at posts/single.html

ACCAの個人情報漏洩

記者会見の記事を見て素朴な疑問を感じた。

これまで、ACCAでは規定を作ってセキュリティ対策を実施されていたみたい。

——これまでどんなセキュリティ対策を講じていたのか。

湯崎氏:2002年からBS7799にのっとって、セキュリティ対策を講じてきた。

しかし、事件発覚直後には「セキュリティのさらなる強化」として、以下のような対策を掲げられている。

データベースにアクセスするための専用の高セキュリティ・ルームを設置して、物理的な対策を講じる。高セキュリティ・ルームの監視担当者を設置したり、セキュリティ・ルームでできる作業も限定する制度を設ける。3月29日までには終わらせる。

社内システムにアクセスするための共有アカウントが17個ある。セキュリティ面からこれを3月26日までに使用できなくする。

社内のパソコンのUSB、フロッピーを使ってデータを取り出せないようにする。これは物理的な作業が必要だが4月4日までに終わらせる。

メールのやり取りのチェックやWebにアクセスできないようにするといった取り組みを進める。

正直、これを見ると、従来のセキュリティ対策って何だったんだろう?と思う。 こんなに重要かつ短期間でできる対策がこれまでされていなかったなんて。 BS7799では有効なセキュリティ対策にはならず、事件が起きないと本当の対策はされないってことなのかな…。

他に気になるところ

  • 朝日新聞社が個人情報のリストを入手したみたいだけど、このリストは厳重に保護されているのかな?(記者なら誰でもリストを見られる、ってことないよね)
  • 補償が500円って誰が決めたんだろう

今回の件は他人事じゃないんだよねぇ。

関連する日記