2019年12月23日
神奈川県のHDDの処分依頼から端を発した、情報漏えい事件。
処分を実際に行っていた再委託先であるブロードリンク社における管理・監督環境の危うさは皆様も知るところです。
神奈川県に対して「委託先や再委託先の状況まで把握するのは難しい」というような同情の声もありますが、やはり一番の責任を負うべきは発注元である神奈川県になります。
発注元が委託先の状況を把握するのは責務です。
業務依頼を書面での取り交わしだけで満足するのではなく、現場への立ち入りや委託業務の進め方の確認、場合によっては指導・教育も必要となります。
また、事故が起きた際の対応策などについて委託先との情報共有はできていますでしょうか。
委託先の運用ルールに任せているということではなく、共通基準に基づいた運用を図り、体制強化を図ることで自社の情報を守るだけでなく、信頼できる委託先企業の育成へと繋がります。
近年の漏えい事故では委託先が原因となるケースが多くなっています。委託先の適切な管理を怠ると、今回のような重大な漏えい事故につながります。
委託先管理の1つとして、年末年始の長期休暇期間中の情報漏えい対策は行っておりますでしょうか。毎年言われていますが、この長期休暇期間中を狙ってサイバー攻撃が行われます。
決済システムやシステム管理、HPの運用等様々な業務を委託先に依頼している事業者様におかれましては、漏えい事故や不正アクセスを検知した場合に、委託先企業とどのように連絡や対応をとるべきなのか、すり合わせておく必要があります。
(一社) JPCERT コーディネーションセンターでは、長期休暇前に確認すべき事項についてまとめています。
「長期休暇に備えて 2019/12」
また、下記に紹介しますが、年末進行で多くのメールが飛び交います。
その隙をついて現在猛威をふるっているウィルスメール「Emotet」 (エモテット)が届く可能性もあります。
添付ファイルを開くことで感染する昔ながらのウィルスメールですが、日本語の組み立て方や、過去のメール履歴や文章を引用するなど手口はかなり巧妙となり、一瞬で判断をつけるのが難しい場合もあります。
繁忙期こそ、一度冷静になり、
「普段、ファイルを送るような担当者だったか」
「ファイルを突然送るやり取りが直近であったか」等、
一度考え自己防衛をする必要があります。
IPA(情報処理推進機構)ではこの「Emotet」に関する分かりやすい
解説記事を掲載していますので、是非ご覧ください。
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
今回の件を教訓に自社の委託先管理の状況について棚卸しを行い、
委託先企業へのリスクが高いと判断された場合は、委託先の変更と
いった経営判断を行うべきでしょう。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。