パスワードを忘れた? アカウント作成

日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に」記事へのコメント

  • by Suzuno (48093) on 2018年07月06日 20時04分 (#3438607) 日記

    別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた

    窃取されたデータは日経新聞社員約3000人の賃金などのデータ

    って、えー?

    時事通信の記事 [jiji.com]には

    元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り

    情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。

    個人情報保護方針 [nks.co.jp]には

    当社は2007年6月、一般財団法人 日本情報経済社会推進協会より個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマークの付与認定を受けております。

    なんて書いてあるけど、どこまでザルな審査してたんだか・・・

    ここに返信
    • by nemui4 (20313) on 2018年07月06日 20時42分 (#3438629) 日記

      労基の方は大丈夫なんすかね

      この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

      • by Anonymous Coward

        労基を恐れるあまり発覚が遅れたりしても、漏洩の被害者以外が誰も損しない世界に

    • by Anonymous Coward on 2018年07月06日 20時15分 (#3438612)

      bitlockerでも掛けていたら、こういうのは防げたかな

      • by Anonymous Coward on 2018年07月07日 8時05分 (#3438795)

        ノートPCは暗号化必須だが、デスクトップPCにまでその規制を徹底してるところは少ないな
        あくまで、出先で盗難されたケースしか想定してないから
        ただ、個人情報を集約してるディスクを暗号化してないってのはずさんの一言に尽きる

    • つまるところ複合事案ってとこかな

      * 情報システムなど専門部署でないのに入手できた(ただ廃棄プロセスまでいくと知ってる人間ならソーシャルハックはしやすいかもしれないが)
      * PCの暗号化や廃棄プロセス
      * 両方合せたプライバシーマーク他関係
      * 動機に関係する労働環境

      処分自体はわりとちゃんとしてる?

      --
      M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

      • プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

        難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。

        で、同規格の4.2(要求事項/個人情報保護方針)には

        個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

        を維持し、実行することが求められてるから。
        流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

        で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。

        • by Anonymous Coward on 2018年07月07日 7時56分 (#3438791)

          個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

          を維持し、実行することが求められてるから。
          流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

          とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
          末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。

          こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。

          そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。

          • by Anonymous Coward

            Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。

            • by Anonymous Coward

              そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。
              Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。
              みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。

    • by Anonymous Coward

      プライバシーマークは企業が堂々と個人情報を使えるようにするために作られたもんだから
      過去にもお粗末な原因で大規模な流出しても大手企業ということで実質お咎めなしの実績が多々ある
      悪意のある言い方をすれば、ただの利権団体だからね
      入札するのに必要だから取得している会社は多いけど、セキュリティに対しての認識が驚くほど低レベルなのも珍しくない

      • by Anonymous Coward on 2018年07月07日 9時04分 (#3438820)

        PマークもISMSも取得してて、更新にも関わってて、私自身は安全支援士だけど、まぁザルですわ。
        世の中には、セキュリティ?個人情報?なにそれおいしいの?レベルの会社が大半なので、
        最低ライン(用語くらいは知ってて気をつけてますぐらい)の対策はしてますよ的な認証だと思って欲しい。
        取得しているからあそこは安心なんて考えは捨てたほうがよい。

        • by Anonymous Coward

          >取得しているからあそこは安心なんて考えは捨てたほうがよい。

          それは確かに事実だけど、取得してない会社は想像を超えるレベルを行くので一定の役割は果たしてると思う。

          取得してないところの例では、購入した機器にユーザ登録する時のパスワードも、クラウド上の会計システムにログインする
          パスワードも、社内サーバのパスワードもNW機器のスーパーユーザのパスワードも全部同じで全社員が知ってるとかね。
          ついでにメールの添付ファイルのzipパスワードまで同じ・・・相手が取引先とかでも。

          一見すると経済産業省が出す「ガイドライン」を守ってるように見えるのに、第三者認証を受けないと最も重要な部分が
          欠落するので、やっぱり第三者認証は必要だと思う。(認証通過の辻褄だけ合わせるって例を考慮してもね・・・)

          • by Anonymous Coward

            取得しててもそのぐらい余裕でやってますよ。
            しかし監査ではしっかり規則を遵守してることになってます。
            取得してない会社は、必要性や意味すら分かってないレベルだと思います。

            • by Anonymous Coward

              取得してない会社は、必要性や意味すら分かってないレベルだと思います。

              CCCの悪口はやめて差し上げろ。

              • by Anonymous Coward
                あそこはきちんと取得しただろ!
                そのあと独自認証に移行しただけで。
        • by Anonymous Coward

          自分は、社内連絡ツールとしてLINEを正式に採用している企業があることにびっくりしました。
          なんてレベルが低いんだ。

          機密情報を持つ公務員(警察関係者や自衛官とか)がLINEを使うような低レベルではないことを祈ります。
          まさか、政治家は使ってないよね・・・?

          • by Anonymous Coward

            「みなし公務員」の業務請け負ってるけど、連絡手段でLINE WORKS導入されてるね。
            個人情報のやりとりとかにも使ってるね。

        • by Anonymous Coward
          > 個人情報?なにそれおいしいの?
          いやいや、Pマークのおかげで個人情報を好き放題に扱えるんだからおいしいんですよ。
          取得企業にも、認定団体にも。
      • by Anonymous Coward

        あんま厳しすぎると取得を諦める企業が増えて結果的に全体のレベルが下がるから、ゆるふわ規格も啓蒙の効果はあると思う。

    • by Anonymous Coward

      こういった個人情報保護の審査は、管理体制を審査するものであって、結果を担保するものではない

      管理体制がしっかりしてるにもかからわず漏れた場合でも別に審査不備にはつながらない
      管理体制がしっかりしてないが漏れなかったっていうのは審査不備

      • by Anonymous Coward

        いや、
        ・ソフトウェア的なデータ保護ソリューションなし
        ・サーバー室等に物理隔離されてない
        ・他部署の人間が出入りし持ち出せる場所
        ・ワイヤー等の施錠もない
        ・何千人単位の個人情報が格納されてる
        ・賃金データのようなセンシティブ情報
        なんてものは、管理体制と呼べるモノがあれば存在できないよ
        どれかひとつの要素ぐらいはあり得るけど、全部揃うのは管理漏れっていうレベルじゃない

        • by Anonymous Coward

          それ、どこかの区役所ですか?

          • by Anonymous Coward

            お役所とも仕事でお付き合いあるけどほんと大変そう。

        • by Anonymous Coward

          それでも絶対審査側は悪くないんです!

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...