7月4日(月)
尼崎市のUSBメモリー紛失事件は福祉施設においても起こりえる出来事です。
大きな過失はあっても悪意は無かったため、被害は運よく避けられた。
ただの幸運といえます。
そして、福祉施設には狙われるだけの個人情報が満載です
うちは少人数だからと言っても危険です。
規模や人数に関係ありません。
・詐欺に使われやすい高齢者本人や家族の年齢
・加算割合から推測される資産
・役所の人間を偽れる介護保険情報
ぱっと思いつくだけでもこれだけあります。
簡単にできるUSBメモリのセキュリティチェック
パソコンにはご利用者様の情報が入った介護ソフトやエクセルのデータがあると仮定しています。
※非常にザックリ分かりやすく書いていますのでツッコミはご遠慮下さい
レベル1 パソコンを使うためにIDとパスワード等を入れる必要が無い
今どきは個人のパソコンでもPINやパスワードが標準です。
法人であれば論外であり、セキュリティ以前の問題です
レベル2 パソコンを使うためのIDとパスワードは職員で共有
IDが別であればパソコンにはUSBを差した記録も残っているため特定が出来ます。
この対応は責任をなぁなぁにするものでは無く、法人の責任を一層重くするだけの愚行です。
レベル3 規則内であればUSBメモリを使用して良い
性善説に乗っ取った古い対応です。
法人としての責任は免れません。
レベル4 USBメモリの使用禁止
ここが最低ラインです。
データの移動は法人内の共有サーバーを使用して、外に出ることはありません。
レベル5 穴をふさいで物理的にUSBを差せなくする
プライバシーマークを取得している企業ではこういった対応も多いです。
無理矢理こじ開ける等で差すことは出来てもシステム管理部に即通報が行きます。
まとめ
現実的には家で資料を作ろうとする職員もいるのでUSBメモリ禁止のハードルは高いです。
しかし、資料を作っているように見えて個人情報を持ち帰っているかもしれません。
職員のパソコン作業をしっかりと監視している法人であれば問題ありませんが、
極々少数であり、そこまでしていればセキュリティ意識も高いので危険性は少なくなります。
最低限のセキュリティは義務と言えるので気を付けましょう
情報処理推進機構のホームページがおススメ
(https://www.ipa.go.jp/)
特にこの資料分かりやすい
中小企業の情報セキュリティ対策ガイドライン
(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)
コメント