USBメモリは、データを簡単に保存して持ち運べるため、多くの会社や自治体で活用されている便利なツールです。しかし、小型さゆえに紛失しやすく、もし業務に関する情報や個人情報が含まれていれば、情報漏洩を招くことにもつながります。実際、USBメモリ紛失による情報漏洩は、組織にとって信用の低下や法的な責任を問われることもあるため、しっかりとした対策が求められます。本記事では、USBメモリの紛失が引き起こすリスクや、実際に起こった事例、さらには紛失・再発を防ぐための効果的な防止策について詳しく解説していきます。

USBメモリの管理不足による情報漏洩件数

近年、個人情報の漏洩に関するニュースが世間を騒がせることが多くなってきました。NPO法人日本ネットワークセキュリティ協会の調査(2019年)によると、2018年の個人情報漏洩事件の件数(インターネットニュース等で報道されたものおよび法人等の組織から公表されたものを集計)は443件、対象となった個人情報の件数はおよそ561万人分と、社会にとても大きな影響を与えるものとなっています。

発生件数を媒体・経路別に見ると、インターネットや電子メールを経由するものが全体の約48%とほぼ半数を占めますが、USBメモリ等の可搬媒体を原因とするものも全体の12.6%と、2016年(9.6%)や2017年(10.5%)と比べて割合が増加しています。

一方発生件数を原因別に見ると、「紛失・置き忘れ」が全体の26.2%、「盗難」が3.8%となっており、合わせて全体の30%を占めています。短絡的に結論付ける訳にはいきませんが、USBメモリ等の可搬媒体の性質を考えると、USBメモリ等の可搬媒体に係る情報漏洩の原因の背景には、媒体の紛失・置き忘れや盗難といったことが関係しているのではと考えられます。

参照:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)

USBメモリ紛失がもたらすリスク

USBメモリには、個人情報や機密情報など、重要なデータが保存されているケースも少なくありません。紛失した場合、以下のような深刻なリスクが考えられます。

情報漏洩の可能性

USBメモリ紛失による最大の懸念は、情報漏洩です。顧客情報、社外秘資料、財務情報など、重要なデータが第三者に渡ってしまう可能性があります。情報漏洩は、企業の信頼失墜、顧客離れ、訴訟リスク、金銭的損失など、計り知れないダメージをもたらします。

企業の信頼性低下

情報漏洩が発生した場合、企業は社会的責任を問われ、信頼を失墜させてしまう可能性があります。顧客や取引先からの信用を失うだけでなく、ブランドイメージの低下、株価の下落など、企業活動に大きな影響を与える可能性も考えられます。

法的責任と罰則

個人情報保護法などの法律では、企業に対して適切な情報管理体制の構築を求めています。USBメモリ紛失によって情報漏洩が発生した場合、企業は法律違反として行政処分や罰金の対象となる可能性があります。また、損害賠償請求訴訟のリスクも高まります。

USBメモリ紛失時の対応方法

USBメモリを紛失した場合、迅速かつ適切な対応が求められます。一刻も早く対応することで、被害を最小限に抑えられる可能性があります。

即時の報告と記録

USBメモリを紛失したことに気づいたら、速やかに上司やシステム管理者など、関係部署に報告しましょう。報告は口頭だけでなく、メールなど記録に残る形で行うことが重要です。いつ、どこで、どのようなデータを保存したUSBメモリを紛失したのか、詳細を正確に伝えましょう。

情報漏洩の確認

紛失したUSBメモリにどのようなデータが保存されていたか、速やかに確認を行いましょう。個人情報や機密情報が含まれていた場合、情報漏洩の可能性を考慮し、関係機関への報告や影響範囲の調査など、適切な対応が必要です。

被害者への謝罪

情報漏洩の可能性がある場合、顧客や取引先など、関係者への説明責任を果たす必要があります。状況を正確に伝え、謝罪と今後の対応策を明確に示すことが重要です。風評被害を抑え、信頼回復に努めましょう。

