コンプライアンス違反事例　ＮＯ．１１　ＩＴ関係（クラウドサービス会社のデータ消失）

【１】違反概要

　クラウドサービスでデータの安全性をうたい事業を拡大していたレンタルサーバ会社Ｄ社が、顧客のデータを“消失”させてしまった。

【２】発覚の結果会社が被った被害

　顧客のデータ５６９８件を“消失”させてしまい、しかもそのほとんどは復旧不可能とであった。マスコミにも大きく取り上げられ、Ｄ社のみならず、クラウドサービスの安全性に疑問を投げかける事態となった。

【３】原因

　脆弱性対策のためのセキュリティーパッチを当てる際、不十分なテストのまま更新作業が行なわれ、停止すべき削除コマンドが実行され、更に対象サーバーの指定漏れがあった。また利用会社側もクラウドサービス会社に任せきりで、適切なBackupを取る作業などが行なわれていない利用者が多数を占めていたため、甚大な被害となった。

【４】再発防止策

　１）テスト環境にて事前の確認を行なった後で、本番環境にて作業を行なうことを徹底する。作業は並行的に実施せず、必ず順次行なう。
　２）システムに重大な影響を与える作業は、一人で作業することなく、必ず複数人にて、「指差し確認」を行ないながら実施する。
　３）顧客側でも適宜Backupを取ることの重要性を認識してもらうための説明会を実施する。

【５】再発防止策を機能させる歯止め

　１）重大な影響を与える作業の実施前と実施後に、報告会を実施し影響が出なかったことを関係者一同で確認する。
　２）顧客のシステム担当者との連絡を密にし、不測の事態発生を予防し、また回避する業務運用を定着させる。