カテゴリ:情報保護・セキュリティ( 69 )

個人情報紛失、大手3行で46万人分

個人情報紛失、大手3行で46万人分…ドコモ子会社も (2005年7月1日1時46分 読売新聞)

  • みずほ銀行:約27万人分
  • 三菱信託銀行:約13万4000人分
  • りそな銀行:傘下4銀行で計約28万7000人分
  • UFJ信託銀行:33本支店で計約11万6000人分
  • 三井住友銀行:153支店で計6万1405人分
  • あおぞら銀行:約1万4000人分
  • 関西アーバン銀行:計5万2501件
  • 福井銀行:45本・支店で顧客計17万1177人分
  • NTTドコモの子会社、ドコモ・サポート:最大4万8000人分
 その他、もろもろ。
 しっかしまあ、多いねぇ。
 このブログ、個人的な備忘録で書いてるだけなので、こう頻繁に起こるといちいち記録してるのもウザいんで、もう止めちゃおうかと思ってるくらいだ(笑)

 頻繁になされる「たぶん間違って捨てちゃった」という言い分がどこまで信用できるのかわからんが、いずれにしてもお粗末な感じではある。

 こーゆーとこの個人情報管理データって、1件あたりどのくらいの情報量なのか、含まれているデータも色々だろうが、1件1KBとして27万件で264MB。GB当たり前の今の二次記憶媒体だとゴミみたいな量だわな。
 そう考えると数万件というのはハンパな量のような気もする。
 「紛失した」つーことは何らかの二次記憶媒体に入っていて、そのメディアが見つからないつーことだと思うが、CD-ROMでも600MBやそこら入るし、DVDなら4GB、大容量CGMTだと3~400GBくらいは入るわけだし。

 …本当はもっと大量だったりしてな。けけけけ(悪魔的笑い)

 というのは勝手な憶測ではあるが、そもそも情報管理がしっかりしていないから「紛失」してしまうのだとすれば、母数自体が正確である保障があるのか?という点が疑問だからだ。

 「サイフに入ってるはずの、512円がなくなった」というからには「サイフの中には、30、612円あるはずだ。ところが今見たら、30、100円しか残ってない。だから512円紛失した」、つまりあるべき「元の数」がわかっていなきゃいけないはずだ。
 記録メディアでも同じ事で、発表の殆どが「100本あるはずの磁気テープが99本しかない、1本は捨てちゃったかも」という話なわけだが、その「100本」という元の数があってる保障はあるのか? 「間違って捨てちゃたかも」な管理体制で?

 俺の性格が悪いせいもあるだろうが、特に「約」がついてる数字は限りなく怪しいように思われる。

 …本当は、何件「紛失」したのかすら正確にわかってないんじゃないのか。ウェーッハッハッハ(悪の枢軸的笑い)
[PR]
by SIGNAL-9 | 2005-07-01 13:29 | 情報保護・セキュリティ

個人情報-「流出」→「盗難」時代へ

 統計的には意味はないが、「個人情報流出」でぐぐると703,000 件、「個人情報盗難」では524,000 件がヒットする。印象だけで書くと、新聞の見出しでも、日本ではまだ不作為の紛失と思える事例の方が、本格的「盗難」よりも多いのかもしれない。

 4/25に、「朝日新聞販売所で顧客情報盗難」のエントリでも記載したが、この事件では「約1万2000人の顧客情報や約250人分の銀行口座番号など個人情報が入ったパソコン」に加え、「同じ情報が入っていた記録媒体MOや、約2200人分の氏名と購読紙を記載した台帳もなくなっていた」ことから、データそのものが目的だったと推測できる。

 データはカネになるという事実がこれほど広く認識されてきているわけだから、今後は紛失ではなく盗難が増えることは容易に想像できる。

 アメリカではすでに、データ盗難対策の専門会社まである。
 そのような会社のひとつであるアイデンティティ・セフト911社のホームページでは色々興味深い白書の類が公開されている。

