個人情報漏洩&セキュリティートラブル

個人情報をUSBメモリに入れるのはリスク!歯科医師会でメモリ紛失


神戸新聞が報じたところによりますと、神戸市にある市立こうべ歯科センターの運営から、個人情報流出事故が起こってしまいました。

(神戸新聞の報道)
https://www.kobe-np.co.jp/news/kobe/201911/0012874440.shtml

このような事故はあとをたちません。なぜ、USBメモリに入れてしまうのか、どのようなケースでこうした運用が起き、紛失してしまうのか、今回のケースを参照しながら、予防策をみていきます。

なお、弊社UPFでは、プライバシーマーク(Pマーク)の取得支援を行っております。Pマークを取得する上で、また個人情報を御社で取り扱う上で、欠かせない情報も発信して参ります。ぜひ弊社のコンサルをご検討ください。

|USBメモリに入れると事故は必然

そもそも、今回の事故は、神戸新聞の取材によると紛失した業者は「次回から匿名化する」といっていますが、そういう問題ではないかと考えられます。USBメモリにデータを入れているという運用そのものが少し前時代のものであり、これではまた紛失してしまいます。

そもそも、10年20年前は、USBメモリという媒体にいれてデータを持ち運んでいましたが、それではあまりに流出事故が多かったため、一般の企業では今はもうほとんど禁止されています。今回、事故を起こしたのは歯科医師会の運営だったということで、少し前の運用でトレンドについていけていないのかもしれません。

トレンドといっても、10年前にはすでにクラウドサービスが登場し、インターネットにつながる場所であれば、どこからでもアクセスできるような環境が整っていました。今回のケースも、本来であれば匿名化・名前をカット・クラウド型ストレージに保管して物理メモリを利用しないなど、三重の対策が可能だったはずです。

流出事故や紛失事故が起きる場合、大抵は管理上の問題がそれ以上に大きく生じています。つまり、見えている部分は氷山の一角で、それ以上に大きな問題が背後にあるということです。今回も、結果としてUSBメモリをなくしてしまったというだけの話ではありますが、実際のところは匿名化されていないなど、かなりデータの取り扱いがずさんだったことが考えられます。

 

|匿名化をしていないという意識

その背景には、データの匿名化がなされていなかったことからも、個人情報に関する意識が低かったものと予想されるのです。なぜなら、そもそも学会という場で使用されるデータですから、該当の歯医者の口の中の映像であることは想像に難くないからです。口の中の映像をみて、歯並びの事例や特殊な治療法を発表するにあたって、個人を識別できる情報はまったく不要だからです。学会の場においても、●●県〇〇市のAさん43歳の歯並び、というデータは一切必要ありません。

それを、おそらく紛失がニュースになるぐらいですから、暗号化されておらず、匿名化もしないままに、“剥き身“でUSBメモリに保存していたのですから、その意識がよくないと考えられます。個人情報の生データをよりによって、USBメモリに入れて持ち運ぼうとしたのですから、なくすなくさないの前に、危険な状態だったのです。

 

|歯科医師会だから、は許されない

一般に、お医者さんや歯医者さんなどの資格業は、専門性が高く、そのかわりコンピュータまわりにはうといかたが多いとされます。なぜなら、本業の資格を維持するための勉強が大変で、パソコンにまで詳しくなっている暇がないからです。パソコンが趣味の先生は別としても、なかなか器用にデータを暗号化することができる先生は少ないかもしれません。

しかし、だからといって、大切な大切な個人情報をそのまま持ち歩いて良い、苦手だから、こちらは医師だから、という話でいてはいけないのです。医療職だから個人情報を紛失して良いという話にはまったくつながりませんし、それが許されるわけもありません。

どうしても苦手なら、スタッフの方にデータを暗号化してもらうなど、やりようはあったはずです。医療職はチームで働かなければ成立しない仕事ですから、誰かに頼むという選択もとれました。それを怠っていたのですから、厳しく社会的責任を追求されるのは仕方のないことです。それだけ、個人情報を紛失された人にとっては、重大な問題です。基本4情報の他に、歯科データですから、どのような悪用がなされるかもわかりません。

