ちょっと危ないな~と思う事故事例があったので、共有しておきたいと思います。
システム開発の仕様に係る参考資料としてweb上に添付したPDFファイルに
マスキングしたつもりの個人情報データが残存していて、
個人情報が漏洩したというもの。
(鳥取県中小企業団体中央会のHPから抜粋:http://www.chuokai-tottori.or.jp/)
上記の報告資料の中にも記載されていますが、
発生原因がとてもありがちなので、共有しておきたいと思います。
Excelデータから変換したPDFデータに個人情報のデータが残存していることへの認識不足によるもの。
(PDFデータに変換すれば、マスキング前の個人情報にはたどり着かないと認識していた。)
ExcelやWordのデータをPDF変換しても、
コピー&ペーストするとテキストを抜き出せることは知られていると思いますが、
マスキングしてあっても同様にコピー&ペーストすると抜き出せます。
PDFは、その文書自体を改ざんできないようにするために使用されることが多いと思いますが、
そのデータ(記載されているテキストなど)を利用されたくない場合は、
PDFに変換するだけでは不十分です。
同様の事例がありそうな気がするので、
取り上げてみました!
この事故に対する再発防止対策は、以下のとおり報告されています。
・ホームページで広く公開する情報については、その内容だけでなく、公開の必要性も含めて十分検討する。
・外部に出す電子ファイルについては、元ファイルから個人情報のデータを確実に削除した上で掲載する。
・チェックリストを作成し、ホームページへの情報掲載前における個人情報の適切な管理を徹底する。
まさに、その通りですね!
心当たりがある方は今後気を付けましょう!