2004年ニューヨーク白書によれば;
  • ニューヨークにおける個人情報盗難は過去ニ年間で39%増、2004年だけでも12%増と推定できる(全国平均より少し低い)
  • 2004年、ニューヨークでは推定800,000人の個人情報盗難の被害者が出た。
  • ニューヨーク州の企業と個人には60億ドルの被害と被害回復のために4千2百万時間が費やされた。
  • 世帯数の11.5%、平均853ドルの被害(全国平均は502ドル)。
  • 一般の窃盗や車上あらしの総計の9.3倍に昇る。


 60億ドルだぜ、諸君
 
 もちろん、アイデンティティ・セフト911社はこれが商売なわけだから、話半分で読む必要はあると思うが、、話半分としても慄然とする内容である。要するに、すでにフツーの盗みなんか及びも付かないほどの被害がデータ盗難で発生している、というわけである。

 今回のアメリカのクレジットカードの情報盗難問題では、JR東日本のビューカードでも不正利用の疑いが出たりしているように、「繋がってるシステム」で芋づる式に被害が出ている。犯罪者側のネットワークは明らかに国境を越えているわけだから、対岸の火事だなんて余裕ぶっこいてることはできない。

 日本でも、ますますデータそのものを目当てとした盗難が増えることは間違いないと思われる。そうなったときに、プライマリに対応することになるであろう日本の警察力で対応できるのかどうか、個人的には甚だ疑問である。

「個人情報の紛失や盗難」が蔓延――自分で身を守るには - Dan Goodin , Wired News -によると、

何よりも、厳しい方針を整備して、銀行やクレジットカード会社、その他の機関が個人情報を保管し、移送する方法を規定することが必要だ。先ごろ個人情報を紛失したシティグループ社やバンク・オブ・アメリカ銀行が、自分たちの管理する巨大なデータベースを暗号化していなかったらと思うとぞっとする。暗号化しておけば、ID窃盗犯がファイルにアクセスしても、目にするのは訳の分からない記号だけだ。

 今回の事件は、まさに最悪の形でこの危惧を具現化したものだったわけだ。

政府の介入の有無にかかわらず、効果的な対策を取らなかった企業や組織は、確実にその報いを受けるだろう。筆者はすでに、カリフォルニア大学バークレー校に寄付をすることや、バンク・オブ・アメリカ銀行と取引を継続することを考え直している。個人情報を紛失の危険にさらすぐらいなら、こうした機関に情報を全く与えないほうがましだ。

 Goodin氏のこの指摘には俺も首肯する。最終的に「個人責任」というサービス提供側の論理が押し付けられるのならば、利用者側には「選択の自由」という最後にして唯一の武器しか残されないからだ。

 クレジットカードなんかなくたって生活はできることはいうまでもない。
[PR]
by SIGNAL-9 | 2005-06-28 16:17 | 情報保護・セキュリティ

またnyウィルスで今度は愛知県警が捜査情報漏らす

愛知県警:捜査情報流出 私有パソコンがウイルス感染 毎日新聞 2005年6月24日 12時33分
愛知県警東海署の地域課巡査(29)の私有パソコンがウイルスに感染し、記録されていた個人情報を含む捜査情報の一部がインターネット上に流出していたことが24日、同県警の調べで分かった。同県警は同日、巡査を戒告、上司の警部補(50)を所属長注意の処分にした。

 調べでは、4月ごろ、県警に匿名で「流出された情報が添付されたメールを受信した」との電話があった。調べた結果、巡査のパソコンから自動車窃盗事件の捜査報告書や供述調書などが流出。この中に7件6人分の住所、氏名、生年月日などが記載されていた。県警は6人に謝罪した。


またか

続報捜査情報ネット流出 私物PCウイルス感染(06/23)によると、
巡査がファイル共有ソフト「Winny(ウィニー)」をインストールしたパソコンをネットに接続した際、ウイルスに感染したのが原因。Sankei Web (共同)(06/24 14:36

またか

 問題は;
  • 私有のパソコンに捜査情報を格納しているつーのはどーゆわけ?
  • セキュリティ対策をやっていない(やってりゃあ、そうそう簡単に流出なんかしないってば)

