないと、全社員に機密情報が筒抜けということにもなりかねません。社内のアクセス権限を見直し、社内とはいえ容易に機密レベルの高い情報へ触れられない仕組みを作ることも求められます。
まとめ
テレワークでのインシデントは、日々増え続けています。その原因はさまざまで、そうしたインシデントを防ぐためには、組織全体で情報漏洩を防止する対策を実施していく必要があります。今後は、総務省が公開している「テレワークセキュリティガイドライン(第5版)」を参考にしながら、テレワーク導入時に懸念すべきセキュリティリスクや、どのような対策が求められているのかについて、詳しく解説していきます。