業務でUSBメモリを安全に使うために知っておくべきポイント　サイバーセキュリティ対策実践講座 第1回

毎日のように報道される、サイバーセキュリティの脅威や事故、被害事例。多くのビジネスマンが目にして、わが社も注意しなければと思うことでしょう。

しかし、実際に何をどのように対応すべきかを判断し、正確に行動のできる人はどれだけいるでしょうか。そもそも正解はあるのでしょうか。

そこで、サイバーセキュリティの事故や被害のニュースを紹介しながら、いったいどのような対策が必要であるのか？どう行動すべきかをガイダンスすべきと考え、新たな連載を始めることにしました。

ここで紹介する対応策が、最善策でこれだけ対応すれば大丈夫ということではないのがサイバーセキュリティの世界ではありますが、一つの参考になればと考えています。

そして、第1回は、USBメモリに関する対応を紹介します。

---

業務でUSBメモリを安全に使うために知っておくべきポイント

2023年を振り返ると、サイバー攻撃のみならず、USBメモリなどの外部記憶媒体の紛失によって重要な情報が漏えいした事故がテレビのニュースや新聞で多く報道されていました。クラウドサービスや生成AIサービスが全盛の中で「まだ使っているの？」と思われる方も多いと思いますが、業界・業種、組織の環境、慣習・慣行などによっては、外部記憶媒体でのデータ授受は業務・取引上において欠かせないツールでもあり、なかなかに止めたくても止められないものとなっています。

筆者が青年時（昭和～平成）によく見かけた、小・中・高校の卒業アルバムを名簿屋に売って小遣い稼ぎをする感覚で、令和の時代では個人情報以上に、企業の取引先リストや技術情報や作業手順のほうが実際に高く売れる傾向があり、2023年も実際に金銭取引を目的とした意図的な事件も多く発生していました。

組織のノウハウまで流出してしまう事態を避けるために、外出時に玄関に鍵をかけるように、組織の経営者には、日常生活でも情報セキュリティ対策を意識させ、事故・事件の予防と早期発見を心がけ、従業員を護る仕組み作りが求められます。

今回は、2023年10月に報道された「個人情報が記録されたUSBメモリ紛失」の記事を参考に、組織が知っておくべき用語・定義、日常的に意識すべき情報セキュリティ対策のポイントを分かりやすく解説します。

ソース	個人情報USB紛失　患者2013人分の傷病名や保険者番号　群馬・下仁田厚生病院（2023年9月30日 上毛新聞） https://www.jomo-news.co.jp/articles/-/352495
引用	下仁田厚生病院：個人情報紛失のお詫びとご報告（令和5年9月29日） https://www.shimonitakosei-hosp.jp/10other/pdf/20230929_johoroei.pdf

当記事では「外来および入院患者の診療情報や病歴情報」が記録されたUSBメモリが委託先で紛失したことが公表されています。病歴情報は、個人情報保護法において「要配慮個人情報」として規定されており、厳格な取り扱いと、管理・監督が求められています。

「USBメモリ」や「委託先」の管理について、政府機関や一般企業で策定する情報セキュリティ対策上の参考指針として、国際規格（ISO/IEC）のISMS※を参考に、どのように管理すべきか見ていきたいと思います。

※ISO/IEC 27001（ JIS Q 27001）「ISMS（Information Security Management System・情報セキュリティマネジメントシステム）」

ポイント① 要配慮個人情報とは？

用語・定義

要配慮個人情報とは、人種、信条、社会的身分、病歴、前科、犯罪被害情報、その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの

日常対応の ポイント（例）

従業員の健康状態などを業務上関係しない従業員や関係者など、本人に許可なく多岐に共有しないように努めましょう

これは仕事先だけでなく、家族や子供、教員の方にも意識してもらい、生徒の健康情報も同様に取り扱っていく必要があります。以前に筆者が情報セキュリティ対策を支援した学校機関において、その日の生徒の体調情報（遅刻した理由など含め）が職員室の入口に、しかも誰でも目に届くところに掲示されていました。その中には他人に知られたくないであろう病状や、女子生徒特有の症状について赤裸々に記録されており、さまざまな犯罪に発展するリスクの可能性が示唆されると、すぐに廃止されていました。個人が秘密にしたいことを、許可なく他人に知られず侵害されないように、組織が「プライバシー保護」として意識することも、昨今では重要視されています。

ポイント② USBメモリはどのように管理すべき？

日常対応のポイント（例）

・組織で利用しているUSBメモリ、SDカード、外付HDD、NASなどの外部記憶媒体を洗い出し、特定しましょう
・紛失防止対策を検討しましょう（ストラップ、暗号化など）
・個人所有物の業務利用は止めましょう ・ウイルス対策ソフトで必ずスキャンしたり、初期化してから使いましょう。過去に新品購入のものでも、マルウェアに感染している事象が確認されているためです
・利用禁止を含めた運用・管理ルールを明確化しましょう
・机上放置とならないように管理を徹底しましょう
・データが入っていないDVD-R（空メディア）についても、無断複製や不正利用などのリスクに対応するために、廃棄・施錠できる書棚などへの収納するといったルール徹底しましょう

ISMSでは、「情報セキュリティ管理策7.10 記憶媒体」という情報セキュリティ管理策において「記憶媒体は，組織における分類体系及び取扱いの要求事項に従って，その取得，使用，移送及び廃棄のライフサイクルを通して管理しなければならない。」と規定されています。

したがって、外部記憶媒体の選定・購入から廃棄、データ消去までのライフサイクルを組織が仕組みを持って運用・管理することが重要です。

ポイント③ 委託先はどのように管理すべき？

日常対応のポイント（例）

・契約時に自組織と同等以上の情報セキュリティ対策を講じているか確認しましょう。秘密保持契約を締結のうえで、情報セキュリティ監査結果を提出してもらうことや、ISMSやプライバシーマークなどのセキュリティ認証を取得していることを確認すると良いでしょう

・預ける情報の重要度によって、取扱者が情報セキュリティ対策を認識しているか確認しましょう。責任者に禁止事項を直接伝達したり、面談することも有効です

・定期的に、必要に応じて預けた情報が適切に取り扱われているか、委託先の事業やセキュリティ対策状況に変化が生じていないか確認しましょう。監査を実施することも有効な手段です（契約内容に適正な取り扱いを確認するために監査実施する要件を加えておくことが重要です）

ISMSでは「5.19 供給者関係における情報セキュリティ」などの情報セキュリティ管理策として、委託先を含めた供給者（supplier：製品又はサービスを提供する組織などを指す）に対して、リスク管理の手順を定めることや、サービス提供や情報セキュリティ対策の状況を監視し、評価することが規定されています。委託先との責任分解点を明確にしたうえで、同じ目線で時には支えあう意識で情報セキュリティ活動行う姿勢も重要です。

最後に「要配慮個人情報」「USBメモリ」「委託先」のキーワードが皆様の日々の業務に該当する場合、今回ご紹介した日常対応ポイントが何か気づきになり、リスク発生が防止できれば幸いです。

---

筆者紹介