USBの管理不足による情報漏洩件数

近年、個人情報の漏洩に関するニュースが世間を騒がせることが多くなってきました。NPO法人日本ネットワークセキュリティ協会の調査(2019年)によると、2018年の個人情報漏洩事件の件数(インターネットニュース等で報道されたものおよび法人等の組織から公表されたものを集計)は443件、対象となった個人情報の件数はおよそ561万人分と、社会にとても大きな影響を与えるものとなっています。

発生件数を媒体・経路別に見ると、インターネットや電子メールを経由するものが全体の約48％とほぼ半数を占めますが、USB等の可搬媒体を原因とするものも全体の12.6%と、2016年（9.6%）や2017年（10.5%）と比べて割合が増加しています。

一方発生件数を原因別に見ると、「紛失・置き忘れ」が全体の26.2%、「盗難」が3.8%となっており、合わせて全体の30%を占めています。短絡的に結論付ける訳にはいきませんが、USB等の可搬媒体の性質を考えると、USB等の可搬媒体に係る情報漏洩の原因の背景には、媒体の紛失・置き忘れや盗難といったことが関係しているのではと考えられます。

参照：2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版)

USB紛失の情報漏洩事例5件

それでは次に、実際にUSBの管理不足が原因と考えられる情報漏洩事件のうち、代表的なものをご紹介します。

1.尼崎市USBメモリー紛失事案

兵庫県尼崎市は2022年6月、市の臨時給付金支給事業を受託した業者の関係者が、全市民約46万人等が記録されたUSBメモリをカバンに入れて外部に持ち出した後飲食店に立ち寄り、その後酒に酔った挙句カバンごと毎紛失したと明らかにしました。

市によると紛失したのは事業を受託した業者の関係社員で、受託業務の一環でデータ移管作業を進めるため、尼崎市市政情報センターからUSBメモリ(パスワード設定済)を自分のカバンに入れて持ち出したとのこと。尼崎市は受託業者に委託者である尼崎市役所以外の事業所での作業許可を与えていましたが、具体的な持ち出し方法についての指示や市の規程上必要とされるセキュリティ基準を遵守せず、業者に任せきりにしていました。

USBメモリを持ち出した社員はデータ移管作業完了後、帰宅前に飲食店に立ち寄り、飲酒をして泥酔、その後の帰宅の際にUSBメモリを収納したカバンを紛失しました。その後の第三者調査委員会の報告によると、カバンおよび中身のUSBメモリはその後警察の協力も得て発見され、USBメモリも検査の結果、データの抜き取りも確認されませんでした。この事案については第三者調査委員会の報告で、以下のような問題点が指摘されています。

（1） 受託業者の問題

・市に無断で再委託先・再々委託先の社員にデータ移管作業を行わせていたこと
・市との業務委託契約上必要とされる遵守事項(市のセキュリティ基準やUSB運搬時の規則等の遵守)に従っていなかったこと
・市のサーバからのデータ抽出時の作業管理体制や、市から借用したUSBメモリの日常の管理体制がずさん（持ち出し・返却の管理が不十分なことや、作業後に使用したUSBの中身のデータを消去してない等）であったこと

(2) 市側の問題

・業者によるサーバ室内での作業に立ち会わなず、監視カメラで死角となる場所があったなど、サーバ室内の管理体制(入退室管理等)が不十分であること
・業者に入室許可を与える際の手続きが不十分であること(許可対象者の身元確認等が不十分)
・セキュリテイ対策基準を遵守してないこと(特にUSBメモリの外部持ち出し時のルール違反)

本件については当時マスコミ報道が盛んに行われたことや、当時の総務大臣が各自治体に情報セキュリティ対策の徹底を求めるなどといったことがあり、問題が世間に広まりました。本事例以外でも、外部委託に伴う情報漏洩事件は度々発生しています。業務を委託する際には、発注業者と受託業者で情報セキュリティ対策や業務フローの認識を揃え、お互いに監視し合うことが重要でしょう。

参考：尼崎市 USB メモリ―紛失事案に関する調査報告書 | 尼崎市 USB メモリ―紛失事案調査委員会

2.東海大学教員のUSBメモリの入ったカバンが盗難に遭遇

東海大学は2023年2月、同大学の教員がフランス・パリ近郊の空港で置き引きに遭い、ノートパソコンおよびUSBメモリを紛失したと公表しました。USBメモリの中には在学生や卒業生の個人情報等合計2,016件が含まれており、その個人情報が流出した可能性があるとしています。

東海大学によると、教員は直ちに現地の警察に被害届を出しましたが、公表時点で発見には至っていません。パソコンやUSBメモリには在学生や卒業生の学生番号、氏名、成績評価のほか、ゼミの学生の顔写真や提出したレポートなどが記録されており、対象情報についての流出の可能性が懸念されています。

大学としては、該当者へのお詫びや状況報告を行っているとのことですが、公表時点では解決の目途は立っていないとのことです。大学では本件を重く受け止め、改めて教職員への通知や研修等を通じて、情報機器の管理徹底と個人情報の取り扱いにより一層の意識向上を図ることで再発防止に取り組むとしています。

