先日、こんなニュースを目にしました。
取引先の電話番号200件が登録された携帯電話を紛失 - 札幌の医療法人
https://t.co/uP7iFrTy5G - https://t.co/6xQ5hG8Zkb— セキュリティ・トレンド bot (@sec_trend) 2016年10月7日
事件を起こしたのは札幌市内に拠点を持つ医療法人新産健会というところ。聞いたことあるなぁと思ったら、LSI札幌クリニックという比較的大きな病院を運営している医療法人ですね。
で、この事件に対する弊社代表の率直な感想はこちら。
対応遅いし、リモートワイプかけろよ。全然ダメダメな対応だな。 / “業務用携帯電話紛失のご報告とお詫び” https://t.co/5ELaFANdK9
— ぴずも@平野めらに推し (@pismo_kumachan) 2016年10月7日
ここで気になるのは「紛失後、携帯会社に連絡を行い携帯電話の利用停止措置を行っております」の一文なんだけど、利用停止措置ではダメでリモートワイプ(遠隔消去)を掛けるべきなんですね。
実は弊社代表は2014年3月に某マスコミ企業にて講演を行っていますが、その時に以下のスライドで対応策を紹介しています。
利用の停止だけだと「電話機としての利用は出来なくなるが、内部の情報にはアクセスできる」ため、リモートワイプ(遠隔消去)をするべきであるという事を。リモートロック(遠隔ロック)は最低限の線であり、本来はリモートワイプ(遠隔消去)を掛けるべきなんですね。なので、事前にそれらの対応を出来るように登録しておくことが必要なのです。
今回の、医療法人新産健会はそれらの対応のための事前登録をしていなかったと推測できます。なので、利用停止措置しか出来なかったと。従って、該当の端末に保存されている個人情報へはいつでもアクセス可能な状態になっていることを忘れてはいけません。警察への届出も紛失から数日後にしているようですが、これ自体に個人情報漏洩を防ぐ抑止力はありませんから無意味とは言いませんが、情報セキュリティの観点から言うと、あまり意味のあることだとは思えません。
弊社は以下の対応を強く推奨します。
- 業務用携帯はいつでもリモートワイプできるように登録しておく
- 紛失が判明した場合には即時リモートワイプを掛ける
ためらっているヒマはありません。このブログを見たら、すぐに対応しましょう。携帯電話の紛失はいつ発生するか判りませんから。
投稿者プロフィール
