セキュリティインシデント事例に学ぶ vol.1

早崎 敏寛

専門家レポート


日々、様々なセキュリティインシデントが発生しています。
セキュリティに限らず、事例から学び、振り返りや改善を行うことは非常に有用なことです。
本連載では、クラウドサービスや業務委託先で発生したセキュリティインシデント事例から、クラウドサービスの利用企業や業務委託元としての留意点を解説いたします。

目次[非表示]

  1. 1.セキュリティインシデント概要
  2. 2.セキュリティインシデントの原因の考察
  3. 3.業務委託元の留意点
    1. 3.1.クラウドサービスや委託先において安全管理措置が講じられていることを確認する
    2. 3.2.委託先に預託する情報を必要最低限にする
    3. 3.3.契約の遵守状況やセキュリティ対策状況を定期的に確認する


セキュリティインシデント概要

社外の第三者から委託元の顧客の個人情報に関して、委託先の事業所内で不適切な取り扱いがされている可能性等があるとの申告を受け、委託元が調査したところ、2つの事象が判明。


1.業務委託先の再委託先を退職した元従業員が業務委託先の事業所に不正に立ち入りUSBメモリーを情報管理端末に接続して、個人情報を持ち出している可能性(監視カメラの映像で確認)
2.業務委託先の従業員が、委託元の顧客の個人情報を含むファイルをクラウドサービスにアップロードし、業務に携わっていない従業員がその内容を閲覧できる状態になっていた。

2つの事業により、約13万件の委託元の顧客の個人情報(氏名、住所、生年月日、電話番号、性別、年齢等)が流出した可能性があります。

公開情報をもとにAssuredで作成

セキュリティインシデントの原因の考察

報道や公開されたプレスリリースより、本セキュリティインシデントが発生するに至った考えうる主な原因を考察してみました。

業務委託元の留意点

本事例を踏まえ個人情報を委託する場合に、業務委託元が特に留意すべき事項を解説します。

クラウドサービスや委託先において安全管理措置が講じられていることを確認する

  • 個人情報の取り扱いを委託する場合は、委託先の選定時に個人情報保護法ガイドラインが定める安全管理措置が講じられていることを確認する。セキュリティインシデントの原因の考察に記載したセキュリティ対策は、委託先の選定時に個人情報保護法ガイドラインが定める安全管理措置の例示に記載されている基本的なセキュリティ対策であり、委託先で対応できていない対策があれば対応するように要請することも必要です。
  • 業務委託契約に、個人情報の取扱いに関する必要かつ適切な安全管理措置について盛り込む。
  • 委託先による虚偽報告の対策として、ISMS等のセキュリティ認証の取得確認や第三者機関によるセキュリティ評価情報を活用する。

委託先に預託する情報を必要最低限にする

  • 本業務委託でどのような業務を委託していたか明らかになっていませんが、業務委託先に預託する情報は必要最低限にすることが被害を最小化するために有効です。

契約の遵守状況やセキュリティ対策状況を定期的に確認する

  • 委託先の選定時や契約開始後当面は、必要なセキュリティ対策が実施され契約上のルールが守られていても、時が経過するにつれ形骸化し遵守されなくなっていくものです。定期的に確認を行うことで委託先が振り返りを行うきっかけとなり、セキュリティ水準の維持に繋がります。

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。セキュリティエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

前の記事

prev-article-image

PCI DSSv4.0 要件3.5.1.2で求められる暗号化対策と各社SaaSの対策状況について

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.