情報漏洩の処分って、何を基準にすればいいのか?

情報流出のIPA職員、停職3カ月の処分にCNET Japanより

独立行政法人 情報処理推進機構(IPA)は1月19日、同機構職員がファイル交換ソフトを用いて情報を流出させた件について、調査結果の詳細と当該職員の処分を発表した。当該職員はIPAの信用を傷つけ、名誉を汚したとして、停職3カ月の懲戒処分となった。

この職員は2008年12月にファイル交換ソフトを使用した結果、コンピューターウィルスに感染し、PC内の情報を流出させた。1月6日時点で、少なくとも1万6208のファイルが流出していることがわかっていた。

1月19日に発表された調査結果では、IPAに関連する非公開情報は流出が確認されなかったという。流出したのはIPAイベントの私的撮影写真および2007年のIPA職員海外出張伺いの下書きのみだったとしている。

ただ、当該職員がIPA採用以前に所属していた企業の業務に関する情報は流出したことが確認されている。西武百貨店は同社社員データが流出したことを発表している。IPAはこれらの企業に連絡するとともに、対応をサポートしているところだという。

当該職員がファイル交換ソフト「Winny」と「Share」を通じて、児童ポルノなどのわいせつ画像かな漢字変換ソフトを検索し、児童ポルノ画像の一部をダウンロードしていたことがすでにIPAから発表されていた。今回の調査では、かな漢字変換ソフト「ATOK」「ATOK Pocket」「ATOK モバイル」もダウンロードされていたことが明らかとなった。ただし、児童ポルノ画像、かな漢字変換ソフトともにアップロードした事実は確認されていないという。

IPAは再発防止策として、職員の私物PCにおけるファイル交換ソフトの使用を禁止するとともに、あらためて全職員に対し情報セキュリティ研修会を実施する。1月7日には事長を本部長とする情報流出対策本部を設置した。

基準ってなんだろう?・・・何をもって判断するのか?

以前にヤフーBBの大量流出事件があったときに、500円/1人のお詫びをしたことが、情報漏洩事件における1つの基準となったことを思い出します。

今回の事件において、このIPAの3ヶ月の停職処分ってのが、短いのか長いのか何ともわかりませんが・・・

1.少なくとも1万6208のファイルが流出したこと。

2.以前に勤めていた勤務先の情報も流失したこと。

3.諸外国ではもっとも罪の重い児童ポルノをダウンロードしていたこと。(日本では軽すぎる)

4.ATOKなどのソフトウェアを入手したこと。

5.何よりも、IPA職員がファイル共有ソフトを使い、ウィルスに感染し流失したこと。

これらを考えると、どんなモノだろう?・・・と。

これが、今後の情報漏洩における処分の基準にならない事を願うだけです!

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。