紛失した従業員への対応と再発防止措置の検討

初動対応や被害者への謝罪を進めながら、USBメモリを紛失した従業員から、詳細な状況を聞くことも重要です。この過程で、従業員の失態の大きさや企業の管理体制における問題点が明らかになります。

従業員に失態度合いによっては、相当に応じて減給などの戒厳処分を検討する場合も必要です。

万が一、管理体制に不備があるならば、同様の問題が起きないために、どのように管理体制を見直せば、再発防止ができるのか組織全体で検討しましょう。

他人事じゃない!USBメモリ紛失による情報漏洩の事例5選

それでは次に、実際にUSBメモリの管理不足が原因と考えられる情報漏洩事件のうち、代表的な事例を5つご紹介します。

1.尼崎市USBメモリ紛失事案

兵庫県尼崎市は2022年6月、市の臨時給付金支給事業を受託した業者の関係者が、全市民約46万人等が記録されたUSBメモリをカバンに入れて外部に持ち出した後飲食店に立ち寄り、その後酒に酔った挙句カバンごと毎紛失したと明らかにしました。

市によると紛失したのは事業を受託した業者の関係社員で、受託業務の一環でデータ移管作業を進めるため、尼崎市市政情報センターからUSBメモリ(パスワード設定済)を自分のカバンに入れて持ち出したとのこと。尼崎市は受託業者に委託者である尼崎市役所以外の事業所での作業許可を与えていましたが、具体的な持ち出し方法についての指示や市の規程上必要とされるセキュリティ基準を遵守せず、業者に任せきりにしていました。

USBメモリを持ち出した社員はデータ移管作業完了後、帰宅前に飲食店に立ち寄り、飲酒をして泥酔、その後の帰宅の際にUSBメモリを収納したカバンを紛失しました。その後の第三者調査委員会の報告によると、カバンおよび中身のUSBメモリはその後警察の協力も得て発見され、USBメモリも検査の結果、データの抜き取りも確認されませんでした。この事案については第三者調査委員会の報告で、以下のような問題点が指摘されています。

(1) 受託業者の問題

・市に無断で再委託先・再々委託先の社員にデータ移管作業を行わせていたこと
・市との業務委託契約上必要とされる遵守事項(市のセキュリティ基準やUSB運搬時の規則等の遵守)に従っていなかったこと
・市のサーバからのデータ抽出時の作業管理体制や、市から借用したUSBメモリの日常の管理体制がずさん(持ち出し・返却の管理が不十分なことや、作業後に使用したUSBの中身のデータを消去してない等)であったこと

(2) 市側の問題

・業者によるサーバ室内での作業に立ち会わなず、監視カメラで死角となる場所があったなど、サーバ室内の管理体制(入退室管理等)が不十分であること
・業者に入室許可を与える際の手続きが不十分であること(許可対象者の身元確認等が不十分)
・セキュリテイ対策基準を遵守してないこと(特にUSBメモリの外部持ち出し時のルール違反)

本件については当時マスコミ報道が盛んに行われたことや、当時の総務大臣が各自治体に情報セキュリティ対策の徹底を求めるなどといったことがあり、問題が世間に広まりました。本事例以外でも、外部委託に伴う情報漏洩事件は度々発生しています。業務を委託する際には、発注業者と受託業者で情報セキュリティ対策や業務フローの認識を揃え、お互いに監視し合うことが重要でしょう。

参考:尼崎市 USB メモリ―紛失事案に関する調査報告書 | 尼崎市 USB メモリ―紛失事案調査委員会

2.東海大学教員のUSBメモリの入ったカバンが盗難に遭遇

東海大学は2023年2月、同大学の教員がフランス・パリ近郊の空港で置き引きに遭い、ノートパソコンおよびUSBメモリを紛失したと公表しました。USBメモリの中には在学生や卒業生の個人情報等合計2,016件が含まれており、その個人情報が流出した可能性があるとしています。

