世間を騒がすUSBメモリ紛失 テレワークで「シャドー紛失」が横行する実態

USBメモリ紛失による尼崎市の個人情報漏えい事件が世間を騒がせている。テレワークで業務用デバイスの持ち出しが増えた昨今、調査ではセキュリティリスクとなる「シャドー紛失」が横行している実態も明らかとなった。

[野依史乃，キーマンズネット]

　兵庫県尼崎市は2022年6月23日、臨時特別給付業務の委託先の従業員が「全市民46万人分の個人情報が入ったUSBメモリを紛失した」として、謝罪した。USBメモリには全市民の住民基本台帳データや住民税に関する情報、生活保護や児童手当受給世帯の銀行口座情報などが保存されていた。

　当該の紛失事故は、紛失した理由やその後の記者会見でパスワードに関する情報を市側が明かしてしまうなど、「セキュリティ意識に欠ける」として波紋を呼んでいる。

　尼崎市によると、委託先の従業員がUSBメモリを紛失したのは21日のことだ。委託先の従業員は、臨時特別給付金コールセンターでのデータ移管作業のために必要なデータをUSBメモリに保存し、カバンに入れて持ち出した。作業完了後もUSBメモリ内のデータを削除しないまま持ち出し、飲食店で飲酒。酒に酔い路上で寝てしまい、帰宅してからUSBメモリを入れたカバンの紛失に気付き、翌日警察署に遺失物届けを出したという。

業務用端末の「シャドー紛失」多数　約9割は会社に報告しない

　保存されていた情報の重大さから、大きな話題となっているUSBメモリ紛失事件。そもそもUSBメモリやスマートフォン、ノートPCなど業務用デバイスの置き忘れや紛失は、情報漏えい事件においてその要因の“ワースト1位”という調査結果もある（注1）。新型コロナウイルス感染症（COVID-19）の影響で拡大したテレワークで業務用デバイスの持ち出しを余儀なくされたことで「シャドー紛失」も増加しているという。

テレワーク中の置き忘れ・紛失の実態調査結果（出典：MAMOIRO）

　コロナ禍で広く定着したテレワーク勤務中における置き忘れや紛失の実態を調査した調査結果（注2）によると、テレワーク経験者の52.2％が「テレワーク中に業務に関する物品の置き忘れ・紛失を経験していること」が明らかとなった。

　さらに、テレワーク中の置き忘れ・紛失を経験した回答者のうち7.4％は紛失物を発見できず、また、紛失事故を会社へ報告した割合は13％にとどまった。約9割の回答者が会社に報告しないままやり過ごしていたということだ。

　調査回答者たちが経験した紛失事故の詳細は次の通りだ。

「行きつけのカフェでテレワークし、会社に戻ってから紛失に気付いたが重要な情報は含まれていないので会社に報告していない」（30代・製造業）

「カフェに仕事の資料の入ったスマホを置き忘れ。お店に連絡をして保管してもらい取りに行ったので事なきを得た」（30代・情報サービス業）

「テレワークのため会社のノートPCを持ち帰り作業しようとしたら備え付けのUSBメモリがなくなっていた。大問題になった」（40代・運輸業）

　調査を実施したMAMOIROによると、テレワークの普及でコワーキングスペースやネットカフェ、ホテルなどオフィス外での業務が一般化した。普段のオフィスと異なる業務環境で業務用デバイスを意図せず置き忘れ・紛失してしまう事故が多発しているという。

　企業において情報システム部門が関知せず、ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスは実態が見えないことから「シャドーIT」と呼ばれる。こうしたIT機器やクラウドサービスは適切に管理されてないことが多く、企業においてのセキュリティ上のリスクとなっている。

　今回の調査では、企業においてリモートワーク中での紛失事故が発生したにもかかわらず、適切に会社に報告した割合が13％にとどまり重大なセキュリティインシデントにつながりかねないシャドー紛失の実態が浮き彫りとなった。同社は、「テレワークが普及する中で置き忘れ・紛失事故発生時の新たなルールや運用体制の整備が企業にとって急務だ」と指摘する。

注1：「2018年 情報セキュリティインシデントに関する調査報告書」（NP日本ネットワーク協会）

注2：20代〜60代の全国の男女 200人を対象にインターネット調査で実施（2022年6月17〜20日）、調査主体はMAMORIO