自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

本学では、メールでファイルを共有する際は可能な限り添付は行わず、Microsoft SharePointなどのクラウドを利用してリンクのみを送信するように意識づけを行ってきた。もし誤った宛先に重要なファイルを送信してしまったとしても、当人が気づいた時点でクラウドからファイルを削除すればその時点において漏洩は止められる。これは100点満点の解決ではないが、リスク軽減の観点から容易な手段と言えるかもしれない。

もちろん、クラウドにアップロードしてよいかどうかを判断する機密性レベルについてはその組織が決めたルールに基づく必要があるが、こうした規定類の策定なども組織でのセキュリティ意識を高めるよいきっかけになる。

とはいえ、メール誤送信は人的ミスなどによって起きることから、自治体などにおいても今のところほとんど減少には転じていない。

例えば2021年1月、福岡県で新型コロナウイルス感染症陽性者に関する約9500人分の個人情報を外部に誤送信するという事案が発生した。2024年2月には、大阪市福祉局で障害福祉サービス事業所宛ての事務連絡をメール送信する際、7468人分の個人情報が記載されたファイルを誤って送信してしまう事故も起きている。

メール誤送信は、普段から当たり前のものとして利用するわれわれ自身がメールそのものに対する意識を変えていかなければ解決の兆しは見えない。しつこいぐらいの送信前確認や管理者による送信承認を必要とする仕組みの導入も、効率面だけでなくプライバシーの面からもよい解決策とは言えない。それぐらい根深い問題である。

HDD流出で注目された｢データ消去｣の観点

もう1つ、取り上げておくべき事案がある。2019年に起きた、神奈川県が行政データを保存していたHDDの不正転売だ。県民の納税記録などの個人情報が含まれた54テラバイトという膨大なデータが格納されたHDDが、ネットオークションで販売されていた。

一般的に、政府や自治体などの公的機関では、通常業務に利用するPCはリース業者との契約により導入されている。神奈川県の事案では、期間満了に伴いリース業者にPCを返却した後、廃棄業者の社員が不正にPCのHDDを抜き取り転売していたのである。