東海大学によると、教員は直ちに現地の警察に被害届を出しましたが、公表時点で発見には至っていません。パソコンやUSBメモリには在学生や卒業生の学生番号、氏名、成績評価のほか、ゼミの学生の顔写真や提出したレポートなどが記録されており、対象情報についての流出の可能性が懸念されています。

大学としては、該当者へのお詫びや状況報告を行っているとのことですが、公表時点では解決の目途は立っていないとのことです。大学では本件を重く受け止め、改めて教職員への通知や研修等を通じて、情報機器の管理徹底と個人情報の取り扱いにより一層の意識向上を図ることで再発防止に取り組むとしています。

参考:本学教員所有のノートパソコンとUSBメモリの盗難被害について | お知らせ | 東海大学 - Tokai University

3.昭和大学付属病院内で患者情報を記録したUSBメモリを紛失

昭和大学付属病院は2020年11月、病院の事務室内で使用する患者情報を記録したUSBメモリを紛失した旨、公式ウェブサイトにて明らかにしました。病院によると、紛失したUSBメモリは病院の診療費等の請求管理の目的のために使用されていたもので、同院から診療請求の発生した患者14万9,335名分の情報が記録されていました。

同院では紛失の詳細な経緯を明らかにしていませんが、紛失現場が同院内であることなどから、院外への流出の可能性は非常に低いとしており、被害可能性のある患者や家族に謝罪をしました。同院は再発防止策として、改めて全職員に情報管理および運用に関する徹底した注意喚起を実施するとしています。

参考:患者様情報を含むUSBメモリ紛失に関するお詫びとご報告 | 昭和大学病院

4.関西テレビで番組のプレゼント応募者情報を記録したUSBメモリを紛失

民間の放送局である関西テレビ放送株式会社は2020年9月、番組視聴者プレゼントの応募者2,491名の個人情報を記録したUSBメモリを紛失した可能性がある旨を公表しました。同社によれば、USBメモリは同社が番組制作を委託している関係会社が管理・運用していたもので、関係会社の事務所移転作業中にUSBメモリを紛失した可能性があるとのことです。同社が定期的に実施している外部記憶媒体の残高確認作業の過程で紛失が発覚したとしています。

その後、同社および関係会社で関係各所を捜索するも発見には至らず、被害者らに謝罪しています。当該USBについてはハードウェア暗号化を施しており、閲覧する場合にも複数の手順を必要とする対策を取っているため、情報流出の可能性は低いとのことですが、今後の再発防止策として情報運用体制の徹底を周知するなど、対策を行うとしています。

参考:USBメモリ紛失に関するお詫びとご報告 | 企業情報 | 関西テレビ放送 カンテレ

5.愛知県豊橋市で取引先情報を記録したUSBメモリを紛失

地方自治体である愛知県豊橋市は2020年7月、市の上下水道局の取引先情報を記録したUSBメモリを紛失したと公表しました。市によると、大規模災害発生時などによるデータ遺失を阻止するため、バックアップデータを外部企業に預け保管する運用を進めていたもので、上下水道局もこれに従い、USBメモリ1本をデータ管理業務を受託する業者に提供していました。

ところがその後、担当職員がUSBメモリ1本が1本不足していることを発見、紛失が発覚しました。たもので、市の調査の結果、職員と委託先業者との間でUSBメモリのやりとりを行う過程で、USB受け渡しの事前調整がされていなかったことや、受け渡しに関する内容確認不十分であったことが原因で何らかの原因により紛失するに至ったとしています。

なお市によると、紛失したUSBメモリのデータはパスワード設定がされている上、データの閲覧をするには専用のシステムを使用することが必要なファイル形式で記録されているとのことで、公表時点で情報の悪用被害などは確認されていませんが、公表時点でUSBメモリは発見されておりません。

