この記事にたどり着いたということは、あなたもUSBメモリを紛失しまったのでしょうか?それともUSBメモリをなくした時の対応方法を知りたいとお悩みでしょうか?
私も過去に会社の同僚が大事なデータが入ったUSBメモリを失くしてしまい、身の毛がよだつほどの恐怖感や焦燥感に駆られながらUSBを探し、その対応に迫られたことがあります。焦る気持ち、本当によくわかります。(震)
「たかがUSBメモリごとき…」とか、「USBメモリを紛失するやつはバカしかいない」等と油断するのは命とりです。紛失は誰にでもあり得る話ですし、対応を一つ間違えると本当に大変なことになりかねませんので、一刻も早い対応が必要となります。
- USBメモリ紛失の実例
- USBメモリをなくしてしまった時のリスク
- 紛失による会社での処分事例
- 失くしてしまったら?対処方法
- USBメモリの探し方
- 謝罪について
本記事ではUSBメモリ紛失の実例を交えて、紛失してしまった時のリスク、会社での処分事例と、対処方法や探し方、謝罪方法についても解説していきます。
1000人規模の会社の情報システム部門でセキュリティ担当をしている、現役システムエンジニアの管理人が執筆していますので、ぜひ参考にしてみてください。
なくしてしまって単純に新しいUSBメモリが欲しいという方はコチラで最新のおすすめUSBメモリを紹介していますので、ぜひご覧ください。
USBメモリ紛失の実例(尼崎市USBメモリ紛失事件)
これまでにUSBメモリの紛失によるセキュリティインシデントはニュースでも度々取り沙汰されてきました。執筆時点では情報漏洩による影響は確認されていませんが、尼崎市46万人の個人情報データが保存されているUSBメモリ紛失事件が記憶に新しく、話題となっています。
尼崎市USBメモリ紛失事件は情報セキュリティの観点から教材としては完璧すぎるほどですので、反面教師として取り上げさせてもらい、簡単に解説します。
いろんなニュースサイトでも解説されていますから、事件の詳細や背景等は割愛しますね。
尼崎市USBメモリ紛失の流れと何が問題か解説
尼崎市のUSBメモリ紛失から発見までの流れと問題点をまとめてみました。
特にダメなところを赤文字にし、それぞれナンバリングした箇所について一部まとめて問題点を解説します。
一連の流れ
- 市がデータ移管作業を含む業務を外部業者に委託
- 受託した会社が無断で別会社に再委託
- 再委託先の協力会社が更に別の会社に再々委託
- 再々委託先の社員が紛失する
(1~4)
契約上受託会社は、市に別会社への業務委託の許可を求める必要がありましたが、それを怠ったせいで市はこの委託関係を把握していませんでした。このことで受託会社の管理体制がずさんであることが露わになってしまい、結果として会社の信用低下につながりました。ビプロジー社は旧日本ユニシス社であり、ディズニーランドのエレクトリカルパレードのスポンサーをするほど大きな会社でブランドを築き上げてきましたが、このような報連相すらまともにできないレベルの会社であることを世に知らしめてしまったといえます。
- USBメモリには尼崎市全市民(46万人)の個人情報データが入っていた
- 許可なくUSBメモリに入れて外部に持ち出す
(5~6)
市の事業所外でデータ処理すること自体市は許可していましたが、どうやってそのデータを持ち出すかの具体的手法については市に許可を得ていませんでした。つまり、市からの「データ処理のためなら市役所以外に持ち出してもいいよ」で止まっており、「じゃあそのデータはUSBメモリに保存して運搬しますね」という許可をもらっていなかったということになります。「ま、わかるでしょ?」と暗黙の了解でUSBメモリを使用したのでしょうか。
さらに言えば、「●月●日に再々委託先の社員が市役所に伺って当該データをUSBメモリに保存して▲▲に持ち出しますね」と宣言をしておくべきでした。
- 作業完了後データの削除を怠る
(7)
USBメモリはあくまでもデータの持ち運びだけを目的とした使い方をするべきです。特に客先のデータであれば目的を達成したらデータの削除をする必要があるので、どのタイミングでデータを削除するのかを事前に取り決めておきます。
- 居酒屋で泥酔して路上で爆睡
- 鞄ごとUSBメモリを紛失
(8~9)
会社の備品を所持した状態での飲酒はご法度です。ましてや入館証やPCやUSBメモリ等を所有しているならもってのほかですね。
- 翌日の午後になって遺失物届の提出・関係者に連絡
(10)
翌日の午後になってから連絡というのはいささか遅い気がします。きっと午前中に全力を挙げての捜索を含めての結果でしょうからこれでも早い方なのかもしれませんが、発覚した時点で第1報を市に入れるべきです。紛失したUSBメモリが大元である市の方で先に発見され、連絡を受けてしまったとあったらもはや絶望的に返す言葉がありませんからね。
- 記者会見でパスワード構成・桁数を公表してしまう
(11)
これはいくらなんでもITリテラシーが低すぎます。擁護のしようがありません。記者からの質問でパスワード解除の危険性について質問されたところ、担当者がうっかり桁数を明かしてしまいました。いうまでもなくパスワード解除のヒントとなってしまいますので絶対に公開してはいけない情報でした…
- 結果としてUSBメモリは見つかった
