内閣官房の内閣サイバーセキュリティセンター(NISC)は2021年6月2日、富士通社のプロジェクト情報共有ツールへのサイバー攻撃で発生した情報漏えいについて第2報を発信しました。
流出した情報の中には、内閣サイバーセキュリティセンター(NISC)が実施したサイバーセキュリティーに関する情報共有訓練に参加した組織の名称、参加者の役職、氏名の一部が含まれているとの報告が新たにありましたが、具体的な内容については報告されていません。
日本経済新聞社の報道によると、流出した個人情報は、内閣サイバーセキュリティセンター(NISC)が東京五輪開催中のサイバー攻撃に備えて実施した情報共有訓練の参加者の所属先や役職、名前などです。
組織委員のほかにも、中央省庁や東京都や福島県といった会場となる地方自治体、スポンサー企業を含む約90の組織のセキュリティー担当者ら約170人の情報が漏えいしたとしています。
内閣サイバーセキュリティセンター(NISC)による情報開示が継続されていることは良いことではありますが、報告されている文書に大きな問題があります。
何が問題かと、「第1報の文書では、委託先である富士通株式会社から、当センターの情報システムに関する情報が外部に流出したとの報告を受けました。」とか、「当該プロジェクト情報共有ツールについては、既に停止した旨、報告を受けております。」とか全く、当事者意識のかけらも見当たりません。これは、第2報で報告された文書でも同じ傾向です。
富士通社に委託し、この情報共有ツールを使用していたことが本質的な問題ではありません。
委託先を選定する責任は、事業主である内閣サイバーセキュリティセンター(NISC)にあり、委託先を管理する責任、および内閣サイバーセキュリティセンター(NISC)が取り扱う情報管理の責任は内閣サイバーセキュリティセンター(NISC)にあります。そして、情報漏えい事件の当事者であるにも関わらず、謝罪の一言すらないのです。
世間に対して発信する文書中に、被害にあった個人宛に対する謝罪を入れなかったことに対しては、内閣サイバーセキュリティセンター(NISC)の考え方として受け入れるにしても、日本の模範となるべき内閣サイバーセキュリティセンター(NISC)として、情報管理責任を全うできなかった組織運営に対しては、事業資金を税金として支払っている国民に対して謝罪すべきではないでしょうか。1民間企業とは立ち位置が違うのです。
これが、日本における行政の中枢機関の行動であることが非常に残念でなりません。
日本の企業の皆さんはきっと、この事例を、反面教師として役立てていけることでしょう。余談ですが、独自に入手して確認した情報漏えいの被害にあった対象組織向け文書では、謝罪の文言はありましたので、直接被害のなかった人には謝罪の必要はないという考え方なのかもしれませんね。
#IT #システム #インシデント #セキュリティ #情報漏洩 #ニュース #不正アクセス #セキュリティ事故 #セキュリティインシデント #セキュリティーインシデント #セキュリティリスク #リスクマネジメント #脆弱性 #個人情報 #漏えい #流出 #ITインシデント #情報セキュリティ #サイバー攻撃 #事故事例 #内閣サイバーセキュリティセンター #NISC #事故報告 #反面教師 #公式文書 #責任者 #CISO #CIO #内閣官房長官 #内閣総理大臣 #富士通 #ProjectWeb #東京五輪 #東京オリンピック #サイバー訓練
powered by Auto Youtube Summarize