システム監査学会(JSSA)から「ヒューマンエラーの事例と影響」という資料が公表されています。
個人情報などの情報流出の予防対策として、やるべきことは何か。やるべきことのガイドラインやソリューションは世の中に出回っています。しかしながら、技術対策や管理的対策をやりつくしても、結局のところ人間のうっかりミス(ヒューマンエラー)をゼロにするのは難しいです。情報セキュリティ対策に真剣に対策に取組んでいる組織であれば、あるほど最後はヒューマンエラーに関心が向くようです。
資料ではヒューマンエラーのカテゴリを以下のように分類し、それぞれ事例、影響および対策例をまとめています。
放置、紛失、操作ミス、発表・発話ミス、配付ミス、保管ミス、廃棄ミス、送付ミス
ここでの対策例はあくまで例ですので、それで万全ということはないでしょう。けれども、従業者や管理者にこのようなヒューマンエラーが起こりうることを意識させることがまず大事ですね。
↓(広告です)
ヒューマンエラー対策研修
独立行政法人 情報処理推進機構(IPA)より2006年 国内における情報セキュリティ事象被害状況調査の報告書が公開されています。
総務省は9月21日、KDDIのインターネット接続サービス「DION」の顧客情報約400万件が流出した事件を受けて、個人情報の適正管理と再発防止を求める行政指導をしました。これは同社の個人情報の取扱いが「電気通信事業における個人情報保護に関するガイドライン」における個人情報の適正管理に関する規定に違反するものであったとしたからです。
あわせて電気通信事業者団体に対しても、加盟事業者への個人情報管理の徹底を指導するよう要請しています。
個人情報の漏えい事案に関するKDDI株式会社に対する措置 総務省
◆コメント◆
漏えい事件の行政措置としては金融庁が厳しいようですね。各省庁間で厳しさに差があるように思います。
今後のセキュリティの技術的対策を検討する上で、マイクロソフトの次期OS Windows Vistaのセキュリティ機能がどのようになるのかは、考慮にいれておくべきでしょう。というのは、Windows Vistaのセキュリティ機能の強化によって、今まで個別に必要だったセキュリティ対策製品の多くを導入する必要がなくなるからです。
2006年9月1日の日経コミュニケーションの記事 「vProの衝撃 WindowsVistaの真価」はよくまとめられていて、参考になりました。強化の目玉として以下の5つの機能が紹介されていました。
(1)検疫ネットワーク機能
(2)ユーザアカウント制御
(3)スパイウェア対策機能
(4)フィッシング詐欺検知機能
(5)パソコンの紛失や盗難時の情報漏洩を防ぐハード・ディスク・ロックツール
これらによって、セキュリティ製品の導入と維持コストが大幅に削減できる組織も出てきそうです。ただし、既存のOSやシステムを入れ替えるのは、これまた、大変ですからねえ。悩ましいところです。
関連記事
「Windows Vista登場で一部のセキュリティ製品に打撃」:米調査会社 CNET Japan
----
独立行政法人国立印刷局は9日、日銀に納入した1000円札3万9500枚に一部の自動販売機では通りにくいなどの不具合が見つかったと発表した。約4万枚という大規模な紙幣の印刷ミスが発覚したことは過去に例がないという。
----
千円札約4万枚に印刷ミス 自販機を通りにくい紙幣も 共同通信
日本銀行ホームページ
自動販売機等に通りにくい千円券について
印刷ミスの可能性がある紙幣の記号と番号
◆コメント◆
本物のお金だけれど、現金読取装置では使えない場合があるそうです。25億枚の千円札のうち4万枚に印刷ミスなので0.0015%の割合。こういう、お札はマニアの間で希少価値がついたりするのでしょうか?
関連エントリー
偽造500円玉、ATM判別能力を強化
みずほ銀行は、コンピューターウイルス対策ソフト大手のトレンドマイクロと提携し、同行のインターネットバンキングの個人利用者に、ウイルスなどの対策ソフトを3日から無料配布する。
◆コメント◆
おおー、無料とは気前がいいですね。と思って記事をよくみたら、無料期間は90日とのことでした。これならパソコンに普通バンドルされてませんかね。
鹿児島刑務所などの受刑者らの個人情報が、ウイルスに感染した京都刑務所(京都市)職員の私物パソコンからインターネット上に流出していたことが十三日、分かった。漏れた情報は一万件に上る可能性がある。
中日新聞
朝日新聞
◆コメント◆
私物パソコンからの個人情報流出はよくある事故原因ですね。特に公的な機関で多いようです。「私物パソコンに個人情報をコピーしてはいけない」というルールを定めている機関がほとんどだと思うのですが、実行がともなわない問題。こうした事故を減らすためには、何をすればいのでしょうか。
私、自身うまい答えが見つからないのですが、ひとつ言えるのは規則の明確化と周知といった対策だけでは不十分だということです。規則があってもそれが順守されないことが問題なのですから。もしかするとセキュリティ文化、組織風土といったところに、解決のヒントがあるのかもしれませんね。
ネットワークリスクマネジメント協会が2005年セキュリティ十大ニュースを発表しました。
第1位 個人情報保護法全面施行とその効果
第2位 東京証券取引所システム障害
第3位 ウイルスバスターが原因でシステムダウン
電気通信事業における情報セキュリティマネジメント指針(案)が総務省より公表されました。例によって、ご意見(パブリックコメント)を募集中です。
電気通信事業における情報セキュリティマネジメント指針(案)に対する意見募集
◆意見募集の締切りは1月12日◆
うーむ。官僚の人たちは本気で広く意見を募集しようとしているのでしょうか。総務省だけではないのですが、年内に(案)の公表。意見募集の締め切りが1月はじめというのが多いですね。
本案に対し、国民の皆様から広く意見を募集することとします。とありますが…
「とりあえず、今年中には出したぞ。文句のある奴がいれば年末年始にチェックして提出しろ。」と言われているようです。(笑)
IT戦略本部が「IT新改革戦略 -ITによる日本の改革-(案)」を公表、パブリックコメントを募集しています。情報セキュリティに関連する項目はIT基盤の整備(全般) 「安心してITを使える環境の整備 」という項目としてあがっていました。そのなかから、情報セキュリティガバナンスに関連しそうな部分をご紹介します。
-------