社内情報を誤ってアップロードしてしまったと言う仮想事件を元に、委託先セキュリティ監査。Z氏がほしいｗｗｗ

ある日、K社が名簿作成用データとしてアップロードした社員150人分の個人情報が、半日間ほどF社のサイト上でいつでも閲覧できる状態にあったことが、K社の社員が別件でアクセスした際に発覚した。F社は急いでWebサイトのフォルダのアクセス権限を変更し、本来はF社がダウンロード後に削除しておくべきデータを削除した。その後、閲覧状態にあった間の印刷データがダウンロードされたのかを操作ログで確認した。ダウンロード自体が行われた形跡自体はなく、K社に連絡して謝罪をした。
K社がF社を利用するようになった背景には、K社の社長とF社のS部長が古くからの知り合いであったことがある。漏えい事故の可能性が低いこともあり、両社の取引を一時停止するという判断には至らなかった。しかし、K社の総務人事を担当するU課長は、今回の事故の対象が社員の個人情報であったこと、削除すべきデータが削除されていなかったというF社の管理体制を問題視し、F社からの報告で終わらせるわけにはいかないことをK社内で確認した。そしてU課長が中心となって、F社のセキュリティ管理体制やセキュリティ実行状況について確認を求めることにした。

委託先の事故から共に成長する――委託先の漏えい (1/3) - ITmedia エンタープライズ

例外処理とか手順にのっとっていない現場の頭の中の手順が一番恐い。

確認したチェック項目について、例外的な作業の発生や作業忘れの恐れなどを確認する
セキュリティ事故は、流れ作業の中での人為的ミス（ヒューマンエラー）を除くと、確認した5W1Hから逸脱した例外的（イレギュラー）な作業の発生から事故が起きやすい。そのため、例えば「Who（誰が）」に影響する作業者の不在時や、「When（いつ）」に影響する繁忙期の発生など、例外的な場面での社内対応の状況を追加で確認してみる。

委託先の事故から共に成長する――委託先の漏えい (2/3) - ITmedia エンタープライズ

悪いことを指摘するのではなく、自分を変えるためにインシデントの確認か。。。

U課長は、F社の現場で確認しながら、問題点を指摘することの難しさにも不安があった。Z氏は、「世の中で一番簡単なことは人を指摘することです。世の中で一番難しいことは自分を指摘することだという話もあります。さほど難しく考えず、委託先で現場を見せてもらい、自社との取り組み方が違う点に気付くくらいでいいのですよ」と助言した。指摘するだけではなく、「人のふりみて我がふり直せ」の気持ちで臨んでみようと、U課長を中心に社員4人でF社を訪問することにした。

委託先の事故から共に成長する――委託先の漏えい (2/3) - ITmedia エンタープライズ

さらにZ氏は、「人も時間も使って委託先をチェックするのです。委託先の改善のためだけではなく、より自社の改善にもつながる活動にしましょう」と追加で提案した。
委託元による委託先への調査では、本来その力関係に依るところが大きい。しかし、今回のケースではK社とF社は従来からの親しい付き合いで取引をしてきたため、その点を踏まえて、U課長はF社側の責任者にK社内を見学することを提案した。F社にK社のセキュリティ管理状況を見てもらうことの必要性について、Z氏から次の2つを提案されていた。

委託先の事故から共に成長する――委託先の漏えい (3/3) - ITmedia エンタープライズ

事故発生から約1カ月後に両社での現場確認も終わり、K社とF社の各担当者が参加する総括会議が行われた。そこでの取りまとめとして、事故が発生したF社では、再発防止としてWebサイトのアクセス権限の変更手続きを記録化し、変更時にほかのフォルダへの影響がないことを検証する。この手順をルールとして実行するとともに、K社自身も社内サーバのアクセス権限の手続きを、F社にならって同レベルにするという取り組みを決めた。F社ではK社訪問時に確認した項目を取り入れ、退室時のキャビネット施錠確認など、新たなセキュリティ管理に取り組み始めた。
会議を終え、U課長はZ氏に「いざ委託先への監督をしようとした時は、何をどのようにして指摘すべきか手探りに近く、不安にもなりました。結果として委託先から感謝され、自社のセキュリティアップも図ることができて大変意義あるものでした」と感謝を告げた。

委託先の事故から共に成長する――委託先の漏えい (3/3) - ITmedia エンタープライズ