年金データの流出
年金機構の組織としてのセキュリティ意識に不徹底があると思われます、
今日の新聞の記事にあった職員の方がデータファイルにパスワードを掛けなかったことに付いて、当然、虚偽報告は咎められます、
ただファイルにパスワードを掛けると一つ一つを開く時にいつもをそれを入力しなければならなくなります、
ですから一般職員の方が個人情報データにアクセスする必要があり、その業務を円滑に進めなければいけないと言う観点からは一概にはその未設定は否定しにくいと思います。
現在、依頼を受けてユーザー事務所内の複数PCからファイルの共有が出来る仕組みを構成しています、
ユーザーの方からセキュリティを考慮して、共有のフォルダ自体にパスワードを掛けることの要請があったのですが運用上の問題からそれは行っていません、
現状、フォルダに事故、障害があった時に備えて自動でバックアップを取る設定にしているのですが、ソフトからフォルダのパスワードの解除が出来ずバックアップが実行できないため、またフォルダ全体をパスワード保護しようとすると利便性に欠けてしまうためです。
別途、事務所内での人員によるパソコン操作におけるファイルのセキュリティは、pcへのログインパスワードで実現しています。
年金データの流出に付いて調べたところ、それは標的型メールウィルスにやられ職員のPCが遠隔操作され共有フォルダからデータが盗まれていました。
この事件を鑑み依頼先のデータ共有の対処に付いて再考しました、
攻撃者は無差別に攻撃しているのではなく、ターゲットを絞りそこに侵入しています、そして機構内のPC構成を調べ上げ目的のデータを盗み出しています。
その手法への回避策として今回は共有フォルダ、そしてPCの内部構成を見直し危険性を除去することとしました、
そのようにして業務上の使いやすさとセキュリティの両立の実現を考えています。
返信