前回は紛失に起因する銀行の個人情報流出事件を取り上げた。販売窓口を担う優秀な人材の確保は,金融機関に限った問題ではない。流通業界でも,ユニクロが2007年4月から店舗勤務の契約社員・準社員を正社員として雇用する「地域限定正社員制度」をスタートさせた。最近では,ロフトが2008年3月からパートタイマー,契約社員,正社員の3区分を撤廃し,パートの希望者全員を正社員にする新人事制度をスタートさせるなど,金融機関と同様の動きが加速している。ただし,パートであれ,正社員であれ,個人情報取扱事業者としての責任を負うのが経営者である点は変わらない。
さて今回は,盗難に起因する個人情報流出事件を取り上げてみたい。
キャンパス内で狙われた個人情報入りノート・パソコン
2008年1月28日,近畿大学は,工学部広島キャンパスの講義教室で学生の個人情報を記録したノート・パソコン1台が盗難に遭ったことを発表した(「パソコン盗難による個人情報漏洩について(お詫び)」参照)。講義準備のため教室に持ち込んだPCを一時的に放置した間に盗まれたもので,パソコンには学生337人分の学籍番号,氏名,出欠状況の他,99人分の中間筆記試験結果が記録されていたという。
続く2月18日には,東京医科歯科大学が,同学歯学部附属病院の患者情報を保存したノート・パソコン2台が盗難に遭ったことを発表した(「患者個人情報が保存されているノート型パソコンの盗難について」参照)。パソコンには患者15人分の氏名,ID番号,口腔内写真と患者5人分の口腔内写真が保存されていた。新聞報道によると,パソコンには暗証番号などの対策は施されていなかったという。
第53回で,教育分野の盗難による個人情報流出を取り上げたことがあるが,いずれも発生場所は学外だった。これに対して,近畿大学も東京医科歯科大学も,学内で盗難事故が発生している。両大学以外にも,都内の大学の理工系研究室を狙ったパソコンの盗難が相次いで発生しており,注意が必要だ。
最初から盗難の標的になるノート・パソコン
大学以外でも,パソコン盗難による個人情報流出は発生している。2008年2月19日には,独立行政法人産業技術総合研究所が,つくばセンター西事業所本館において盗難が発生したことを発表している(「つくばセンター西事業所における盗難について」参照)。被害に遭ったのは,ノート・パソコン8台,ポータブル型ハードディスク2台,PDA1台,携帯型メモリー3個。それらの中には,委員会名簿やメール・アドレスなどの個人情報が含まれていたという。
2月22日には,ノーリツが,同社の子会社であるエヌティーエスの協力会社において,顧客情報が保存されたパソコンを盗まれたことを発表している(「お客様情報の盗難」に関するお詫びとお知らせ」参照)。盗難に遭ったパソコンには,協力会社が取付工事業務を受託した顧客の名前,住所,工事内容,工事日などの個人情報を含むデータ(2001年~2007年分)合計2038件(うち290件は電話番号も含む)が保存されていた。パソコンは,起動時にパスワードの入力が必要となるように設定されていたという。
従来の盗難による個人情報流出事故を見ると,社外で盗まれたバッグ類に,個人情報を含むパソコンや書類がたまたま入っていたというケースが多かった。だが最近の事例では,どうやら最初からパソコンが盗難の標的になっているようだ。
日本損害保険協会の調査結果によると,自動車盗難事故の7割以上が,キーを抜いてロックされている状態で盗まれたものであり,また,車上荒らしの被害品としてカーナビが急増しているという(「第7回 自動車盗難アンケート 結果を公表」参照)。カーナビをパソコンに置き換えて考えると,個人認証,暗号化ツールなどセキュリティ対策を施したパソコンを施錠された部屋に保管しておいたとしても,盗みのプロは狙ってくるということだろうか。
とはいえ,ノート・パソコンのメリットは,自由に持ち運びできて,いつでもどこでも使えること。盗難防止セキュリティワイヤーを付けて仕舞い込んだら,機器本来のメリットが失われてしまう。利便性と情報漏えいリスクのバランスを考えながら,ノート・パソコンのセキュリティポリシーや盗難防止対策を考える必要がありそうだ。
次回は,フィルタリングと子どもの個人情報保護について考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
