- 締切済み
pcでの個人情報の扱いについて
カテ違いかも知れませんが宜しくお願いします。 以前、福祉施設を利用していた時に職員さんが「スタッフルームの中にあるパソコンの中には個人情報が一杯入っているから、スタッフルームには入ってもらっては困る」というような事を言っていたので果たしてpc(インターネットに接続されている)に個人情報入れて大丈夫なのかな?と疑問に感じ たのでどれ位その職員さんがpcの知識があるのか質問してみました。「何々さんが今仕事で使って るpcのosって何ですか?」その方は自分が使っているpcのosが何なのかさえ答えられませんでした。 勿論インターネットにも接続されています。その程度の知識では多分どんなセキュリティソフトを入れ ているかも知らないでしょう。もしかしたらセキュリティソフトを入れていないかもしれません。 セキュリティをどれだけ万全にしても100%pc内のデータが外部へ流出することを防ぐのは不可能です。 方法は一つしかありません。pcに入れないことです。 医師でも個人のデータが入ったpcをそのままインターネットに繋げている人を結構みかけます。 一応セキュリティソフトは入れている人もいましたが、個人のデータが入っているpcをそのままインターネットに繋げている時点でそんなにセキュリティの知識が無いように感じます。 もし、私だったらあくまで理想ですが、個人のデータが入っているpcとインターネットに接続している pcは物理的に絶対に繋げないようにすると思います。usbメモリー等のメディア経由でのデータの流出も最近は非常に多いです。 以前結構大きな病院でスマホを使っていたらその病院で使われていると思われる無線LANの アクセスポイントが見つかりました。無線LANを使う場合のセキュリティ対策は色々ありますが、 その病院では無線LANのアクセスポイントの名前を病院名だと分かる文字列プラス何階という文字列の組み合わせにしていました。一応暗号化はしていましたが、暗号化キーはwepでした。 これだとある程度知識のある人間なら簡単に侵入することうが可能です。不正アクセスになる可能性があるのでやっていいかどうかは別問題ですが。 たた個人情報を守る守秘義務を持っている立場の方がこの程度のセキュリティの知識で守秘義務を守っていることになるのでしょうか? これは仕方が無いことなのでしょか? しかし私のデータをpcには入れないで下さいとは言えないですからね。 ご意見をお聞かせ下さい宜しくお願いします。
- davidbatt
- お礼率97% (1007/1036)
- ウィルス・マルウェア
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- kmetu
- ベストアンサー率41% (562/1346)
- kmetu
- ベストアンサー率41% (562/1346)
エンドユーザーがセキュリティについて知識が無くても別に問題はないと思いますが…。 私も個人情報に対して守秘義務がありますが、私の会社のシステムのセキュリティがどうなってるのか知りませんし、個人情報を含むデータは会社に指定されたドライブ(ファイルサーバがPCのドライブにマウントされている)に保存するようにしているだけで、それ以上のことはIT管理部門が管理しています。 で、システムのセキュリティがどうなってるのか知らないから守秘義務を守っていないなんて言われたら、うちの会社の社員の殆どが守秘義務を守っていないということになり、会社が成り立ちません。 病院の例が出ていましたが、医師(守秘義務がありますよね)が病院内のシステムのセキュリティに関して知識が無ければPCを使えないなんて事になると、電子カルテを導入している病院では普通の医者は勤務できないということになります。 また、全ての銀行員が銀行のセキュリティシステムの知識を持っているということも無いでしょう。 問題にしている福祉施設でも、守秘義務を守ろうとして、スタッフルームには入らないように注意したのでしょうし、PCのOSが何だろうがセキュリティソフトが何だろうが一般の職員さんには関知する必要がありません。管理者がしっかり管理し、職員さんはその指示に従っていればいいだけの話です。 また、その福祉施設でPCに個人情報が入っていると職員さんが言ったと書かれてますが、その職員さんはシステムについて無知のようですから、PCに情報が入っているのではなくPCでは単に見れるだけで、情報自体は専用のファイルサーバに存在し、そこできちんと保護されている可能性もあります。 病院でアクセスポイントを見つけたといいますが、たとえポイントにアクセスできたとしても、システムログインのIDとパスワードが分からなければシステムを利用することはできませんし、患者の個人情報がその無線LANと同一セグメントに存在するとも限りませんから、システムの管理が甘いとは言い切れません。もしかしたら、入院患者さん用のアクセスポイントだったのかもしれませんよ。 ということで、それぞれの立場で守秘義務を守ればいいだけの話で、コンピューターのシステムに対する知識がどうのこうのなどというのは、守秘義務を守る守らないということとは無関係な話です。
お礼
回答頂き有り難う御座いました。 大きな企業や上記の病院等は当然システムの構築管理等は専門の業者に任しているところが多いと思いますので、セキュリティ上の問題が仮にあったとしたら、会社のシステム管理担当者及びシステムの管理を任されている業者に責任があるという事になる可能性が高いと思います。病院の場合だと患者用だった可能性も捨て切れませんが、もし患者用だとしたら、暗号化する必要は有るでしょうか?各階に無線LANを置く必要が有るでしょうか?外部の人が病院の外からアクセスする事を防ぐ為に暗号化しているということでしょうか? ただ上記の福祉施設の場合は職員は2人しかおらず、私に上記の説明をしたのも責任者ですし、ファイルサーバーを置いていた可能性はかなり低いので、万が一ファイルサーバー等が無いと仮定するならば、その職員が自分でpcの管理を行っていた可能性が非常に高いと思います。ただ管理業者はいたかもしれません。 それ以外だと、個人で開業されているクリニック及び診療所(医師が一人しかいない場合)はどうでしょう? 勿論管理業者を使っているクリニック及び診療所もあるでしょうが、医師個人がpcを管理しているところも 有るように思います。その場合はその医師に責任があるという事にならないでしょうか?
お礼
再度回答頂き有り難う御座いました。 >もちろん、多少知識があって何かしら変更して漏洩したとしたら変更した部分によっては責任が医師に及ぶ>でしょうが、セキュリティの知識のあるなしで守秘義務を守る守らないが分かれるということとは別の話だ>と思います。 私も問題はここだと思います。ただこれからの時代はインターネットとの関わりが更に多くなっていく 時代だと思います。 インターネットやセキュリティに関する知識があるかどうかは個人の問題だと思いますが、 守秘義務を守る立場の方には今後考えなくてはならない課題の一つになってくるのでは無いかと 個人的には考えています。