(12)
USBメモリが無事発見されましたが、情報漏洩の可能性等について引き続き調査を行っている模様です。この調査にかかる実費はもちろんですが、この対応に追われたあらゆる関係者、幹部社員の時間が奪われる形となりましたので、被害額は相当なものに膨れ上がったことでしょう。
USBメモリ紛失におけるリスク
USBメモリの紛失がどれほどの影響をもたらすかは、上記実例から理解してもらえたでしょうか?これらを踏まえたうえで、本項では改めて紛失時のリスクについて解説していきます。
個人情報・機密データといった情報漏洩
紛失したUSBメモリに大事なデータを保存されていた場合、これらのデータは情報漏洩のリスクが発生します。日本人は真面目でやさしい人が比較的多いので、拾得物をしかるべき場所に届けることがほとんどだと思いますが、もちろん悪いことを考える人もそれなりにいるでしょう。以下のような悪行が簡単に思いついてしまいます。
さくっと思いつく悪行
- データを人質に金銭を強請る
- データをWeb上に公開し不特定多数が閲覧可能な状態にする
- ダークウェブで取引・公開する
- 不審なダイレクトメールや振り込め詐欺のリストになる
ちなみにUSBメモリにパスワードがかかっていたとしても解析されてしまえばおしまいですので、暗号化されているから大丈夫と過信しすぎない方が良いです。
会社の信用を失墜させる
紛失した要因と程度にもよるところですが、間違いなく信用を失います。あいつにデータを触らせちゃいけないと思われても仕方ありません。顧客や取引先のデータが格納されていた場合は、二度と取引してもらえなくなることも想定されますし、最悪の場合賠償金問題にも発展し得るでしょう。
特に嘘をついて切り抜けようとした場合は最悪です。調査の過程で大抵バレます。嘘が発覚してしまったときは二度と信用してもらえなくなるでしょう。
個人情報保護法 規則第7条に該当しますが、個人情報を含むデータの漏洩の恐れがある場合、個人情報取扱事業者は個人情報保護委員会への報告の義務が生じます。
USBメモリの捜索や内部調査に時間をかけすぎて取引先などに報告が遅れた場合も、より信用が失われますのでさっさとしかるべき関係者に連絡するべきです。
データの改ざん・抹消
仮にUSBメモリが見つかったとしても、何もされていないとは限りません。
USBメモリ内のデータを改ざんされてしまうことだって考えられますし、マルウェアを仕込まれてより膨大なデータを略奪することだって考えられます。
まずはセキュリティソフトでのフルスキャンを行ったうえで、データの正常性の確認をした方が良いでしょう。
USB紛失時の処分や懲罰の事例
信賞必罰は世の常です。会社の信用を守るために役員等の幹部社員といった上の人は頭を下げなければなりません。当然、そういう事態を引き起こした本人が何もお咎めなしというわけにもいかないでしょう。
USBメモリをなくしてしまった時の処分や懲罰の事例についてまとめてみました。
情報セキュリティの徹底的な指導
USBメモリをなくしたけどすぐに見つかったなど、比較的影響が軽微である場合は注意を受けるぐらいで済むこともありますが、近年セキュリティインシデントを重く見る企業が非常に多いので、eラーニングなどを通じて情報セキュリティ関連の教育を受けさせられることもあります。正直言ってこれで終わればかなりラッキーです。
始末書を書かされる
自社もしくは客先への始末書の提出は一番あり得ます。しかし、これだけで済めば御の字とも言えます。
客先(常駐先含む)でやらかした場合は、先方からのNGで出禁となってしまうケースもあります。この場合はプロジェクトチームからの強制離脱となるため、部署異動もあり得る話になるでしょう。
減給や解雇(クビ)といった懲戒処分
基本的にUSBメモリの紛失程度で減給や解雇になるケースはほとんどありません。こういったインシデントは組織としての管理体制が問われるので、紛失した社員だけが悪く言われることはまずないからです。(ブラック企業を除く)
ただし、当然ですが意図的・恣意的に引き起こしたインシデントであればこの限りではないですよ。(会社規定による)また、賠償金が生じて著しい損害を与えてしまったり、社会的責任を負ったりするような状況もまたしかりです。
賠償金を払わされる
これは最悪のケースと言っても良いでしょう。
被害を被った顧客や取引先から、所属する会社への賠償金請求の発生もありえます。またそれに伴って会社の信用を大きく失墜させたとして、所属会社から損害賠償を請求される可能性もあります。(会社規定による)
ただ、上記でも言ったように意図的でなければ、この状況を引き起こした原因として管理体制に責任が問われるため、個人に請求されるようなことはほとんどありません。ちなみにその組織の上長はめっちゃ怒られることでしょう。
失くしてしまったら?紛失時に即座にとるべき3つのアクション
始末書や処分におびえるよりも目の前の問題を片づけるのが先です。
いくら探してもUSBメモリが出てこなくて、なくしたと気づいたらすぐにやらなければならない3つの行動「状況の整理、緊急連絡、全力捜索」をすぐさま実行しましょう。
状況の整理
覆水盆に返らずで、起きたことはもう仕方がありません。不安になって謝罪や今後のことを考えてしまう気持ちはわかりますが、まずは深呼吸!OK?