 

|仕組みで解決が理想的

ただし、この場合は紛失した担当者を攻め立ててもあまり効果はないものと思われます。ただいたずらに発生してしまったインシデントを個人の責任にしてしまうのは、再発を予防できないばかりか恐怖政治を招いてしまいます。

そこで考えられることとして、仕組みで解決が理想的です。そもそも、歯科データを持ち出す必要があるのであれば、クラウドにするという手があります。クラウドサーバーはインターネット上のサーバーですが、それでもセキュリティや漏洩リスクはUSBを持ち運ぶよりもはるかに信頼できます。そこに歯科データを保存し、メールで送るにしてもリンクを送れば、誤送信したときにはそのリンクを切ればいいだけです。そうすれば、データをインターネットで安全にやりとりできます。

仮に、USBメモリで持ち運ぶのがどうしても必要だというケースもあると思われます。この場合は、学会発表のパソコンがインターネットに接続されていない、クラウドが禁止など、さまざまなケースが考えられます。よって、その場合、どうしてもUSBメモリなのであれば、データをUSBメモリに保存する前に、完全に暗号化したり、そもそも歯科データを個人情報と切り離し、違うパソコンで管理して、そのパソコンには個人情報を持ち込ませないなどの工夫づくりがあるとよいのではないでしょうか。

仕組みはとても大切です。紛失事故を「以後気をつけましょう」で済まさないためには、さまざまな工夫を凝らして、事故が発生しない仕組みづくりを考えることが何より重大だと考えられます。

 

|無くなったUSBメモリはどこにいく?

最後に、ちょっと怖い話も必要かなと思い、無くなったUSBメモリの行き先についてお届けしようと思います。基本的に紛失すると絶対に出てきません。USBメモリは、大抵のパソコンで閲覧できますから、何が入っているかみてみようと考える人も、一部にいるからです。そうして、個人情報が入ったデータだったらどうなるでしょうか?

仮に、若い女性だということがわかったら、歯科データはそっちのけで自宅に行ってUSBメモリが落ちてましたよと訪問したり、電話をかけたりなども考えられます。若い女性に限らず、若い男性相手でもストーカーの問題は生じることでしょう。

また、今回の被害者は3名とのことで考えづらいのですが2011年に昭和歯科大学が個人情報の大量に入ったUSBメモリを紛失した際は、名簿屋に売られたのではないかという憶測が働いておりました。こうした噂があがっただけでも信頼は大ダメージで、昭和歯科大学は被害者に謝罪文を送り、信頼回復につとめています。

このように、無くしたデータが仮に大量のもので、それに利用価値を感じている人へデータが引き渡されたとしたら、考えただけでも恐ろしい話です。ただ、それは実際に行われているのです。あなた個人も、キャッシングの勧誘や海外からの不明な着信など、さまざまなコンタクトがありませんか?あれはすべて名簿屋さんにデータがどこかから渡っているのです。そう考えただけでも、現代は非常に危険に満ちた時代だということがわかります。

 

|最後に

個人情報をなくすということは、その個人情報を、あなたの会社を信用して預けてくれた人に対しての大きな裏切りです。一度なくした信頼はなかなか取り戻すことができません。信頼は積み上げるのは時間がかかり、コツコツ、コツコツと積んでいかなければならないかわりに、なくすのは一瞬だからです。

よって、できることはまず、個人情報を紛失しない、流出させない体制づくりです。それを一緒に学んでいきましょう。弊社UPFでは、個人情報保護のPマークを取得するため、認定のサポートを行っています。

豊富な事故事例をベースにしながら、最新のセキュリティ知識で、あなたとあなたの会社と、その先にいるあなたの会社のお客様の情報を守ります。ぜひ一度、お問合せください。

■こちらの記事もおすすめです

>>>【USBメモリを安全に使おう【Pマーク取得の基礎知識】

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 個人情報漏洩&セキュリティートラブル