自動車メーカー顧客の車両情報位置などの顧客データ約241万人分が、漏えいした可能性があると発表しました。顧客データを管理する子会社において、クラウド環境の誤設定により、一部のデータが10年近くインターネット上で公開状態になっていたそうです。
この事件から学ぶべきことは、クラウド環境の設定状況を確認していなかった可能性があることです。多くの企業では、システム環境やパソコンの設定状況が、適切であるか否かを確認する習慣や仕組みはないと思われます。当該企業でも、誤設定を見つける仕組みはなかったかも知れません。
対策として、システム管理部署の業務マニュアルにおいて、システム環境やパソコンの設定状況が適切であるかを確認するルーティンを追加することも考えられますが、自らの部署が設定した環境を自ら確認したとしても、誤設定が分かれば、自組織の業務の適切性を否定することになるので、適しているとは思いません。
むしろ、システム管理部署以外の部署、例えば監査部による特別テーマ監査のような形で、2年に一度程度実施することが望ましいと思います。めったにあることではないが、長期間放置していると大きな問題になる事象は、企業リスクの観点では、緊急性はないが重要なリスクと位置付けられます。
とは言え、一般には監査部にシステム環境の設定状況やパソコンの設定状況を確認するだけの知見がない可能性もあります。その場合は、監査マニュアルの作成にあたり、システム管理部署が、監査に必要なスキルやノウハウを提供することで足りると思います。
今回は、発生したのが情報漏えいというカテゴリーの事件でしたが、顧客に直接被害が生じる事象がなかったのは、不幸中の幸いです。他社で事件があった際には、自社に当てはめて、確認や検証の要否を検討しておくと、経営者のリスク感応度が高まります。
コメント