サイバーじゃなくても、個人情報漏えいって起きるんだね:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(34)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第34列車は「誤送付による個人情報漏えい」です。※このマンガはフィクションです。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第34列車:照合を依頼したから大丈夫だよね
井二かけるの追い解説
今回のテーマは「誤送付による個人情報漏えい」です。
筆者が実際に起こしてしまった個人情報漏えい事故に基づき、教訓をマンガ化したもの(一部フィクション)です。
物理でも起こる情報セキュリティ事故
2023年2月1日から3月18日は「サイバーセキュリティ月間」です。しかし、セキュリティはサイバーだけに注意すればいいというものではありません。忘れてはならないのは、物理的な情報セキュリティです。
2021年度の日本情報経済社会推進協会(JIPDEC)の調査によると、誤送付を原因とする個人情報漏えいのうち、「メール誤送信37.0%」「書類など送付時の宛名間違いなど11.6%」「封入ミス10.9%」であり、紙媒体での誤送付は無視できない割合となっています。
最近は、群馬県、日本年金機構などでも誤送付事案がありました。
マンガを題材にして、なぜ誤送付が起きてしまうのか考えていきましょう。
インシデントの概要
インシデントをおさらいしましょう。
まず、京姫鉄道と蔵王電鉄とのコラボ企画として、2社がそれぞれ顧客に送る商品を用意しました。しかし、1件の受注に対してそれぞれの会社で別々に商品を送ると送料が無駄になります。そこで、京姫鉄道から蔵王電鉄に京姫鉄道分の商品を全て送り、蔵王電鉄でセット組みと梱包(こんぽう)を行い、顧客に送付することにしました。
その際、同梱(どうこん)物が顧客によって異なることから、誤送付が発生しないように、京姫鉄道は以下の対策を行いました。
- 全ての商品に番号を記載する
- セット組みと梱包の際に「番号の照合」を依頼する
これで、誤送付は発生しないはず……でした。
ところが、京姫鉄道側の番号の記載方法が統一されていなかったため、蔵王電鉄側は一部の商品には番号が記載されていないと思い、「番号の照合」という指示を「番号が『あるもの』だけを照合する」ものと誤解しました。横で聞いていたアカネの指摘がなければ、「番号が『ないもの』」と判断された商品は照合作業の対象から外れてしまうところだったのです。
もし照合作業が行われず、中身の入れ違いが起きていれば、そして同梱物に住所や氏名を記載した書類などが含まれていたら、個人情報漏えいにつながっていたところでした。
インシデント発生の原因その1:複雑な作業
京姫鉄道の広報担当 英賀保芽依氏は、さまざまなパターンの商品を用意していたようです。
その結果、封入物のチェックや番号照合を何度も行わなければならなくなり、作業が複雑化しました。単純計算ですが、1つの作業をミスなく行える確率が99%だとすると、100回繰り返せば、少なくとも1回以上ミスが発生する確率は約63%(※)です。
防止対策として、以下が考えられます。
- 商品のパターンを減らし(できれば1つにする)、必要な照合作業を減らす
- 梱包、発送を専門とする業者に外注する
インシデント発生の原因その2:書式の不統一と認識の齟齬(そご)
京姫鉄道の納品物は、「番号」の記載方法が商品によって異なっていました。
例えば、茶封筒のAセットは大きく番号を記載していますが、透明封筒に入っているBセットは同封書類に小さく番号を記載しているだけです。このため蔵王電鉄担当者は、Bセットには番号が記載されていないと勘違いしました。
さらに悪いことに、京姫鉄道からの指示は「番号の照合」だけでした。もし、「全ての商品に番号を割り振っていること」と「AセットBセットそれぞれ、どこに番号を記載しているのか」を具体的に写真付きの手順書で指示していたら、蔵王電鉄担当者は勘違いしなかったでしょう。
防止対策として、以下が考えられます。
- 番号の書式を統一して作業者に迷わせない
- 写真などを用いた具体的な業務指示書を交付する
インシデントが起きてしまったら
マンガでは祝園アカネ氏の指摘により誤送付を未然に防げました。では、誤送付が起きてしまった場合は、どう行動するべきでしょうか?
冒頭で触れた筆者の事例では発送まで間違いに気付かず、誤った内容物を本来送るべきではない方々に送付してしまいました。しかも同梱書類に個人情報を記載していたため個人情報漏えい事故になり、複数の方に大変なご迷惑をおかけしてしまいました。情報セキュリティ啓発活動を行う一人として、大いに反省しているところです。
しかし不幸中の幸いというべきか、漏えい件数は最終的に半数以下にとどまりました。なぜでしょうか。
それは、顧客や関係者の素早い行動のおかげでした。
最初に誤送付の荷物を受け取った顧客から即座に問い合わせの連絡が入りました。次に、関係者の素早い対応によって誤送付の可能性がある荷物が特定され、速やかに配達停止と返送依頼を行えました。それにより、既に配達された分以外を取り戻せたのです。もし最初の連絡がなければ、そして速やかに荷物の配達停止ができなければ、多くの個人情報を漏えいしてしまうところでした。
インシデント対応の原則である以下のポイントは、物理的な情報セキュリティにも有効であることが実証されました。
- 気付いたら、素早く連絡する
- 連絡を受けたら、素早く対応する
とはいえ、事前にこのような事態を想定したマニュアルを用意していたわけではなく、顧客や関係者が日々情報セキュリティに関心を持っていたからこそ、偶然事故を最小限に抑えることができたにすぎません。荷物の送付業務などを行う際は、万が一に備え、以下の対応をしておくことが望ましいでしょう。
- 緊急連絡先を送付状に記載する
- 連絡が最短で担当者に届くように手配する
- 緊急対応ができるように、休業日と配達予定日が重ならないようにする
- 必要に応じて関係者全員で対応マニュアルを共有する
本マンガ、そして筆者の事例を教訓として誤送付事故が減ることを願います。
Copyright 2012-2023 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます
筆者プロフィール
原作:井二かける
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)2020年2月発売
「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版) 2022年6月発売
- Twitter:@k_ibuta
解説:京姫鉄道
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
原作:OPAP-JP contributors
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
- Twitter:@opap_jp、@kosys_pr
- 公式サイト:Open Process Animation Project Japan(OPAP-JP)
- 貢献者一覧:こうしす!/クレジット
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第11列車は「パスワード別送」です。
これはランサムウェアですか?
長く使われた物には魂が宿ると言いますが、このシステムに宿っていたのはゴミでした――情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」が、この夏「@IT」に降臨! うわーん、アカネちゃーん。何とかしてー!
「『一回転』でググれ」と言ったら、逮捕されますか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第13列車は「不正指令電磁的記録供用罪」です。※このマンガはフィクションです。実際の法解釈や法運用とは異なります