仙台市水道局、職員のPCから2,011人分の個人情報などWinnyで流出

最近Winnyによる情報漏えい事件のニュースを見なくなったなぁと思っていたのですが、 仙台市水道局がやってくれました。しかも、Winnyネットワークに流出してしまった情報は質、量ともになかなかのもののようです。以下はINTERNET Watchからの引用です。

　流出した情報は、水道メーターの交換業務委託に関する書類、水道メーター交換台帳、集合住宅代表者リスト、予算関係書などの行政情報440ファイル。この中には、2,011人分の氏名、住所、電話番号のほか、189社分の法人名、所在地、電話番号が含まれていた。

　仙台市水道局によれば、2005年3月頃に給水部北配水課の職員（40歳代）が業務で使用していたMOに行政情報を記録し、自宅の私物PCの HDDにコピーしていたという。その後、この私物PCでWinnyを使用していたところ、2006年8月3日にウイルスに感染し、インターネット上に HDD内の情報が流出した。

仙台市水道局、職員のPCから2,011人分の個人情報などWinnyで流出　INTERNET Watch　２００６年８月８日

この職員が情報を自宅に持ち出した今年の３月といえばWinnyウイルスによる情報漏えいが注目を集め、安倍晋三官房長官が「情報漏洩を防ぐ最も確実な対策は、PCでWinnyを使わないことです」という呼びかけを行ったころです。すごい根性の持ち主ですね！自分は大丈夫だと思っていたというところでしょう。
「Winnyを使わないで」安倍官房長官が国民に呼びかけ　INTERNET Watch　２００６年３月１５日

今回の情報漏えいを防止するためには、次の４つの対策が有効ではないでしょうか。

1. 重要なデータの社外への持ち出しを禁じるルール策定
2. 重要なデータを社外に持ち出せないようにする仕組み（システム）作り
3. ユーザ向けに重要なデータを社外に持ち出してはいけないという教育の実施
4. ユーザ向けに自宅でWinnyを利用してはいけないという教育の実施

まず、ルールがないと話を始めることができませんから１番目は非常に重要です。もちろん情報の持ち出し部分だけでなく、情報セキュリティ全般に対するルール作りが必要です。２番目の仕組みづくりというは人的セキュリティ対策に頼るだけでなく、仕組みとして禁止されている操作を行えないようにしようということです。操作監視とかも良いかもしれません。３番目はユーザに対する教育ですが、これも１番と同じで情報の持ち出しだけでなく情報セキュリティ全般の教育を実施する必要があります。このように情報セキュリティというのは、ルール、仕組み、教育という３つが欠けることなく行われて初めて効果が出るものだと私は考えています。

さて４番目ですが、これは少し難しい問題です。私はユーザが自宅でWinnyを使うのは自由だと考えています。しかし、その行為によって業務で利用している重要な情報が危険にさらされるのであれば話は別です。最も良いのは仕事上のデータを会社から持ち出させないことですが、そうはいかない場合はしっかりとしたルール、仕組みを作り、ユーザに教育を行う必要があります。

＜参考＞
お客さま情報の漏洩について(お詫び）　仙台市水道局　２００６年８月７日