 本人の「戒告の懲戒処分」つーのはなんとなく判るが、俺は警官じゃないので「所属長注意の処分」てぇのがどのくらい重いものなのかはよくわからんかったので、ちょっとぐぐってみた。
 高知県警の例では
  • 飲酒検知管を紛失した警部補と巡査部長
  • 手錠をケースごと紛失(後に回収)した
  • 警察署で取り調べ中の少年を平手で叩いた巡査長
あたりが「所属長注意」で、この上のもっと重い処分で「訓戒」つーのがあるようだな。

  島根県警察職員の懲戒等の取扱いに関する訓令 によると;
  • (所属長注意)第20条 所属長は、所属の職員の規律違反がごく軽微なものであって、第18条の訓戒処分を要しないと認めるときは、注意処分を行うことができる。
  • 2 前項の注意処分は、所属長注意書(様式第13号)を交付して行うものとする。(通知)

 「ごく軽微」だから、本人はともかくその上司の「訓戒」までやるこたないって事なんですねそうですか(棒読み)。
 組織がそういう意識でいる限りはこの手の話は次々出てくるのが世の常なのだがねぇ。

 昨日のエントリでもちょっと触れたが、俺はWinny自体が「危険」という論調には与しない。報道だけだと、どんなウィルスなのか不明だが、「勝手に」侵入されて「勝手に」ファイルばら撒かれたわけではなかろう。

 映画の吸血鬼ドラキュラには、「初回に相手の承諾がなきゃ他人の家に侵入することができない」という妙な設定があったが、同じようになんらかの主体的行為を行ってたからこういうことになったのではないか。

 だがしかし、こう連日のように、長期にわたってWinnyがらみで問題が発覚しているのに、なんでまだ引っかかるのかねぇ。
 「うーん、俺が使ってるソフトってこういう危険性があるのかぁ。それじゃあ使うの止めよ」とか思わないのか。学習能力というものがないのか、それともど~しても使いたいような理由があったのか。

 一連のnyウィルスでヤッチャッた人たちには、事例から学ぶという意味合いからも、「Winnyで何をしていたのか」、是非情報公開してほしいものだ(笑)
[PR]
by SIGNAL-9 | 2005-06-24 16:38 | 情報保護・セキュリティ

「Winny」のウイルス感染で原発の機密情報をネットに流出

原発情報流出:「ウィニー」のウイルス感染でネット上に 毎日新聞 2005年6月23日 3時00分
原発の点検を請け負った三菱電機(東京都千代田区)の子会社社員が使用したパソコンが、ファイル交換ソフト「ウィニー」の暴露ウイルスに感染したことが原因とみられる。
 流出データは、フロッピーディスク約31枚分に相当する。泊原発2号機の発電機点検工事の報告書や、川内原発1号機の定期修繕工事の作業要領書など、外部に公開していない作業手順や検査結果を記した記録データばかりだった。放射能に直接関係ないものの、2次系配管などの機密情報が多数盛り込まれ、中には、詳細なデータや写真を含み100ページを超える膨大な記録もあった。


 個人情報どころの騒ぎじゃないよ。てゆーか、なんでそんなデータの入ってるPCでnyなんかやってるんだ?

  • 3月28日 東京医科歯科大病院の約50人分の患者情報
  • 3月31日 鳥取赤十字病院の約60人分の小児科電子カルテ
  • 4月7日 鳥取大病院の175人分の電子カルテ
  • 4月14日 秋田県湯沢市の市民1万1255人の名簿
  • 6月1日 NTTドコモ東海の携帯電話基地局情報
  • 6月1日 愛知県一宮市の小学校の児童535人の名簿


 重要なデータファイルは隔離しておくとか、PCに勝手なソフトは入れさせないとか、データは暗号化するとか、クライアントから広域への直接接続は禁止するとか、普通の対策を普通にやっていれば、かなりの部分は防げるはずだ。
 にもかかわらず、これだけ事件が起きるのは、個人情報保護法や2ちゃんねるのおかげで(笑)、以前にまして表面化するようになったということもあるのだろうが、突き詰めていえば、PCの増加や利用の拡大に管理運用が追いついていないという実態を反映しているのではなかろうか。

