ビジネスでは、個人情報などの機密情報の徹底した管理が欠かせません。社外秘の情報が流出することで、その情報が悪用され、企業に損害が生じる恐れがあります。

たとえ損害が発生しなくても、個人情報の漏えいが疑われる場合、企業は個人情報保護委員会、および本人にその旨を通知することが、個人情報保護法によって義務化されています。

このように個人情報の扱いには細心の注意が必要ではあるものの、一方で企業や団体が個人情報を流出するケースが度々発生しています。特に、よく見られるのが、USBメモリに個人情報を入れたまま紛失するという事例です。

2024年1月には横浜市の病院にて、患者の診療データをコピーしたUSBメモリの紛失が発覚しています。紛失の原因は、医師が論文作成のため、院内と自宅で作業するためにUSBメモリを使用したことによるものでした。現時点で情報流出は確認できていないものの、USBメモリ内には患者の氏名やID、年齢、性別などの診療データが保存されており、パスワードをかけたかどうかは不明確と発表されています。

2024年5月には川崎市においても、個人情報が含まれる書類データをバックアップしたUSBメモリが紛失していることが発覚しました。こちらも現時点では個人情報の漏えいは確認されていないようですが、保存されていたデータには申請者の氏名や住所、電話番号など、総数1,660件の情報が入っていたことが判明しています。

なぜ、USBメモリの紛失が発生してしまうのでしょうか？ 理由のひとつに、USBメモリはビジネスシーンでは都合が良い存在であることが挙げられます。

USBメモリは小型のため、持ち運びが簡単です。かつ単体では、基本的にはネットワークに接続されないため、正しく使用すれば、情報漏洩を防ぐことは可能です。個人情報保護委員会でも、USBメモリの使用を禁止していません。とはいえ、先に挙げたように紛失するケースが多く発生しており、その小型でスリムなデザインは、根本的に紛失の恐れを持ったデザインといえるでしょう。

度重なるUSBの紛失事故を踏まえ、同委員会では「USBメモリ紛失事案を受けた個人データの適正な取扱いについて」という注意喚起を発表、盗難や紛失を防ぐための措置を講じることを求めています。

具体的な措置としては、USBメモリを保管する場合は、社内の施錠できる場所で管理すること、業務で必要な場所以外では使用しないこと、持ち運ぶ場合にはその状況を記録し、暗号化やパスワードによって、個人データが容易に判明しないように取り扱うことが明記されています。

さらに、個人情報を取り扱う事業者は、従業員や委託先企業に対してUSBメモリを正しく使用するよう監督する責任があることも記されています。

先の注意喚起を守り、安全性を徹底することで、USBメモリを紛失する可能性を抑えながら、業務を勧めることは可能です。とはいえ、持ち運んで使用するというUSBメモリの性質上、紛失のリスクをゼロにすることは難しいでしょう。

USBメモリの紛失リスクを完全に抑えるためには、「そもそもUSBメモリを使用しない」という選択肢もあります。たとえば、インターネット経由でデータを保存・共有できるクラウドストレージであれば、USBメモリを使用せず、データを持ち運ぶことが可能です。

クラウドストレージは、クラウド上のファイルサーバーにデータをアップロードするため、USBメモリのように持ち運びできる媒体にデータをコピーしません。そのため、ファイルを別のユーザーに送付する場合も、クラウド上に存在するデータのURLを相手に共有します。これにより、メールに添付できないような大容量のファイルも共有できます。

さらにサービスによっては、データや通信の暗号化、アクセス制限の設定など、高いセキュリティレベルを施すことも可能です。

クラウドストレージの唯一の弱点は、クラウドに接続する際、インターネット回線を介するという点です。データの暗号化やサーバー間のセキュリティ対策が不十分な場合は、第三者による通信傍受が発生する恐れがあります。

しかしクラウドストレージの中には、こうした通信面でのセキュリティに配慮したサービスを提供しているものもあります。

その一つが、ドコモビジネスが提供するクラウドストレージサービス「Box over VPN」です。

Boxは、世界10万社以上の企業が導入している容量無制限のクラウドストレージです。アップロードしたデータはSSL/TLS暗号化通信により保護され、強固なデータセンターにて、国際的なセキュリティ規格に準拠した環境で保管されます。アクセスログの確認や、ユーザーやデータごとにアクセス制限を掛けることにも対応しており、保守面では運用時に何かしらのトラブルが発生した際もスムーズに解決できるよう、24時間365日対応のヘルプデスクを設けています。

このようにインターネット経由でも安全に利用できるBoxですが、ドコモビジネスのBox over VPNでは、企業とクラウドストレージを閉域網（VPN）で繋ぐVPN型も選択できます。より強固なセキュリティが必要な企業には、VPN型で安全性を高めることをおすすめします。
Boxは、ランサムウェア・マルウェアへの対策も講じられています。

Boxにアップロードされたファイルは自動で暗号化されるため、たとえランサムウェアに感染したファイルであっても、そのファイルに操作や実行をされることはなく、感染が拡散することもありません。万が一感染したとしても、Box上のファイルは自動でバージョニング（版管理）が行われているため、感染前のバージョンに戻すことも可能です。

マルウェア対策としては、マルウェアを検知する「Box Shield マルウェアディープスキャン」という機能が利用できます。この機能を使用すれば、ファイルのアップロード・ダウンロード・プレビュー・共有・コピーといったアクションごとにスキャンを行い、悪意のあるコンテンツをリアルタイムで検知します。

万が一、悪意のあるコンテンツを検出した場合は、ダウンロード制限や他のアプリケーションとの接続のブロックを自動で行い、ファイルの拡散を防止します。

日常的にUSBメモリを業務として使用している企業は、まだまだ多いかもしれません。しかし、いくら注意したとしても、小さなUSBメモリが紛失してしまう可能性は十分にあります。

今回紹介したBox over VPNであれば、そもそもUSBメモリを使わずにファイルの共有が可能になるうえ、高いセキュリティ対策や手厚いサポートなども利用できます。思い切ってUSBメモリを廃止し、紛失のリスクをゼロにしてみてはいかがでしょうか。