日本ベリサイン社員が業務に使用していたノートPCが電車内で盗難にあった事件で、PCに施されていたセキュリティ対策は2段階のパスワード設定のみだったことが明らかになった。
盗難にあったのは同社マーケティング本部の社員が使用していたPCで、ディスクには取引先916人分の氏名とメールアドレスが保存されている。同社の社内規定では、業務上必要でかつ社内で必要な決裁を受けていれば、業務に使用するデータを保存したPCを社外に持ち出すことは認められている。今回盗難にあったPCでは、社内規定に沿ったセキュリティ対策として二重パスワードのみが設定されており、データは平文で保存されていた。現時点でPCは発見されておらず、データの流出も確認されていない。
同社管理本部 管理部部長の村川佳嗣氏によると、同社の主力事業である証明書発行やISMS認証取得支援などに関わる顧客データとマーケティング等の業務で使用する取引先データは異なるセキュリティレベルで管理されているという。同氏は、今後の対応策について「社員教育やシステム的な対応などを進める。例としては、持ち出しルールの見直しや、PC電源投入時の認証強化、暗号化などのデータ保護策の実施を進めたい」としている。
日本ベリサインは、3月14日時点でISMS/BS7799等のセキュリティ認証は取得していないが、今回のPC盗難により認定資格の取得が阻まれるかとの問いに対しては「コメントを差し控えたい」(前出の村川氏)としている。