 もっと言ってしまえば、「運用する」能力のないバカ人間がコンピュータを使ってる、というのが根本的な問題なのかもしれない。

 この様子だと、もっと計画的で巧妙なBotの類が、かなりヤバげな情報を扱っているPCに仕込まれている危険性も考えないとマズいと思われる。いや、もうホントにヤバいと思う。

 国益にかかわるような重要な機関のPCがある日突然、何者かにいいようにコントロールされる…マジで心配すべきことだと思う。

以下余談。

原発情報がネット流出 点検会社PC、暴露ウイルス感染 朝日新聞 2005年06月23日12時23分
 〈キーワード・ウィニー〉 パソコンの使用者同士がインターネットを通じて音楽や映像などを自由に交換できるようにする「ファイル交換ソフト」の一つ。ソフトはネット上で手に入れることができるが、著作権の侵害が指摘されているほか、同ソフトを経由して感染するウイルスによって、利用者自身のパソコンから情報が漏れる危険性がある。これまでに京都府警や大学病院などで捜査関係書類や患者の個人情報が流出した。開発者は著作権法違反幇助(ほうじょ)の罪に問われ、京都地裁で争っている。


 朝日新聞の「解説」だが、これはヒドイのではないか。

 Winny自体が著作権を侵害している、という風にしか読めないが、そんな事実はないと思う。
 それから「同ソフトを経由して感染するウイルスによって」って、他の手段で感染してWinnyに流れる場合もあるが。
 不正確なのは無知のせいかもしれないが、なんだか文章の調子から「Winny自体がワルいモノ」であるような印象操作をしたがっているようにしか見えない。
わざわざ「解説」するからには、もう少し正確な記述を心がけてほしいものだ。
[PR]
by SIGNAL-9 | 2005-06-23 15:35 | 情報保護・セキュリティ

クレジットカード情報漏洩問題:国内でも6万7000人

カード情報流出の恐れ、国内6万7000人に拡大 日経 6月23日
米国でクレジットカードの個人情報が大量に漏洩(ろうえい)した問題で、経済産業省が22日の午前11時時点で集計したところ、ビザ系で個人情報が漏洩(ろうえい)した恐れがある日本のカード会員数は4万6000人に達した。マスターカード系は2万1000人で、合計6万7000人にのぼる。
 経産省は「漏洩の対象となった会員数がさらに大幅に増えることはない」としており、不正利用の実態などについても各社から情報収集を進めている。


米カード情報流出 12億枚 揺らぐ信頼 2005年6月20日 読売新聞によれば、
米連邦捜査局(FBI)が、個人情報への侵入の手口や被害規模を捜査しているが、何者かが同社のシステムに侵入し、カード保有者の氏名や有効期限などを取得した可能性がある。不正侵入は2004年末から今年5月にかけて行われたらしく、長期間に及んだことが問題を拡大した

 FBIが捜査を続けているが、今のところ、問題の決済処理会社 CardSystems の管理が超ズサンで、侵入自体は大して難しくなかったようである。MasterCard事件が示すハッキングの強力化 ITMedia/Associated Press 2005/06/22によれば、いわゆる「Script Kiddie」(日本語に訳すとすると、スクリプト厨かカッペ-Cut&Pasteくらいしかできないシロート-というところか)でもかなりのことはできたのではないか?と推測されている。

 アメリカでは今回の事件やバンカメやシティバンクなど大型の情報流出が相次いでいるが、
  1. 内部犯行による持ち出し
  2. 移送中の紛失
  3. 盗難
あたりは、もはや日常茶飯事という感じだ。
 この状況に議会も動き出した。米上院、超党派の支持で個人情報流出対策法案提出 ロイター 2005/06/23によると、
  1. データ流出に関する情報の公開の義務付け
  2. 商品やサービスと引き換えに社会保障番号の提示を求める事の禁止
  3. 消費者の許諾を得ずに社会保障番号を売買することの禁止
  4. 消費者のアカウントを不正アクセスから守ることの義務付け
など、規制と罰則の強化を汁!、というものだ。

