2007年2月21日に大日本印刷で起きた大規模な情報漏洩事件。取引先の顧客情報約15万件分を、業務委託先企業の従業員が持ち出し、情報流出を行ったというものです。
事件はこれだけでは終わらず、その後の警察調査によると、同被告は合計43社およそ864万件もの個人情報を故意に流出させており、過去最多の情報漏洩事件として社会を驚愕させました。
今回は、この事件についてまとめます。
事件の経緯
2006年3月 | 大日本印刷の得意先である、株式会社ジャックスのクレジットカード「JACCSカード」に関する業務を委託する。 逮捕された業務委託先の元従業員である横山博文被告(46)は、プログラマという自身の立場を利用してこの時期から情報流出を開始。 その後、約1年にも渡って当該顧客情報が含まれたMO(光磁気ディスク)を盗み出し、インターネット詐欺集団に売却するという凶行に及ぶ。 |
2006年6月 | 情報流出に伴い、インターネット通販詐欺事件が発生したことを捜査当局より、大日本印刷に極秘裏に通告。当局は大日本印刷側に捜査協力を求める。 |
2007年2月 | 20日、大日本印刷の業務委託先の元従業員である横山博文被告(46)がプログラマという自身の立場を利用して、情報流出を行った事実を認める。 捜査が進み26日には、流出した顧客情報がなんと15万件(被害総額およそ667万円)にも及ぶことが発覚。 横山博文被告は、警察により窃盗容疑で逮捕。検察による告訴へと移行。 |
2007年3月 | その後、横山被告に対して行われた取り調べにより、同被告は本件以外にも2001年から2004年の3年間に渡って、多くの個人情報を流出させていたことを告白。 過去、大日本印刷が販促用ダイレクトメールの作成のために委託先に預けていた(クレジットカード情報を含む)顧客情報864万件も流用していたことを認め、過去最大の情報漏洩事件として大きく報じられる。 |
2007年10月 | 東京地裁八王子支部において裁判が行われ、裁判官は検察の起訴内容を認め、横山被告に有罪判決が下される。量刑は懲役2年、執行猶予5年。 |
原因(問題点)
この事件の最大の問題点は、事件発覚までに数年もの期間が経過していることです。横山被告が情報流出をはじめたのは発覚より6年も前の2001年。その後、約5年に及んでダイレクトメールの顧客情報流出を続けていたのです。
もし仮に、大日本印刷や委託先企業が、この時点で横山被告による流出情報を把握できていれば、今回の事件である2006年ジャックスカード顧客情報の漏洩は防げたと思われます。それが出来なかった理由は、情報漏洩に対する企業意識の低さと言う他ありません。
つまり、今回の事件の根本的な原因は、同企業や委託先企業による個人情報に対する企業意識の欠如、そして内部監査の甘さにあると言えるでしょう。
事件後の対策
大日本印刷は個人情報保護のため、以下のような対策を取っていました。
- 電算処理室での生体認証による入退場管理
- 監視カメラの設置
- アクセスログの取得
- ポケットのない作業服着用によるデータ等の持ち出し防止
- 委託先との個人情報に関する契約締結
- 定期的な内部監査の実施
一覧を見る限り、大企業として相応の対策を取っていたのは間違いありません。しかし、大日本印刷は今回の事件に危機感を持ち、情報管理体制について、以下の対策強化の実施を決断しました。
- データ記憶媒体に書き出す作業員を自社もしくは子会社に限定する。
- 個人情報の取り扱いに対して、データ記憶媒体に書き出す専用の場所を設置。他の場所で書き出しが行えないように社内システムを構築。
- 再発防止策として教育プログラムを組み、全従業員に実施。
まとめ
大日本印刷で起きた業務委託先の元従業員による、クレジットカードの情報漏洩事件。その後の追跡調査で日本史上最大の情報漏洩事件として波紋を呼ぶこととなりました。
この事件の本質的な責任は、大日本印刷及び委託を受けた下請け企業の情報漏洩対策の欠如にあります。仮に、事件当事者である両社が徹底した情報漏洩対策を行っていれば、少なくともこれほど大きな被害を起こす前に、防げたことは明白です。
教育プログラムの実施が運用機能を高める
元請け企業である大日本印刷は、これまで対策の項目で述べたように、それなりの危機管理体制を実施していたのにも関わらず、事件の発生を許してしまったことを猛省すべきと考えます。全ての対策が形骸化することなく、うまく機能していれば、対策強化を実施するまでもなく防ぐことができたでしょう。
その意味で、追加対策として実施した「全従業員に対する教育プログラムの実施」は大きな意義があるでしょう。システム上、いかに万全な情報漏洩対策を敷いたとしても、運用側が十分に意識を持ち得なければ、成果が期待できないからです。
情報漏洩は、下請け企業にとって致命的
また、ベンチャー企業や下請企業にとって、今回のような情報漏洩によるダメージは計り知れません。元請け企業からの信頼を損なうだけでなく、発生した損害の一部を元請け企業が請求することも、十分に考えられるからです。特に資金力に余裕がない企業にとっては、金銭的な責任負担は致命的ともなる事案だと言えるでしょう。
万が一の事態に備える意味でも、情報漏洩に対するシステム構築や従業員のコンプランス教育の実施は、必要不可欠な事案となりつつあります。