参考:公営企業会計システム用バックアップUSBの紛失について/豊橋市

USBメモリを安全に利用するための6つの対策

ここまで、USBメモリの紛失・盗難による情報漏洩事例をご紹介しました。

小さな筐体で大容量のデータ格納が可能なため、大変利便性の高いUSBメモリですが、一方でその裏には情報漏洩という大きなセキュリティリスクが潜んでいます。そのセキュリティリスクをうまくコントロールしてUSBメモリの利便性を享受するにはどうしたらよいか、以下に6つの対策を紹介します。

1. USBメモリ自体のセキュリティ対策

USBメモリの紛失・盗難対策として、パスワード設定やデータの暗号化は基本です。USBメモリに記憶させるデータも暗号化するなど、二重・三重の安全対策を採り、外部者がデータを取り込めないようにすることが重要です。

また、近年ではGPS機能付きのUSBメモリも登場しており、紛失後の追跡を可能とするなど、より高度な対策も考えられます。

2. 組織内におけるUSBメモリの管理ルールの徹底

USBメモリを組織内で使用する際の持ち出しや返却に際しては管理者の承認・確認を求めることや、USBメモリ使用後のデータ消去を管理者が確認することなど、USBメモリの管理フローを強化することも対策の一つです。

また、やむを得ずUSBメモリにデータを格納して組織外に持ち出す際には、ルールを厳格化することなど、USBメモリを使用する際のハードルを高くしてその使用を管理することが重要です。

3. 関係者のセキュリティ教育

上記で紹介したようなセキュリティ・インシデント事案を題材にするなどして、USBメモリの使用に関する一層の安全性確保をするためのセキュリティ教育を定期的に実施することが必要です。

4.情報を持ち運ぶ必要性を再検討する

大事なデータを利用する場合、本当にUSBメモリでの対応が必要なのか徹底的に検討することも重要です。オンラインストレージなどを活用すれば、USBメモリを使わずに使える場合もあります。リスクを軽減するためにも、別の方法への段階的な移行を検討することをおすすめします。

5.ルール違反できない仕組みを作る

ルール違反に該当する行為を試みる従業員に警告を行ったり、第三者からでも注意できる仕組みを浸透させ、社内ルールが徹底される環境を構築しましょう。

例えば、USBメモリに関する社内ルールを制定しても、従業員が隠れて禁止行為を行っていては効果がありません。対策として、外部デバイスにいよる管理ツールを導入すれば、個体識別IDを照合して端末ごとにUSBメモリで実行可能な操作を制限したり、使用状況を監視する機能もあります。そのため、USBメモリ利用ルールの遵守を促進させることができます。

6.USBメモリ監視機能の利用

USBメモリの運用には、セキュリティリスクが孕むため、適切な運用方法を事前に決めておく必要があります。これを実現させるには「Watchy」のUSBドライブ監視機能がおすすめです。

ファイルの操作やUSBメモリの着脱に関するログを取得し、アラートを設定することで、重要なデータの不正利用や情報漏洩を未然に防ぎ、セキュリティレベルを強化することができます。

関連記事:
「Watchy」USBメモリ監視機能
「Watchy」サービス資料

まとめ

今回は、USBメモリに関する情報漏洩事案とそれを防止するためのセキュリティ対策についてご紹介しました。USBメモリ紛失した場合、企業や自治体は即時報告、情報漏洩の有無確認、関係者への説明など、迅速な対応が求められます。また、暗号化やパスワード保護、組織内での管理ルールの徹底、定期的なセキュリティ教育などの対策を講じることで、紛失によるリスクを軽減し、安全な使用環境を整えることが重要です。これらの取り組みがあなたの組織の信頼性を守ることにつながるでしょう。

関連記事:社用PCの紛失による3つのリスクと情報漏洩対策3選 | Watchy

低コストでセキュリティ対策を始めるなら

  • 「セキュリティ対策が求められているが、予算が限られている」
  • 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy:https://watchy.biz/
運営会社:株式会社スタメン(東証グロース市場4019)

著者情報

Watchy 編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。