 ようするに、「個人情報をきちんと扱わないと、社長は刑務所行き」つーことだな極端に言えば。

 消費者保護に伝統のあるアメリカでも、データセキュリティに関しては企業側のロビー活動でずいぶんツブされてきたが、今度はさすがに何らかの形で通るのではなかろうか。まあ、例によって骨抜きにされる可能性は高いけど。

 さて翻って、ある意味アメリカより進んでいるともいえる日本の個人情報保護法であるが、漏洩元の企業に対しては、主務大臣の命令に違反したり、報告を怠ったり、虚偽の報告を行ったりすると罰則が科せられる(つっても6カ月以下の懲役か30万円以下の罰金。けっこう軽いね)が、顧客に対する民事責任は定められていない。もちろん、実際にひどい被害を受けた顧客はプライバシー権の侵害で損害賠償請求を行うことは可能だが、損害が補填されるのであれば、わざわざお白州におおそれながらと訴える奴もそうはいるまい。最終的に消費者にコストが転嫁されることにはかわりないのだが、直接的にテメエの腹が痛んだって感覚がなきゃあねぇ。

 いざとなったら頭だけ下げちゃって、お涙金で補填すりゃあいいや…そんなつもりでやってる企業はないだろうが、実務上のコストとリスクを天秤にかけりゃあ、思ってなくてもやることは結果的にいっしょということはあるわけで、日本においてもさらなる罰則の強化の必要性というのも出てくるかもしれない。

 なーんて言い出すと、この法律施行に当たっては、「国家による言論監視体制の強化だ言論の自由の抑圧だ1984だビッグブラザーだ」的論調で批判もあったので、馬鹿なことをいうなといわれそうだが、そもそものあるべき目的は「個人の保護」なわけである。
 しかも現実に大きな被害が出ている現状を前にすると、政治家に悪用される恐れがある云々が重要な問題であることは認めるが、言論の自由を守るためにはリスクは全部個人責任というのはちょっと論調のポイントがズレているような気がしないでもない。
 「俺のお財布の中身の安全性」と「俺の言論の自由」をはかりにかけた二者択一の問題だつーのは、いくらなんでも乱暴すぎる二分法だろう。
 「主務大臣」の権限の問題など、法律として見直すべきところは多かろうが、法的な個人情報の保護の仕掛けがまったく不要ということはないと思う。
[PR]
by SIGNAL-9 | 2005-06-23 14:04 | 情報保護・セキュリティ

カード情報、国内さらに1万人流出か

カード情報、国内さらに1万人流出か…UCやDCなど (2005年6月20日15時22分 読売新聞)
米国のクレジットカード会社の個人情報への不正侵入事件で、マスターカードと提携して国内で発行したカードのうち、新たにみずほグループのユーシー(UC)カードで約2600人分、UFJ銀行系列の信販大手、セントラルファイナンスと、消費者金融大手アイフル傘下のライフで、それぞれ約2500人分の情報が流出した可能性があることが、20日分かった。

 みずほのUCカード、UFJ,ライフ、日本信販にDCカードにOMCにアメックス…って全部じゃないか(笑)

 顧客の被害は保険で充当するっていったって、回りまわって結局顧客に転嫁されるだろうしな。マスターカードの管理責任は追及されるだろうし、してもらわないと困る。
 犯人と具体的被害に関してはまだ全容が報道されてないし、これからの捜査次第ということだろうが、アカウンタビリティは果してもらわないと、カードなんて安心して使えんわな。
[PR]
by SIGNAL-9 | 2005-06-20 18:01 | 情報保護・セキュリティ

米国の大企業、4割が従業員の送信メールチェックを導入済み

米国の大企業、4割が従業員の送信メールチェックを導入済み ITmediaニュース2005/06/09 19:12 更新
米国企業を対象としたメール管理状況の調査によれば、回答企業の27%が、この1年で電子メールの誤用により従業員を解雇しているという。

