またまた個人情報保護委員会資料の共有です。
覚えてますか?
昨年発生したNTTドコモの個人情報不正持ち出し事件。
その続報ですよ〜!!
日々いろんなことが起こるので、
昨年のことなんてどんどん忘れてしまうのですが、
そんな時、自分が書いた過去blogが役立ちます(笑)
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
<過去blog>
NTTドコモ 個人情報流出 委託先元派遣社員 不正持ち出し
https://plug-in01.com/topics/archives/210
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
NTTドコモのインターネット接続サービス「ぷらら」と
映像配信サービス「ひかりTV」の顧客情報を、
委託先(NTTネクシア)の元派遣社員が不正に持ち出したという事件。
元派遣社員は、自分が使用していたPCから
個人として契約する外部ストレージへアクセスして
顧客情報を持ち出したということで、
そんなことできる環境だったことにびっくりだわ!
と当時書いているのですが、
さて、対策はどうなったのでしょうか。
(個人情報保護委員会HP:https://www.ppc.go.jp/aboutus/minutes/2024/20240605/)
最近、個人情報保護委員会の報告書式がパワポ?になっててわかりやすい!
(↑そこ?笑)
この事例、例のNTT子会社の事件と似てますが、
外部ストレージを利用したところが、もっとあり得る感じですよね。
(NTT子会社の事件はUSBメモリ。それは制御してるところが多いはず。)
この報告資料を見てもわかる通り、
それなりの対策はもちろんしていて、
誓約書、教育、点検、監査などなど・・・
おそらくしっかりと実施されていました。
でも、問題は「性善説」が前提だったことじゃないかなと。
点検についても自己申告だったようですし、
教育の内容も不十分と評価されました。
(なかなか厳しい・・・)
やはり一番良いのは、やろうとしてもできない技術的な対策を講じることですよね。
今回、専用PCは外部インターネットから分離されたようですが、これができれば理想です。
ただし、業務上それができない場合もあると思いますので、
その場合は、運用(教育とか点検とか監視など)でカバーするしかないのですが。
今回の報告書は、そのあたりの対策の参考にもなる資料だと思いますので、
同様のことが起こらない仕組みになっているか?
自社の体制をチェックしてみてください!