サイバーじゃなくても、個人情報漏えいって起きるんだね:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(34)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第34列車は「誤送付による個人情報漏えい」です。※このマンガはフィクションです。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第34列車:照合を依頼したから大丈夫だよね
井二かけるの追い解説
今回のテーマは「誤送付による個人情報漏えい」です。
筆者が実際に起こしてしまった個人情報漏えい事故に基づき、教訓をマンガ化したもの(一部フィクション)です。
物理でも起こる情報セキュリティ事故
2023年2月1日から3月18日は「サイバーセキュリティ月間」です。しかし、セキュリティはサイバーだけに注意すればいいというものではありません。忘れてはならないのは、物理的な情報セキュリティです。
2021年度の日本情報経済社会推進協会(JIPDEC)の調査によると、誤送付を原因とする個人情報漏えいのうち、「メール誤送信37.0%」「書類など送付時の宛名間違いなど11.6%」「封入ミス10.9%」であり、紙媒体での誤送付は無視できない割合となっています。
最近は、群馬県、日本年金機構などでも誤送付事案がありました。
マンガを題材にして、なぜ誤送付が起きてしまうのか考えていきましょう。
インシデントの概要
インシデントをおさらいしましょう。
まず、京姫鉄道と蔵王電鉄とのコラボ企画として、2社がそれぞれ顧客に送る商品を用意しました。しかし、1件の受注に対してそれぞれの会社で別々に商品を送ると送料が無駄になります。そこで、京姫鉄道から蔵王電鉄に京姫鉄道分の商品を全て送り、蔵王電鉄でセット組みと梱包(こんぽう)を行い、顧客に送付することにしました。
その際、同梱(どうこん)物が顧客によって異なることから、誤送付が発生しないように、京姫鉄道は以下の対策を行いました。
- 全ての商品に番号を記載する
- セット組みと梱包の際に「番号の照合」を依頼する
これで、誤送付は発生しないはず……でした。
ところが、京姫鉄道側の番号の記載方法が統一されていなかったため、蔵王電鉄側は一部の商品には番号が記載されていないと思い、「番号の照合」という指示を「番号が『あるもの』だけを照合する」ものと誤解しました。横で聞いていたアカネの指摘がなければ、「番号が『ないもの』」と判断された商品は照合作業の対象から外れてしまうところだったのです。
もし照合作業が行われず、中身の入れ違いが起きていれば、そして同梱物に住所や氏名を記載した書類などが含まれていたら、個人情報漏えいにつながっていたところでした。
インシデント発生の原因その1:複雑な作業
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第11列車は「パスワード別送」です。 - これはランサムウェアですか?
長く使われた物には魂が宿ると言いますが、このシステムに宿っていたのはゴミでした――情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」が、この夏「@IT」に降臨! うわーん、アカネちゃーん。何とかしてー! - 「『一回転』でググれ」と言ったら、逮捕されますか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第13列車は「不正指令電磁的記録供用罪」です。※このマンガはフィクションです。実際の法解釈や法運用とは異なります