尼崎市によるUSBメモリ紛失が記憶に新しい中で、またもやUSBメモリ紛失事故が発生しました。杏林大学医学部付属病院は6月30日、同院の医師が患者の個人情報入りUSBメモリを紛失したと発表しました。紛失したUSBメモリにはパスワードロックなどは適用されておらず、現時点でUSBメモリは発見できていないとのこと。

　相次ぐUSBメモリの紛失ですが年間でどの程度発生しているのでしょうか?尼崎市で起きた紛失事案は他人事と捉えて良いのでしょうか?公開されているデータを基にUSB紛失事案の実態について調査すると、決して他人事ですまされない実情が見えてきました。

■USBメモリによる情報漏えい事案の実態

　少し古いデータとなりますが、NPO日本ネットワークセキュリティ協会（JNSA）の2018年の調査によれば2018年の情報漏えい事案の全体件数は443件、そのうちUSBメモリの紛失は12.6%に相当する56件とされています。

　但し、この調査結果は「事案が報道された、もしくは組織からリリースされた件数」である点です。公表されていない件数は含まれていない点を考慮する必要があります。

　公表された事案だけでも月4.6件ほどのUSBメモリ紛失事案が起きていると考えられます。

■2022年に公表されたUSBメモリ紛失事案の傾向

　2022年1月1から7月4日の期間を対象としUSBメモリ紛失事案を調査した所、現時点で11件の事案が公表されていました。

・紛失すると見つからない

　公表された内容で注目すべき点は「紛失したUSBメモリの91%は未回収」となっている点です。11件中紛失したUSBメモリが発見されたのは尼崎市の事案のみで他事案では全て「未回収」となっています。USBメモリは小型で持ち運びが容易であるのが利点ですが、「小型のため紛失しやすく、紛失すると見つからない」という傾向がある点がうかがえます。

　・プライバシーも流出する

　また、含まれている個人情報にも特徴があることがうかがえます。単なる個人情報流出ではなく「プライバシーの流出」である点です。紛失事案として公表されるのが学校や医療関係であるといったことが関係があると考えられますが生徒の成績や卒業文集、顔写真や睡眠時の動画等といった人によってはクレジットカード番号や氏名以上に「他人に知られたくない情報」と考えられるのではないでしょうか。

■紛失事案は氷山の一角。紛失経験者の87%は報告しない

　とはいえ、年間で56件ほどなら問題視する程でも無いのではないか?と考える方も居るかもしれません。

　MAMORIO社の調査によるテレワーク勤務中における置き忘れや紛失の実態調査の結果によると52.2%がテレワーク中に業務に関する物品の置き忘れ・紛失を経験しており、紛失事故を会社へ報告した割合は僅か13%。87%の人が会社に報告していないという調査結果となっています。

　このような調査結果を基に考えてみると、公表される件数は氷山の一角であり10倍程度は紛失事案が発生し、企業側がそれに気づいていない可能性も考えられます。

■シャドーIT化するUSBメモリ。人任せのセキュリティの限界

　2022年に公表されたUSB紛失事案のうち正式に企業が貸与していたUSBメモリは11件中4件でした。それ以外は私物USBか未公表のどちらかです。また、個人情報の持出しを認めていたのは11件中僅か1件です。

　企業側としては私物USBメモリの利用を禁止しており、個人情報の持出しを認めていない状況で多発する「USBメモリ紛失事案」。

　公表されたUSBメモリ紛失事案から読み取れるのは「企業の情報システム管理者が私物USBメモリの存在を認識出来ておらず、個人情報が持ちだされている」ことに気づいてない実態です。

　このような管理者が認識出来ていないIT資産を「見えないIT = シャドーIT」と呼びますが、USBメモリの利用はシャドーIT対策の一貫として企業も対策に取り組むことを推奨します。