ニュース 2021.04.20 あなたならどうする？オークションで見つけた端末に14万人分の個人情報

同センターによると、このパソコンは、2018年末に事務職の職員が仕事のために持ち帰ったものだという。

年月が経ち、家に放置されたまま使われていなかったこのパソコンは、要らないものだと判断した家族により廃棄事業者の手に渡った。最終的にこのパソコンを手にした人物が、同機構の情報が保存されたままであることに気がつき、連絡を入れたことから発覚している。

情報が閲覧された形跡はなく、無傷のままであり、事なきを得た。しかし、パソコンを持ちだした従業員は、10日間の停職とする懲戒処分を受けることとなった。

業務用パソコンが、従業員によって社外に持ち出され、その後、故意にではないものの結果として個人情報が流出してしまう事案が後を絶たない。

従業員が、端末を気軽に持ち出してしまうのは、セキュリティに関する社員教育が徹底されていないからだろう。今回持ち出されたパソコンには、住所氏名などの基本的な個人情報のほか、一部、病名なども記載されていたという。

センター側では、持ち出された時期にパソコンの入れ替えを行っており、該当端末は、廃棄リストに入っていたという。

端末の持ち出しにリスクがある、という意識はもちろん大事だ。

しかし、廃棄リストにある端末こそ、セキュリティ上、情報ごと完全に廃棄されるまで見届ける必要がある。

今回、発覚するまでの2年以上にわたり、この点が見過ごされていた事実にこそ問題があるのではないだろうか。廃棄するべき端末が見当たらないとなれば、その時点で、解決できた可能性が高い。

個人に懲戒処分を与えることよりも、セキュリティに対する意識を、組織全体で見直す必要があるだろう。

【関連リンク】

・国立病院機構、職員が患者情報約14万件含むPCを持ち出し - オークション落札者の連絡で判明（Security NEXT）
https://www.security-next.com/125017

TEXT：セキュリティ通信 編集部
PHOTO：iStock