質問
> 現在該当のファイルは削除したのですが、VSSを利用していつでも復元できる状態です。
> そのことがユーザーには納得がいかないらしく
VSSを利用して復元するユーザが居るということですか? だったらそのユーザーを捕まえましょう そもそもそんな個人情報を入れた”誰か”が居るわけですからそいつをとっ捕まえて 市中引き回しの上100叩き じゃなくって けん責 くらいはやったらどうですか まぁ本人は悪気はなかったかもしれませんので名前の公表はしないにしても「こんなことがあって個人情報取り扱いに違反している」と周知すべきではないでしょうか
VSS の削除は、その日 VSS 全体で削除する事は出来ますが、特定のファイルだけを消す事は、技術的に不可能なはずです。(他のバックアップも同じですね)
「もし、どうしても削除して欲しいのであれば、役員などに判断をしていただく方向にするしか無いと思いますが?いかがでしょうか?」
(バックアップが無くなる事に関するリスク、個人情報が復元可能なリスク、どちらを取りますか?)
もちろん役員への説明は、ユーザーの方にお願いして、システム部門は資料の作成や、システム的な補足説明だけで良いのでは、無いでしょうか?
「そこまでの覚悟が無いのであれば、静かにしてください。」という事でいかがでしょうか?
勤務先だと「セキュリティ委員会」への報告をして、対応はセキュリティ委員会の決定に従う、だったと思います。
(ISO 27001 で決まっている対応?)
(役員への報告などは、セキュリティ委員会の方から行われる、らしいです)
みなさん
ありがとうございます。
・基本的に削除は対応しない
・個人情報データなど誤ってアップロードしてしまったなどセキュリティインシデントが
発生した場合は、「セキュリティ委員会」の決定に従い対応する。
とします。
ありがとうございます!
> 役員への報告などは、セキュリティ委員会の方から行われる
ウチの場合は「委員会担当役員から社長への報告」となっていています 通常は役員会に社長も出るので役員会に報告すれば社長にも報告したことになります。
でもねぇ 議事録を書いたやつ(ヒラ社員)が「これは大したことではないだろう」と役員会議事録に載せなかったことがあって、それをまた外部のIT統制で見つかってしまったことがあります 「記録にないのではエビデンスになりませんね」と言われたのです。幸いこのヒラ社員は録音していて、確かに「委員会報告をやっている」となってセーフでした 以後、議事録が倍くらいの行数になりましたね。
質問
お世話になってります。
ユーザーから激しい突込みが来て困っています。
VSSを設定しているファイルサーバに、禁止されている個人情報が入ったファイルが保存されていることが発覚しました。
現在該当のファイルは削除したのですが、VSSを利用していつでも復元できる状態です。
そのことがユーザーには納得がいかないらしく、該当のファイルだけVSSやほかのスナップショットから消してほしいとのこと。。
保存期間3週間待ってほしいと伝えてはいるのですが何とかならないかの一点張り。。。。
何か良い対応方法はありませんでしょうか。