自分ではもうどうにもならない状況であれば、上長や情報システム部門などへ報告しなくてはなりません。まずは冷静になって今自分が置かれている状況を認識し、現状の整理をしましょう。それらを報告するうえでも、以下についてまとめておいてください。
紛失した経緯をまとめる
「最後に使ったのはいつ?いつ失くしたと気づいた?失くした原因は?」これらを文字に起こしてまとめてみましょう。
今日の夕方には紛失したUSBメモリを使っていた、他人のPCやインターネットカフェ等なんらかのPCから抜き忘れたかもしれない、お酒を飲んで記憶をなくしてしまった、バッグの中に入れていたがそのバッグ自体を紛失してしまった、といった感じで、なぜ紛失に至ってしまったのかをまとめましょう。できれば時系列で綺麗にまとめられればベストです。
第三者がその時系列を見れば、何か気づいてくれるところがあるかもしれません。
保存されていたデータは何か
自分が所属する会社の機密データなのか、他社の機密データなのか、個人情報データなのかによっても、これから会社が取るべき被害の防止措置が変わってきます。
個人情報や企業の機密データなどが入っていれば情報漏洩のリスクがありますので、関係各所へ迅速な連絡が必要になります。紛失したUSBメモリの中に何が保存されていたかを思い出しましょう。
管理状態・セキュリティ状態の確認
常時携帯しているのか、会社の鍵付き棚で保管されているかなど、普段はその紛失したUSBメモリがどこで管理されているのかが確認したいポイントです。
またパソコンに挿せばすぐ使える状態なのか、暗号化されていてパスワードがかかっているかどうかも重要です。
会社・関係者といった組織への連絡
上長・情報システム部門等、指定の緊急連絡先へ連絡し、USBメモリを紛失してしまった旨と現在の状況を説明しましょう。大抵の情報システム部門はこういった場合のガイドラインを用意しているはずですので、次にやるべき行動を示唆してくれるはずです。
また、嘘で塗り固めると事態がより悪化するので素直に起きたことを話しましょうね。
USBメモリを全力で捜索
自分の仕事を一旦完全にストップしてUSBメモリの捜索に全力を尽くしましょう。
必要であれば藁にも縋る思いで同僚に支援を要請するのもアリです。
とはいえ、自分の仕事の優先順位もあると思うので、上長と相談しながら仕事とUSBメモリ捜索を進めてください。
探し方は後述の「USBメモリの探し方大全」を参照してくださいね。
USBメモリが見つかった場合
運よくUSBメモリを発見することができたら、見つかったことをすぐ会社に連絡しましょう。これから怒られるでしょうけど、一安心です。
USBメモリの中身が無事であるか確認したいところですが、外出先で紛失した場合、できれば先にネットワークから隔絶された環境でセキュリティソフトによるフルスキャンを実行しておきたいです。情報システム部門の指示に従って、USBメモリが誰かに使用された形跡があるかといった情報漏洩の可能性について確認作業を進めましょう。
USBメモリが見つからなかった場合
捜索は継続しつつも、迷惑をかけてしまった関係者に全力で謝罪する以外の選択肢がありません。おとなしく上長の言うことを聞いて、謝罪に努めましょう。
後述の[USBメモリ紛失における謝罪について]をご覧ください。
USBメモリの探し方大全
いくら探しても見つからないUSBメモリを探すときは、いつ失くしたのか、自分の行動履歴から順にその可能性を探っていくのが鉄板です。
いろんなケースを挙げてみましたので、この辺を確認してみましょう。
USBメモリを最後に使った記憶をたどる
まずはコレです。最後にUSBメモリを使ったのはいつになるのかがわかれば、失くしたタイミングの選択肢が絞られてきます。
ここがわかれば、それ以降の自分の行動履歴を重点的に探していけば良いことになります。
着用していた衣服のポケット(内ポケット)
USBメモリは小さいので、ついポケットに入れてしまいがちです。
普段はバッグにしまっているものの、不意の急な対応でポケットに入れてしまうことは多々ありますから、紛失した日に着用していた衣服のポケットを探してみるのも良いでしょう。特に内ポケットとか自分でも気づかないうちに入れていたりしますからね。
パソコンのUSB端子(コネクタ)に挿しっぱなしの可能性
どこに設置されているパソコンであるかが重要となりますが、挿しっぱなしになっているケースはよくあります。デスクトップPCだと前面のUSB端子ではなく後部のUSB端子に挿してしまい、うっかり忘れていたということも考えられます。
