Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

イレギュラー処理はミスを誘発する

倉敷市の「まちづくりに関するアンケート調査」で委託業者がミスをして最大6950人の個人情報が漏洩したと発表しました。

www.security-next.com

 

同市によれば、まちづくりに関するアンケート調査業務を委託していたエイト日本技術開発において、アンケート票の郵送時に宛名シールを重ねて貼る不適切な取り扱いがあったという。アンケートを受け取った住民から3月1日に指摘があり、問題が判明した。

同市が宛名シールを委託先へ提供後、宛先を変更することになり、あらたな宛名シールを再度提供。送付にあたり、先に貼付していたシールの上にあたらしいシールを重ねて貼りつけ、送付したという。対象となるアンケートは6950件にのぼる。

(Security Next記事より引用)

 

■公式発表 「まちづくりに関するアンケート調査」における個人情報流出について

 

 

◆キタきつねの所感

人的ミスによる個人情報漏えい事件を取り上げる事は少ないのですが、あまり見かける事が無い?事例だったので気になって調べてみると、倉敷市のHPにミスしたイメージが載っていました。

 

f:id:foxcafelate:20190309091143j:plain

 

この事件の原因を、委託先業者の単純ミスで片付けるのは簡単ですが、何か別な理由も隠されている気がしました。

まず気になったのが、どうしてこの委託先業者は2重貼り(個人情報が透けている事)について、これで良しとして発送してしまったのだろうか?という部分。経験の浅い社員か、派遣やバイトの方が宛名貼りを行ったのかな・・・と推測します。(ベテランの方がこの作業をやって何も気づかないのであれば、委託先業者は仕事を受けてはいけないと思います)

また普段はベテランの方が宛名貼りをしていたとしても、

同市が宛名シールを委託先へ提供後、宛先を変更することになり、あらたな宛名シールを再度提供。

この作業がイレギュラー処理だったのが影響して、経験の浅い方が、宛名シールの上貼りをしてしまったのかなと思います。その際に、どういった指示だったのかと想像すると、単に「上にシールを貼っておけ」と経験の浅い方に指示しただけで、ベテランの方が最終確認せずに発送してしまった。こんな経緯だったのではないでしょうか?

また、倉敷市側にも事件を誘発した原因があります。それは締め切り(業務に取り掛かった)後の「変更指示」です。倉敷市と委託先業者間での業務の取り決め、あるいは変更指示の依頼がどうであったかは分かりませんが、イレギュラーな手作業は事故を誘発しやすいのは、どの環境でも同じです。

 

想像を更に重ねれば、例えばこうした封筒を廃棄しなかった(6950通に宛名シールを上貼りしてしまった)理由として、宛名シール(変更)は支給されて、新しい封筒が支給されなかったのではないでしょうか?既に宛名貼りが進んでいたとすれば、新たに貼れる封筒が不足してしまっていた可能性は十分に考えられます。

そこに支給された新たな宛名シールが加われば、事故を誘発した、既存シールの上に新たなシールを貼るしかない状況が出来上がります。(想像上ですが)

 

この想像が合っているとすれば、(事前の取り決めにもよりますが)倉敷市側にも責任があった可能性があるのかなと思います。

 

 

 

余談ですが、今回の事件、倉敷市の公式発表には業者名が載ってませんが、Security Next記事では業者名が、

まちづくりに関するアンケート調査業務を委託していたエイト日本技術開発

 

と出ていました。こちらのホームページを見てみると、、事件に関するリリース記事が見当たりません。

 

 

情報セキュリティポリシーまでしっかりと作られている会社としては如何なものかなと思います。

倉敷市の指示があったのなら別ですが・・・)

 

f:id:foxcafelate:20190309101356j:plain

 

企業ミッションを拝見すると、、他社の参考のために再発防止策くらいは掲載してくれていても良いと思うのですが・・・。

f:id:foxcafelate:20190309091943j:plain

 

 

 

æç´ãéã¶é»ã¤ã®ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月9日AM(予約投稿)