私物パソコン問題
意外と多い問題だと思います。先日もこの事件が新聞を賑わす前に、ある組織でISMS内部監査のコンサルの際、この問題を指摘したときは、私物パソコンは正式に承認手続きがなされているので良いとされました。意見として全廃する方向で検討をお願いしておきましたが、警察における私物パソコンの記事が出た後、全廃する方向に修正されました。
セキュリティ対策万全なシステムからの個人情報の漏洩
この事件はある新聞の首都圏版にしか掲載されなかったので、ほとんど知られていませんが、社会的に影響の大きい組織です。どのようにセキュリティ対策が万全かというと、そもそも個人情報データベースはオフラインで管理されていました。実はこのシステムに対してセキュリティ監査を実施したのですが、まさにこの監査の直前に事件が発生していたようです。ここでの問題はユーザID管理が不十分との指摘をしたのですが、事件はまさにIDの不正使用によるものだったようです。