今日のニュースで「尼崎市が全市民の個人情報漏洩」をやっていた。

「個人情報を外部媒体 (今回でいうとUSBメモリのこと) で持ち出す」時点でまずアウトなのに、それを「委託業者が」「無断で」持ち出し、「カバンに入れたまま飲みに行って」「紛失」した挙句、謝罪会見で「パスワードの桁数公開」という、教育用の事例紹介再現ドラマにはうってつけのあっぱれ完璧なやらかしだ。

※ 6/26追記: 当初紛失したことをすぐに報告せず探し回っていたとか。これもNG。

※ 6/27追記: 委託先が尼崎市(委託元)に無断で再委託(二次委託)。紛失したのは再委託先。もう有り得ない。

パーフェクトすぎて逆によくそこまでできすぎたお手本が作れたなと感心する。

こういう情報セキュリティに関する事故のことを「情報セキュリティインシデント」という。

個人情報流出の他に、外部からの不正アクセスや迷惑メール、情報改竄、セキュリティ設備の故障などがセキュリティインシデントに該当する。

多くの企業は、こういったことの発生を抑えるために、全社ぐるみで体制を整えているはずだ。

僕がいた会社でも、年に1回は必ず全社員に教育を行なっていたし、社員証を紛失しただけでも上層部へ報告が行き、対策会議が何度も開かれていた。

当たり前だけど、私物の記憶媒体を社内へ持ち込むのもアウトなので、月に数回の抜き打ち検査で引っかかった者は吊し上げられる仕組みになっている。

スマホはもちろん登録されるし、社内での撮影は当然禁止だ。

紙媒体の持ち出しであっても、申請と承認がなければ客先へすら持っていけないし、持ち帰ってシュレッダー破棄するまでは徹底的に管理される。

業務上の機密情報や個人情報を取り扱っている企業・団体であれば、みんなこのレベルで情報セキュリティの意識があるものだと思っていた。

なのに実際は、定期的に日本のどこかでこういう全国ニュースレベルの事故が発生している。それほど危機意識がないってことなんだろうか。

謝罪会見で「教育を徹底して再発防止に努めます」と言うセリフを聞くたびに、どんな教育内容なんだろうと気になってしまう。むしろこんな教育をしましたってところまで報告できる状態になってから会見したほうが、インシデント発生の防止に有効なんじゃないかしらんと思うのだが。