紛失した業務用パソコンは情報漏洩対策として、顔認証による職員以外の利用制限及び記憶装置(SSD)の暗号化により直接データの読み取りができないなどの対策を実施している
なのに「現在のところ、個人情報の流出は確認されていません」の報告は?
また、どこの広報も「確認」を曖昧に使用しているが、自分で確認したのか、報告を受けていないだけなのか今後の確認は行うのか不明で、ごまかしている印象が強い。
個人情報が入ったノートパソコンの盗難について(島根県立大学)
PDF内(表示がディレクトリパスまで含めれていてセキュリティ的に?)に赤字で「なお、ノートパソコンにはパスワードを設定しており、現時点では、当該個人情報の第三者への流出や不正使用による被害などの事実は確認されておりません。」と記載されているが、内蔵ディスクが暗号化されていない場合は、すべて漏洩します。また、「確認」のあいまいな表現など赤字で強調し恥ずかしくないのでしょうか?
また、赤字で「※本学としては、この事案は国内で発生した事件で、犯人はいまだ捕まっておらず、盗まれた物品も見つかっておりません。そのため、対象となる個人情報についての詳細 は、追加の被害が発生する可能性がありますので、 公表は差し控えさせていただきます。」と記載されていますが、海外なら公表するのか?他大学は?言い訳に聞こえるのでこのような記載方法ではなく、もっとまともな報告ができないのか?
情報セキュリティインシデントの発生を完全に止めるのは非常に困難ですが、発生した後の対応(広報など)の内容によっては、さらなる信頼を勝ち取ることが可能です。