Tweet

再発防止策として「私物PCでも共有ソフトを禁止」

IPA職員の私物PCからの情報流出、事実関係を説明

2009/01/06

　情報処理推進機構（IPA）は1月6日、同機構の職員が自宅で使用していた私物PCから、P2P型ファイル共有ソフトを通じて情報が流出した経緯を明らかにした。ウイルスに感染した結果、PC内にあった文書・画像など1万6208件のファイルが流出したという。

　この職員は2005年7月にIPAに採用され、ソフトウェア・エンジニアリング・センター（SEC）に所属していた。少なくとも2008年12月にファイル共有ソフトを利用してウイルス「Antinny.BF」に感染した結果、ET 2007やSEC設立3周年記念といったIPAのイベントにおける撮影画像のほか、この職員がIPA採用以前に所属していた企業の業務に関する情報や職員に関わる個人情報などが流出した。今のところ、IPAにおける非公開の業務関連情報の流出は確認されていないという。

　IPAで当該PCを解析したところ、「Winny」「Share」両アプリケーションのフォルダが確認された。職員本人の説明によると、「フリーウェアのダウンロード」を目的にファイル共有ソフトウェアを利用したというが、解析の結果、仮名漢字変換ソフトの「ATOK」などのキーワードでファイルが検索されていたことが明らかになっている。また、私物PCにウイルス対策ソフトは導入されていたというが、「定義ファイルの更新頻度は非常に低い。最新のものに更新していれば、普通に防げたはずだった」（IPA セキュリティセンター長 山田安秀氏）。

IPA理事 仲田雄作氏

　IPA理事の仲田雄作氏は、「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧（ざんき）に堪えず、非常に遺憾だ」と述べた。

　「IPAという組織に所属している以上、通常の組織よりも高いセキュリティ意識が求められる。もちろん、そのための取り組みをやっているつもりだったが、情報管理の重要性を改めて認識し、規定の徹底を図っていきたい」（同氏）

　IPAでは、業務に関する情報の取り扱いについて、自宅PCへのコピーを禁ずるほか、業務用PCの持ち出し禁止（許可制）、私物PCや周辺機器、USBメモリ持ち込みの禁止といったルールを定めていた。また採用した職員に対しては、新人研修の一環としてセキュリティに関する研修を行うほか、朝礼などで折に触れ、セキュリティの話題を取り上げていたという。

　ただ、こうしたルールの対象は、あくまでIPAの資産である業務用のPC。職員の私物PCについてはその枠外にあった。

　IPAでは再発防止策として、自宅PCにおけるファイル共有ソフトの使用を禁止するほか、研修などを通じてセキュリティ意識のさらなる向上に務めると述べた。職員に対して書面で、「自宅PCでファイル共有ソフトを使用していないこと」の確認書を取るという。

　プライバシーをはじめ法制度との兼ね合いもあり、職員の生活すべてを監視下に置くことは難しい。しかし「社会的使命ある組織の場合、家庭において私物PCを使う場合であっても、一定の規律を求めることが重要である」（山田氏）と判断し、こうした措置をとることとした。ただ、これが一般的な企業にまで適用できるかどうかはケースバイケースであり、退社した職員が保有する業務関連情報の扱いも含め、今後の議論が必要となるだろう。