参考：本学教員所有のノートパソコンとUSBメモリの盗難被害について | お知らせ | 東海大学 - Tokai University

3.昭和大学付属病院内で患者情報を記録したUSBメモリを紛失

昭和大学付属病院は2020年11月、病院の事務室内で使用する患者情報を記録したUSBメモリを紛失した旨、公式ウェブサイトにて明らかにしました。病院によると、紛失したUSBメモリは病院の診療費等の請求管理の目的のために使用されていたもので、同院から診療請求の発生した患者14万9,335名分の情報が記録されていました。

同院では紛失の詳細な経緯を明らかにしていませんが、紛失現場が同院内であることなどから、院外への流出の可能性は非常に低いとしており、被害可能性のある患者や家族に謝罪をしました。同院は再発防止策として、改めて全職員に情報管理および運用に関する徹底した注意喚起を実施するとしています。

参考：患者様情報を含むUSBメモリ紛失に関するお詫びとご報告 | 昭和大学病院

4.関西テレビで番組のプレゼント応募者情報を記録したUSBメモリを紛失

民間の放送局である関西テレビ放送株式会社は2020年9月、番組視聴者プレゼントの応募者2,491名の個人情報を記録したUSBメモリを紛失した可能性がある旨公表しました。同社によれば、USBメモリは同社が番組制作を委託している関係会社が管理・運用していたもので、関係会社の事務所移転作業中にUSBメモリを紛失した可能性があるとのことです。同社が定期的に実施している外部記憶媒体の残高確認作業の過程で紛失が発覚したとしています。

その後、同社および関係会社で関係各所を捜索するも発見には至らず、被害者らに謝罪しています。当該USBについてはハードウェア暗号化を施しており、閲覧する場合にも複数の手順を必要とする対策を取っているため、情報流出の可能性は低いとのことですが、今後の再発防止策として情報運用体制の徹底を周知するなど、対策を行うとしています。

参考：USBメモリ紛失に関するお詫びとご報告 | 企業情報 | 関西テレビ放送 カンテレ

5.愛知県豊橋市で取引先情報を記録したUSBメモリを紛失

地方自治体である愛知県豊橋市は2020年7月、市の上下水道局の取引先情報を記録したUSBメモリを紛失したと公表しました。市によると、大規模災害発生時などによるデータ遺失を阻止するため、バックアップデータを外部企業に預け保管する運用を進めていたもので、上下水道局もこれに従い、USBメモリ1本をデータ管理業務を受託する業者に提供していました。

ところがその後、担当職員がUSBメモリ1本が1本不足していることを発見、紛失が発覚しました。たもので、市の調査の結果、職員と委託先業者との間でUSBメモリのやりとりを行う過程で、USB受け渡しの事前調整がされていなかったことや、受け渡しに関する内容確認不十分であったことが原因で何らかの原因により紛失するに至ったとしています。

なお市によると、紛失したUSBメモリのデータはパスワード設定がされている上、データの閲覧をするには専用のシステムを使用することが必要なファイル形式で記録されているとのことで、公表時点で情報の悪用被害などは確認されていませんが、公表時点でUSBメモリは発見されておりません。

参考：公営企業会計システム用バックアップUSBの紛失について/豊橋市

⇒「情報漏洩対策」に便利な3つの理由 - 漏洩チェッカー

USB紛失の情報漏洩対策3選

以上、USBメモリの紛失・盗難事案をご紹介しました。小さな筐体で大容量のデータ格納が可能なため、大変利便性の高いUSBメモリですが、一方でその裏には情報漏洩という大きなセキュリティリスクが潜んでいます。そのセキュリティリスクをうまくコントロールしてUSBメモリの利便性を享受するにはどうしたらよいか、以下にUSBセキュリティの対策を考察しました。

1. USBメモリ自体のセキュリティ対策

USBメモリの紛失・盗難対策として、パスワード設定やデータの暗号化、USBメモリに記憶させるデータも暗号化するなど、二重・三重の安全対策を採り、外部者がデータを取り込めないようにすることが重要です。

また、GPS機能付きのUSBメモリを使用して紛失後の追跡を可能とするなどの対策も考えられます。

2. 組織内におけるUSBメモリの管理ルールの徹底

USBメモリを組織内で使用する際の持ち出しや返却に際しては管理者の承認・確認を求めることや、USBメモリ使用後のデータ消去を管理者が確認することなど、USBメモリの管理フローを強化することも対策の一つです。

また、やむを得ずUSBメモリにデータを格納して組織外に持ち出す際には、ルールを厳格化することなど、USBメモリを使用する際のハードルを高くしてその使用を管理することが重要です。

3. 関係者のセキュリティ教育

上記で紹介したようなセキュリティ・インシデント事案を題材にするなどして、USBメモリの使用に関する一層の安全性確保をするためのセキュリティ教育を定期的に実施することが必要です。

まとめ

以上、USBメモリに関する情報漏洩事案とそれを防止するためのセキュリティ対策についてご説明してきました。USBメモリを紛失・盗難したとなった場合のリスクをうまくコントロールして、その利便性を享受することが重要であると考えます。

関連記事：社用PCの紛失による3つのリスクと情報漏洩対策3選 | 漏洩チェッカー