サービスに関するお問い合わせ
緊急対応 専用窓口
セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。
-
0120-142-117
お電話でのご相談 / 平日10:00〜18:00
サービスに関するお問い合わせ
緊急対応 専用窓口
セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。
こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字起こししご紹介しています。
埼玉県は7月30日、精神保健福祉センターにて疾病(しっぺい)対策課から発送された個人情報を含む精神医療関係書類が所在不明であることが判明したと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】書類の個人情報が所在不明になってしまったということです。個人情報や機密情報を管理する上で気を付けるべきポイントについて説明します。
今回、所在不明になってしまった個人情報は、精神医療関係書類ということで、発送から19日後、宛先に届いていないことが判明したということです。所在不明となったのは、2名分の患者氏名、生年月日、入院先医療機関名、入院形態、家族等氏名、審査結果等が記載された個人情報で、現在も捜索を継続しているそうですが発見には至っていないそうです。
個人情報とは、生存する個人に関する情報で、氏名、生年月日などの記述によって特定の個人を識別できるものです。さらに、本人の人種、信条、社会的身分、病歴、犯罪歴などの記述等を含む、その取扱いに特に配慮を要する個人情報として、要配慮個人情報があります。
再発防止策として、今後はセキュリティが確保されたサーバ内で当該書類のやり取りを行うということです。
情報資産を台帳管理すること以外のセキュリティ対策として、情報のラベル付けが挙げられます。情報のラベル付けについて説明します。
情報のラベル付けとは、情報を分類してラベリングすることによって、その情報に求められる機密性がわかるようにする方法です。、情報の中身を確認することなく、それらの情報をどう取り扱うべきか、判断しやるくなるということです。
例えば、情報を「公開」「社外秘」「部外秘」と分けた場合、書類のフッターやバインダーにその分類を記述します。また、クラウドサービスでもフォルダやファイル名などに分類名を追記することで、情報のラベル付けを行うことが可能です。
なお、情報セキュリティの国際規格であるISO27001でも「情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施しなければならない。」とされています。
今後、サーバ内で書類のやり取りを行うということですので、紙媒体のデジタル化に伴う、セキュリティ対策について説明します。
まず、基本的なセキュリティ対策として、サーバへアクセスするための認証には十分な強度を持たせましょう。認証にパスワードを使う場合は、他人が推測できない文字列を設定する必要があります。加えて、万が一のインシデント発生に備えて、サーバのアクセスログを適切に保存しましょう。不正アクセスの被害にあった場合、原因の調査に必要となるかもしれません。特に重要なファイルに対しては、個別に暗号化することも有効です。
また、先ほど説明した情報のラベル付けと併せて、DLPというセキュリティ対策が検討できます。DLPとは、Data Loss Preventionの略で、データ損失防止と訳されます。DLPではデータそのものを監視することによって、情報のラベル付けがされた特定のファイル名などをトリガーに、機密情報の漏洩を防ぐことが可能です。例えば、機密情報を間違えてメールに添付して送信してしまったり、USBメモリでファイルを持ち出そうとしたときなど、利用者に対して警告を出して、その操作を無効化してくれます。
逆を言えば、セキュリティ対策が十分になされていない場合、サーバ内で書類のやり取りを行っても、安全性は担保できません。文書のデジタル化で紙の紛失や消失のリスクを軽減しながら、デジタルの脅威にも十分なセキュリティ対策を検討してください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
サービスに関するお問い合わせ