普段USBメモリを管理している場所の再確認
そのUSBメモリが普段どこにしまわれているのかにもよりますが、例えば自分のデスクや鍵付き棚の引き出しといった、所定の場所で普段管理しているのであればそこを確認しましょう。
なぜ普段の管理場所に存在しないのか、何の目的があってUSBメモリを持ち歩くことになったのかを思い出しましょう。
使用する可能性があるPC周りの捜索
自分の行動範囲内や接触の可能性があるPCを洗い出して徹底的に捜索してみましょう。
パソコンではなくてコンビニのプリンターや複合機などで使用したという可能性もありますので、自分の行動範囲のPCやUSBメモリを使用できる電子機器をくまなく探してみると良いでしょう。
同僚や知り合いが使用している可能性
同じ部署内の同僚や友人などの知り合いが使用している可能性も考えられます。USBメモリを渡した可能性があれば、訪ねてみると良いでしょう。自分が忘れているだけで、同僚に手渡している可能性もあります。
USBメモリを使用したであろう場所に電話連絡
自分のPC以外でUSBメモリを使用した記憶があるなら、そのPCが設置されている場所に連絡してみるのもアリです。例えば客先で使用させてもらったPCや、インターネットカフェのパソコンに挿しっぱなしとかありえる話だと思います。
通勤経路の交通機関(バス・電車・タクシーなど)にも連絡
USBメモリを上着のポケットなどに入れていて、かがんだ際にポロッと落としてしまうという可能性もあり得ます。紛失が発覚するに至るまでに使用した公共交通機関などに連絡し、聞いてみるのも良いでしょう。日をまたいで発見されることもありますから、粘り強く確認するのも大事です。
警察に遺失物届を出す
あらかじめ遺失物届を提出しておくことで早期発見に役立ちます。
警察が拾得物を預かり、落とした人がわかるようであれば連絡をもらえます。しかし落とした人がわからない場合は一定期間警察署で保管された後は警視庁遺失物センターに送られます。このためテプラ等でシールを作成して会社名と電話番号を貼っておくのも効果的といえます。
[外部サイト]警視庁 落とし物をしたら
[外部サイト]警視庁 落とし物をした方(遺失物届出書の作成)
資産管理ソフトのログを確認してみる
会社がSKYSEAといった資産管理ソフトでUSBメモリの管理をしているなら、ログを追ってみるのもアリです。そもそも資産管理ソフトを使用しているかどうかという話もありますが、この場合情報システム部門に依頼する形となります。
USBメモリ紛失における謝罪について
謝罪の相手が自社の上長なのか取引先なのかにもよりますが、どれも同じです。
釈明に関しては何も難しいことはなく、ただ単に紛失した事実・経緯を包み隠さず説明し、それに対しての謝罪を述べるだけです。
「これはうちじゃなくて、委託先の社員が失くしたものでして~」などと苦し紛れの言い訳や責任転嫁は心証が悪くなるため絶対にNGです。どれだけ誠実に対応できるかが問われます。場合によっては二度と取引してもらえなくなるでしょう。
怒られはするかもしれませんが、何も命を取られるわけではありませんから、これを機に再発防止に努めれば良いのですよ。
まとめ(筆者からの一言)
上記でまとめきってしまったのであまり言うこともないのですが、USBメモリに関するトラブルは本当に多いですね…
しかし、この記事を読了いただいた方はUSBメモリ紛失時のリスクについてご理解いただけたのではないでしょうか。USBメモリはそもそも常時持ち歩くようなものではないので、管理場所を決めて必要な時だけ携帯するようにしたほうが絶対によいです。また、きちんと会社の仕組みとして社内専用USBメモリと社外持ち出し用USBメモリで分けて管理するのもUSBメモリ紛失の対策としてはグッドですよ。
記事内では暗号化されたUSBメモリだろうがパスワードを解析されたら終わりと言いましたが、あるのとないのでは大分気持ちの余裕が変わってきます。もし会社で使用しているUSBメモリが暗号化していないのであれば、絶対にパスワードをかけるようにしましょう。
コチラの記事でもパスワードをかけることができるUSBメモリをオススメとして紹介していますので、併せてご覧ください。
この記事を執筆していて、こんな長い記事になるなんて全く思いませんでした…
それではみなさんごきげんよう!