#3 COVID-19罹患者の個人情報流出:某市保健所の例

特集

事例からひも解く内部不正対策

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2024」によると、「内部不正による情報漏えい」の脅威が前回より高まり、3位にランクアップしました。外部からのサイバー攻撃による情報漏えいに加え、社員や元社員による内部犯行リスクが高まっているのです。漏えいした情報が悪用されれば、被害者である企業が「加害者」と見られ、企業ブランドや社会的信用が大きく毀損されます。内部不正はどんな手口で行われるのか。それを防ぐにはどうすべきか。本記事では、私用メールアドレスを悪用した保健所派遣職員の内部不正事案を取り上げ、その問題点と対策を考察していきます。

目次
  1. 業務学習目的で罹患者の情報を個人用端末にメール送信
  2. 設定したルールに基づいて柔軟な制御が可能
  3. 包括的な内部不正対策を実現するIIJソリューション
内部不正につながるシステム課題4選
徹底対策ガイドブック
ダウンロード(無料)

業務学習目的で罹患者の情報を個人用端末にメール送信

<事例紹介>
2023年3月、某市保健所はCOVID-19(新型コロナウイルス感染症)罹患者のデータが許可のないまま外部に持ち出されたことを公表しました。持ち出したのは罹患者の公費負担関係業務を行う派遣職員。データの中には約1.7万件の罹患者の個人情報が含まれていました。これを無断で個人用端末にメール送信していたのです。

持ち出した理由は、自宅での業務学習のため。様式を変更した資料で業務を行っていることに他職員が気付いたことから、問題が発覚しました。調査の結果、第三者への情報流出は確認されなかったため、二次被害の可能性はないようです。

<考察>
とはいえ、もし自宅で使っているPCがウイルス感染し、保存している個人情報が流出したら、被害はもっと広範囲に広がっていたかもしれません。悪意があるかないか。故意か不注意か。理由はどうあれ、個人情報流出によるリスクの大きさを改めて思い知らされた一件と言えるでしょう。

この事案は個人情報の取り扱いに関する認識不足が招いたことですが、業務データを外部にメール送信したことに気付けなかったことは大きな問題です。個人情報保護に関するモラルやルールを周知徹底しても、第二、第三の犯行者が出てくる可能性はあります。悪意がなくても、不注意や間違いで知らぬ間に重要情報をメール送信してしまうこともあるかもしれません。

つまり“できてしまう”状況を残しておくことがリスクそのものなのです。許可のないデータのメール送信を制限する仕組みが不可欠です。

設定したルールに基づいて柔軟な制御が可能

IIJは内部不正対策を実現する様々なセキュリティサービスを提供しています。その中で今回のようなケースに有効なソリューションを紹介しましょう。それが「IIJセキュアMXサービス」です。

これはクラウド上でメールセキュリティを強化する統合メールセキュリティサービス。オプション機能の1つである「メール監査」を活用すれば、セキュアで柔軟な送信メール制御を実現できます。

具体的には送信メールに対する企業ポリシーをルールとして設定し、そのルールに沿って自動で監査を実施します。

例えば、フリーメールアドレス宛など業務外と思われるメール、CCに上長が含まれていないメールは送信を不可とする。メールの文面や添付ファイルに個人情報が含まれる場合は上長確認を必要とする。特定のキーワードが含まれる場合はメールを一時保留する。このように宛先、添付ファイル、キーワードなど様々な条件でルールを設定できるのです。これにより、故意か不注意かに関係なくメールによるデータ持ち出しを防げます。

またIIJセキュアMXサービスは送受信メールのログを保管し、管理者画面から閲覧・ダウンロードできます。不審な行為が疑われる場合は、過去のメールに遡ってその履歴を確認可能。情報漏えいを早期に発見し、被害の拡大を防ぎます。ログがあれば、原因究明や証拠保全にも役立ちます。

しかもサービスはクラウド型。既存環境にアセットレスで導入でき、システムの構築・運用の手間もかかりません。

包括的な内部不正対策を実現するIIJソリューション

どんなにルールやポリシーを厳しくしても、それが遵守されなければ“絵に描いた餅”になってしまいます。ルールやポリシー、モラルに反する行為はしないはず。そう信じても、それを裏切るような事案が多発しているのも事実。性善説では内部不正を防げません。ルールやポリシーの徹底を図るだけでなく、システムとして不正ができない仕組みを実装することが重要です。

今回ご紹介したソリューションはあくまでも一例であり、内部不正の様々な手口に合わせた包括的な対策が求められます。

内部不正の実態と必要な対策の全体像は、以下の資料でも詳しく解説しています。