
コロナ渦であってもなくても、情報セキュリティの事件・事故は、ほぼ毎日のように発生しています。コロナ渦であるから、何か特別な対策が必要かというと、基本的な考えや対策は変わりがありませんので、最近、起きた情報セキュリティの事件・事故事例を見ながら、考えていきたいと思います。
■ ヤフー、システム不具合で個人情報を別のIDに上書き
8月6日、ヤフー株式会社は、「Yahoo! JAPAN ID」の登録情報
システムに不具合が発生し、一部ユーザーのIDに登録された
氏名や住所、電話番号などの個人情報が、最大約39万件の他の
IDに上書きされたことを発表しました。
これによって、一部のID登録情報が他のID保有者に閲覧されたり、
他のID保有者の注文した商品・サービスが届いた可能性がある
と述べています。
・ヤフー プレスリリース
なぜ、登録情報システムに不具合が発生したのかは明らかでは
ありませんが、一般的には、システムを更新する際の手順が
決められていますから、その手順を逸脱したことによって、
不具合が生じたことが考えられます。
いろいろな組織の現場を見て、感じることは、情報セキュリティ
で問題になるのは、決められたルール、手順から逸脱したことで
問題になるのが多いことです。
このようなことを防ぐために、組織において、適宜、ちゃんと
やっているかチェックしたり、定期に意識づけの教育を行って
いくことが必要となりますが、まだまだ、これが個人任せである
組織は多いと感じます。
情報セキュリティの対策は、人的ミスを減らすために、
技術的な対策で全て行えればよいのですが、それには多くの費用
が掛かりますし、また、結局は情報の最終的な使い手は人間です
ので、この人的対策をなくすことはできません。
この人的対策を考える中で、情報セキュリティの対策は、どちら
かというと、事故を未然に防ぐといった労働安全対策に近いもの
です。
労働安全対策の場合は、ちゃんとやっていないと、重大な怪我や
死亡につながりますが、情報セキュリティ対策の場合は、そこ
まで想定できないので、この当たりが、どう切実性を持って、
取り組んでもらうかが、情報セキュリティ活動の成功の鍵となり
ます。