関連記事として社員メールの「のぞき見」は賢い戦略である ITmediaニュース(IDG / Linda Musthaler氏のコラム)も、アメリカの状況が垣間見えて興味深い。

ポリシー教育や社内メール監視を行っていない会社は自らを危険にさらす可能性がある。1995年、石油会社のChevron USAは、メールの内容をめぐるセクハラ訴訟で220万ドルの和解金を支払った。女性社員らの申し立てによると、Chevronの子会社は、社内メールシステムを使っての性的に不快なメッセージの送信を許していたという。

 アメリカほどではないにせよ、日本でもこの種の監査は今後必要性が高まるだろうし、個人的にも必要なことだと思う。リソースの潤沢な会社や先進的な会社は既にやっているし、これから間違いなく拡大するだろう。

 拙い経験から言えば、日本ではこの手の問題に「プライバシーの侵害が蜂の頭」「検閲で人権侵害で言論の自由が股火鉢」みたいな無茶苦茶な論理を振り回す馬鹿が出てくることがある(いや、ホントに)。

 そもそもこの種のことをプライバシーだの検閲だのの問題として論じるところに無理があることは言うまでもない。 大上段にプライバシーだの言論の自由だの、天下国家を論じるのなら、中国政府、無届けのサイトやブログの強制閉鎖へ cnn.co.jp 2005.06.07 Web posted at: 18:29 JST- REUTERSこのあたりをターゲットにして、北京政府に特攻してほしいものだ(笑)

 そうはいっても、「秘密で監視」つーのはよくない。よくないというのは倫理的にという意味もあるが、告知する方が注意喚起・抑止効果の意味で合目的的である。
そういえば会社の部屋に盗聴器仕掛けてたのがバレてつるし上げられた馬鹿経営者もいたよなぁ、確か。

 まあ確かに、こういうことをしなくて済むような愛のある労使関係が理想には違いないが、フツーは「信用すれど信頼せず」だと思う。
 お互いにルールを守るという合意があるからこそカードゲームは成立するが、でもカードは切るわなぁ(笑)
[PR]
by SIGNAL-9 | 2005-06-10 16:41 | 情報保護・セキュリティ

カカクコム事件-個人的総括

「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず ITMediaニュース 2005/05/25
 「今回の件は、過失や重過失に類するものではない」――穐田社長は、同社のセキュリティ対策は問題がなかったと強調した。「OSのパッチはあてており、外部のセキュリティコンサルタントも入れるなど、できる限りの対策をしていた。しかし結果として“最高の対策”とは呼べない部分はあったと思う」(穐田社長)

SQLインジェクションによるものだったする一部報道については「私どもから発表した事実ではない」(穐田社長)と、肯定も否定もしなかった。

 「脆弱性は、カカクコム独自のアプリケーション部分にあったのか、それとも、他社も使っているような基幹のシステムにあったのか」という質問に対しては「他社について言及する立場にない」(穐田社長)と返答。記者が「同様の問題が他社にありうるかどうかが知りたい」と食い下がると「広い意味で言えば、こういう事態はどの会社にもあり得るだろう」とぼかした。


イタイなあ。

まあ、一般的感想としては、カカクコムは情報をきちんと公開すべきだ (勝村 幸博=IT Pro)これに尽きるわけだ。

「ウチはやることやってましたから過失はありません。やってた証拠?警察が捜査中だしマネされると困るから証拠は出せません。他人にやられたことなんで、補償もしません」

これでOKというのが、今のIT企業のトップランナーの公式的態度であるということである。

俺は元々いんたあねっとなんてシロモノはビタ一文信用してないからどうでもいいが、商売に使ってる人たちはホントにそれでいいのかどうかよ~く考えてみた方がいいと思うぞ。
[PR]
by SIGNAL-9 | 2005-06-01 18:04 | 情報保護・セキュリティ

