無断で持ち出しをする事例
個人情報入りUSBメモリを紛失した教諭を処分 - 三重県
三重県教育委員会は、児童の個人情報を保存したUSBメモリを紛失した小学校教諭を処分した。
同教諭が、2007年2月ごろに当時勤めていた小学校の職員室でUSBメモリを紛失したもの。同メモリには、同教諭や同教諭の妻が勤める同市内小学校の児童に関する個人情報が保存されていたが、同教諭は紛失を報告していなかった。その後、外部よりマスコミに流出データが持ち込まれ、事故が判明した。
同教諭は繰り返しデータをUSBメモリに保存し、無断で持ち出していたほか、今回の紛失事故の前にも、鍵を紛失しながら報告を怠るなど、問題を起こしていたという。同県教育委員会では、個人情報保護について「県をあげて取り組んでいるのに大変遺憾」とし、戒告処分を行った。
(Security NEXT - 2007/11/09更新)
ユーザIDは基本的に指定。
正当なアクセス権限を持っている人による持ち出しの事例。
この場合だと、データを書き込む。コピーする上書きするといったwriteアクセスが不必要だと思われる。
そのほか、時間指定を加えても良いと考えれる。が・・・必要性あるか?
外部からのアクセス禁止・・・位置が必要か?
どこまで制御すべきか。
<?xml version="1.0 encoding="U TF-8" standalone="no"?>
<!DOCTYPE data_protection_policy SYSTEM "polycy.dtd">
<data_protection_policy>
<default_access>
<read>deny</read>
<write>deny</write>
<send_local>deny</send_local>
<send_remote>deny<send_remote>
</default_access>
<data_protection_domain type="none">
<ACL>
<context>
<user>
<user_id type="own">1001</user_id>
<user_id type="own">1002</user_id>
</user>
<location>
<device id="net_radio">
<value type="essid">school</value>
<value type="quality">50</value>
</device>
</location>
</context>
<access>
<read>allow</read>
<write>deny</write>
<send_local>deny</send_local>
<send_remote>deny</send_remote>
</access>
</ACL>
</data_protection>
</data_protection_policy>
最終更新:2007年12月05日 09:07