NICTの業務委託先である株式会社TBSグロウディアが、委託業務で利用しているノートPCを、2023年9月16日に紛失したことが判明しました。株式会社TBSグロウディアは警察署に遺失届を提出しましたが、現時点で発見に至っておりません。
このノートPCにはNICTのセキュリティ人材育成プログラムSecHack365の 2023年度受講生の氏名、フリガナ、SecHack365での受講コース・ゼミの情報が保存されておりました。
当該ノートPCは情報漏洩対策※がされており、現時点では情報の不正使用などの事実は確認されておりません。また、株式会社TBSグロウディアと共にSecHack365受講生の方への説明を行っています。
これまでも当機構において業務委託先に対し情報管理の徹底を求めておりましたが、今回の事案を踏まえ、委託先機関における情報管理に関する注意のみならず、業務情報及び職務上守秘・保護すべき情報の管理にかかわる注意を、全職員および業務委託先に改めて周知徹底し、再発防止に努める所存です。
※ 実施されていた情報漏洩対策の詳細
- OSのディスク暗号化機能の有効化とPINによるデータの保護
- OSにログインするためのパスワードに十分な長さと複雑さを持つものを設定
- OSにログインするための2段階認証の設定(2段階目の認証に要するトークン等は紛失していない)
- 商用のIT資産管理ツールをノートPCに導入してOSへのログイン状況やその他の操作等を一元管理
- 紛失時にノートPCはシャットダウンされておりOSからログオフの状態にあった