カカクコム事件-続報5 

カカクコムの不正アクセス被害「秘密保持契約を結んだ上での情報提供には応じる」 小笠原陽介@RBB 2005/05/26 00:58
  カカクコムは25日、「価格.com」への不正アクセス被害事件についての総括的な記者会見を行ったが、受けた攻撃の詳細について、カカクコム代表取締役社長兼CEOの穐田誉輝氏は「警察による捜査中であり、また類似の犯罪行為を惹き起こす可能性があるため」として語らなかった。

 一般論として、このような対応をするケースでは2つの可能性が考えられる。1つは自社のセキュリティ上の過失を隠ぺいするための詭弁であり、もう1つはプラットフォームに存在する、何らかの未知の(もしくは、既知ではあるが公式な修正プログラムなどが提供されていない)脆弱性をつかれた場合である。
(中略)
 なおも食い下がる各メディア記者たちの質問に対する穐田氏(一部、取締役CTO 安田幹広氏)の答えを繋ぎ合わせていくと、「このような騒動となったことについての結果責任はあると考えている」ものの、「システムに対して必要なセキュリティパッチはすべて当てていた」とのことで、攻撃を受けた点については自社に「重大な過失はなかった」という。
(中略)
 穐田氏の回答がすべて真実であるという保証はないものの、これらの発言は一貫して一つの結論を暗示していると言えそうだ。


 実際の会見を見たわけではないが、小笠原氏の記事内容から判断する限りにおいては、その推定は妥当であるように思える。

 すなわち、痛くもない腹ならいざしらず、痛い腹を探られたら相当イタイだろう、ということだな(笑)
 NDA結べば、というのは実質的にマスコミとかには絶対教えないといってるのと同じだし。

 俺は単なるやじ馬だが、もしも本件で大きな被害を受けていたら(例えばバラまかれたウィルスでファイルが壊れたとか)、こんな説明では到底納得いかないだろうなと思う。
[PR]
by SIGNAL-9 | 2005-05-26 17:55 | 情報保護・セキュリティ

NTTデータ、1万1835人分の社員情報を紛失

NTTデータ、1万1835人分の社員情報を保存したUSBメモリを社員が紛失 CNET Japan 2005/05/24 20:02
NTTデータは5月24日、同社社員がUSBメモリをなくしたことで、1万1835人分の社員情報を紛失したと発表した。USBメモリにはロックや暗号化が施されていなかった。なお、これまでのところ情報の不正流用などは確認できていないという。

 このUSBメモリは、社員が業務上使用していた社員情報を保存していたもの。かばんに入れたまま5月16日に紛失したという。


プレスリリース

データの項目を見ると、氏名コードだの生年月日だの、社員がアカウントIDやパスワードに使ってそうな中々に香ばしいデータが並んでいる。
 今時こういう事件を起こすと、あっというまにNTTデータが反落、全社員の個人情報紛失を嫌気 ロイター 2005年 05月 25日 株価に跳ね返ってくるのだからタマランわな。

 再発防止策として
  1. 情報漏洩を防止するソフトウェアソリューションの導入
  2. 個人情報の社外持ち出し禁止の徹底
  3. 暗号化やアクセス制限機能のないUSBメモリの使用禁止
  4. 社内およびグループ会社の人事担当者に対する意識付けの徹底
  5. 教育内容の見直し
  6. 定期的な自主検査および相互検査の実施

が挙げられているが、
 「FDD/USBポートは全部ツブします」
 「全部Thinクライアントにしてローカルにデータは持たせません」
くらいのことをブチあげている会社もあるくらいだから、いささか徹底感に欠けるような印象もある。

 USBメモリデバイスのヤバさに関しては以前も指摘したが、「便利なモノ」というのはそもそもそういうリスクを内在しているものだ。データ保全(暗号化など)は使用者責任として個人でも気をつけておくべきだろう。 ある程度のことはフリーソフトの組み合わせでもできるしね。PGPDiskとか、7zipみたいなものだけでもかなりのことはできるはず。
[PR]
by SIGNAL-9 | 2005-05-25 15:11 | 情報保護・セキュリティ