C部署は、受託業務の一環でP社の顧客の個人情報をエクセル形式のデータで預かり、自社のサーバーに保管していた。当エクセルファイルにはPWはつけておらず、暗号化もしていなかった。
受託契約上では、「情報は1ヶ月保管し、その後消去すること」になっていたが、C部署としては、1ヶ月以降にも問合せが入る可能性を考えて、運用の観点からP社には言わずに念のため1年保管としていた。
ある日、C部署の社員Aが、ゴルフコンペの案内メールを受信した。メールの送り主の名前に心当たりがなかったが、ゴルフ好きの社員Aは、深く考えることなく当メールの添付ファイルを開いてしまった。
このメールは標的型メールであった為、社員Aの端末がウィルスに感染し、端末が乗っ取られ、C部署のサーバーに保管されていたP社の顧客の個人情報が搾取された。
契約通りの1ヶ月分であれば、1000件程度であったが、実際には1年分保管していた為、1万件を超える個人情報が流出してしまった。
「今日の事例」は最近流行っている「標的型メール攻撃」をきっかにした情報流出です。
標的型メール攻撃は、企業規模に限らず全ての企業を対象にバラマキ型のメールが送られてきます。最近ではメールの内容も高度化していて、業務に関連しそうなもの、興味をそそるもの、など、ついつい開いてしまうような内容になっています。
ここで今回事例の「リスクポイント(リスクが発生するポイント)」について考えてみましょう。
個人情報がそのまま保管されていたこと
保管期間を勝手に延長していたこと
標的型メール攻撃への対応策不足
標的型メール攻撃をいつ受けるか分かりません。上記のリスクポイントを踏まえて、情報流出事故が発生する可能性を少しでも少なくする方法を考えてみて下さい。
今回の事例で個人情報が流出したことにより発生する結果は何でしょうか?
影響として一番大きいことは「P社の個人情報が流出した」ことです。結果の可能性として考えられることは以下の3点です。
個人情報の対象顧客からのクレーム
P社との関係の悪化(信用の失墜)
P社との契約違反~損害賠償
今回の事例のように、情報の保管期間を本来必要な期間よりもつい延長してしまうことは良くあることかと思います。
しかし、その保管期間が延長されていることによって、保管している情報量が増え、結果として大量の情報流出に繋がってしまいます。
情報セキュリティの観点では、情報の保管期間は必要最小限に留める、ということに常に留意しておきましょう。