サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

富士ゼロックスシステムサービス戸籍データ流出・脅迫事件について

  • LINEで送る


2006年9月、富士ゼロックスシステムサービスの協力会社社員が、複数自治体の戸籍データを外部に流出させてしまったという事例が公表されました。

富士ゼロックスシステムサービスは複数自治体で戸籍のデータ化を請け負っており、当該社員はこのデータが入ったノートパソコンをインターネット上で販売。さらに、購入した男が事業者を恐喝して事件が明るみになったというものです。

今回は、この事件についてまとめます。

事件の概要

経緯については下記の表にある通りです。

2006年8月8日 ノートパソコンを購入した男が同社を訪問、データの確認を求めた。
同社ではデータが真正なものかどうかは確認できなかったが、真正なものであれば重大な問題であると判断し、警察に相談・届出を実施。併せて、対策本部を設置し、以下の検討と対応策を実施するとともに、社内に第三者を入れた情報セキュリティ調査委員会を設置した。

  • 戸籍管理業務フローにおけるデータ流出のリスクを再評価
  • 緊急措置の実施
  • 抜本的対策の検討
2006年8月10日 男が再度同社を訪問し、データの確認を求める。(データが真正なものかどうかは確認できなかった) その後、男が同社を訪問することはなかった。
2006年9月7日 脅迫容疑で2名が逮捕。このタイミングで同社からプレスリリースにて事件の公表が行われた。

事件の原因(問題点)

同社が情報流出によって脅迫を受けた事例には、いくつかの問題点と原因が考えられます。

  • 協力会社の社員が戸籍データを自由に触れる状態にあったこと
  • データが存在するノートパソコンを自由に持ち出せる状態にあったこと
  • 協力会社の社員を管理する体制が不十分であったこと

漏洩した情報は?

今回の脅迫事例で流出した情報は、自治体の戸籍データとなっています。ただし、件数や具体的な内容などは公表されていません。

事件後の対応は?

同社は事件発生後、速やかに以下の対応を実施しています。

  • 警察への相談と届出
  • 対策本部の設置
  • 社内で第三者を入れた情報セキュリティ調査委員会を設置

これらによって、捜査への協力と原因の究明、根本対策の検討といったことを行なっています。ただし、実際の記者発表等は1ヶ月後の2006年9月になってから実施するなど、公表が遅くなっている面もあり、すべて適切な対応を行なっているかどうかは疑問が残ります。

まとめ(筆者所感)

富士ゼロックスシステムサービスの協力会社社員による今回の情報漏洩とそれに伴う脅迫事例で、同社は概ね速やかに対応を行なったと言えます。ただし、いくつかの点でまだまだ不備があること、あるいは疑問が残る内容を含むことも事実です。

  • 発生から公表まで1ヶ月を必要としたこと
  • 情報漏洩が引き起こされた自治体への対応が不明確

今回の事例では、8月に事件が発覚し、速やかに警察へ届出、社内に調査機関等を設置するなどの対応を行なっている点は評価すべきものです。ここで、どういった内容が協議されたのかは不明確ですが、先ほども述べた以下のような内容が検討されるべきと考えます。

  • 協力会社の社員が戸籍データを自由に触れる状態にあったこと
  • データが存在するノートパソコンを自由に持ち出せる状態にあったこと
  • 協力会社の社員を管理する体制が不十分であったこと

現在のマイナンバー法の安全管理措置規程では、情報を扱う「担当者」「体制」「機器」などを明確にし、権限の無い者がアクセスできないようにすることが求められていますが、これは過去から言われてきた普遍的な内容です。したがって、今後の同様の事例であってもこういった方針に基づいて対応を実施すべきです。

加えて、事件発生後は速やかに公表し、情報を隠さないことが大切です。それに加えて、今回は自治体の戸籍データが情報漏洩の対象となりましたが、各自治体への対応が重要となります。戸籍データは住民それぞれの個人情報となりますので、同社に加えて、同社に委託した自治体についても住民への説明と謝罪が必要になります。

同社のケースでも速やかに対応が行われ、評価できる部分も多いのですが、こういった対応が遅れてしまった、あるいは不透明な部分もあり、以後の事例ではこのあたりの改善が望まれる内容になっています。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。