福岡県は1月6日に県内の新型コロナ感染者の氏名や年齢、居住地を含む個人情報が漏えいしたと発表しました。個人情報を記録したエクセルファイルをクラウドファイル共有サービスのグーグルドライブで医療関係者と共有した際に、誤って関係ない男性にアクセス情報を誤送信し、一ヶ月以上インターネット上に外部からアクセスできる状態にしていたという。
では、どうしてこのような事態が発生したかを考えてみましょう。個人情報を医療関係者と共有する必然性はあると考えられるため、共有する行為自体は理解できるものの、外部者である医療関係者に対して個人情報を開示する際のセキュリティへの対策が欠如していたのは明確です。このような漏えいの場合、問題は情報の受け渡し手段のセキュリティと情報そのものに対するセキュリティに分けられます。この両方を担保しない限り、人為的なミスによる情報漏えいは防げません。
今回は、ファイルの受け渡しにグーグルドライブというクラウドファイル共有サービスが使用されています。クラウドファイル共有そのものは、使い方次第では問題ありませんがグーグルドライブのような誰でもアクセスできるサービスを使用することは避けるべきです。弊社のSecureDriveのようにアクセスを限られた権限者に制限できるクラウドファイル共有サービスでは共有経路での漏えいは防止できます。
しかしこれだけでは不十分です。転送経路を保護しても、データを外部に渡す場合は、共有先での二次漏えいも考えられるからです。データそのものを保護するにはパスワードによる暗号化が一般的ですが、パスワードが漏えいしてしまえば簡単に破られます。弊社の提供するコンテンツセキュリティは、暗号化されたファイルを閲覧または開く場合パスワードではなく多要素認証による本人確認を用いています。これにより、万一ファイルそのものが漏えいしたとしても、権限者以外は見ることもできません。
人為的ミスは完全に防ぐことは不可能です。ミスがあっても情報のセキュリティを保証するのがコンテンツセキュリティであり、テクノロジー全般の使命です。個人情報や機密情報を外部者と共有しなければいけない場合は、コンテンツセキュリティの利用を強くお勧めします。