結論:稼働中だけでなく、停止・廃止時のリスク管理を組織として仕組み化することが急務です。
■ 最近のインシデントから見えてくるもの
セキュリティ対策というと、稼働中のシステムへの不正アクセスや情報漏えいが注目されがちです。しかし最近、見落とされやすい「終わらせ方」のミスによるインシデントが相次いで報告されました。
■ 事例①:大阪マラソン2026
システムの閉鎖作業中に、業者が誤って個人認証機能を解除してしまいました。その結果、3日間にわたってボランティア参加者4,101人分の氏名や連絡先が、他の参加者から閲覧できる状態に。アクセスログを確認したところ、実際に3,477人分の情報が閲覧されていたことが判明しています。
作業手順の不備と、発注者側によるレビュー体制の欠如が重なった典型的な事例です。
■ 事例②:ロート製薬
廃止した旧ドメインが第三者に取得され、製品パンフレットに記載されていた旧URLへのアクセスが無関係のサイトへ転送される事態が発生しました。
「ドメインを廃止したら終わり」ではなく、印刷済みの資料に残ったURLが思わぬリスクになる――この視点は、多くの企業で見過ごされています。
■ なぜ「終わらせ方」は見落とされるのか
稼働中のシステムには、定期的な脆弱性診断やアクセス管理の見直しといった継続的な対策が講じられます。一方、停止・廃止のタイミングは「一度きりの作業」として処理されがちで、チェック体制が手薄になりやすい構造的な問題があります。
特に中小企業では、廃止プロジェクトの担当者が属人化しており、ドキュメントや引き継ぎが不十分なケースも少なくありません。
■ システム廃止・停止時に確認すべき3つのポイント
① 認証設定の変更手順は文書化されているか
作業をベンダー任せにせず、手順書を事前にレビューする体制が必要です。
② 廃止するドメインは確実に管理・抹消されているか
廃止後のドメインは第三者に取得されるリスクがあります。契約終了後の扱いまで明示的に定めておくことが重要です。
③ パンフレットや印刷物に残った旧URLを把握しているか
デジタル資産だけでなく、紙媒体に記載されたURLも棚卸しの対象です。
■ IT戦略アドバイザーとしての提言
システムのライフサイクルは「導入→運用→廃止」まで一貫して管理されてこそ、真のリスク管理といえます。
発注者・ユーザ側が主体的に廃止手順とリスクをレビューする体制を整えることが、今後のDX推進においても欠かせない視点です。プロジェクト完了の定義に「廃止・移行後の確認」を明示的に組み込むことを、ぜひ検討してみてください。
参考:日経クロステック https://xtech.nikkei.com/atcl/nxt/column/18/00598/010900359/
#情報セキュリティ #個人情報保護 #システム管理 #DX #IT戦略
コメント