個人情報保護委員会から、令和2年9月下旬に、「テレワークに伴う個人情報漏えい事案に関する注意事項」が公表されました。
これは、新型コロナウイルスの影響でテレワークの利用が広がる中で、個人情報保護委員会が実際に確認した個人情報漏えい事案の個別事例を紹介するものです。
具体的には、次の2つの事例が取り上げられており、それぞれの対応例が示されています。
事例1_テレワーク中の社員がSNSで知り合った第三者からウイルスが添付された電子メールを受領したことがきっかけでPCがウイルスに感染し、出勤時にそのPCを社内ネットワークに接続したことで、社内システムの情報が外部に漏えいした
対策例
●テレワーク環境ではVPN機器(インターネット上に安全なセキュリティ経路を作るためのネットワーク装置)へ接続しない限りインターネットを利用できない仕組みを導入することで社内と同等のセキュリティ対策を適用する。
●少しでも不審に感じたメールに添付されているファイルやリンクは絶対にクリックしない、テレワークの場合でも一人で判断せず誰かに相談する等、従業員のセキュリティに対する意識を高める。
●テレワーク特有の職場とは異なる環境に則したセキュリティ確保のためのルールや相談体制を整備する。
事例2_脆弱性があるVPN機器への不正アクセスにより社員の認証情報等が外部に漏えいした
●利用システムは稼働する前にソフトウェア・セキュリティプログラムのアップデートを行う等、セキュリティの検証を十分に行う。
●VPN機器経由にてリモート環境から社内システムへアクセスする際には、多要素認証を導入することで、万が一IDとパスワードが漏えいした場合であっても、なりすましによる不正アクセス被害を防ぐ。
同委員会では、個人情報取扱事業者の皆様に向けて、「発生した内容と考えられる対策を参考にしていただきたい」としています。
テレワーク実施時こそ、基本的なセキュリティ対策を実行していくことが重要です。
【参考】個人情報保護委員会>注意事項>テレワークに伴う個人情報漏えい事案に関する注意事項
https://www.ppc.go.jp/news/careful_information/telework/