無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2007年2月21日に大日本印刷で起きた大規模な情報漏洩事件。取引先の顧客情報約15万件分を、業務委託先企業の従業員が持ち出し、情報流出を行ったというものです。

事件はこれだけでは終わらず、その後の警察調査によると、同被告は合計43社およそ864万件もの個人情報を故意に流出させており、過去最多の情報漏洩事件として社会を驚愕させました。

今回は、この事件についてまとめます。

事件の経緯

原因（問題点）

この事件の最大の問題点は、事件発覚までに数年もの期間が経過していることです。横山被告が情報流出をはじめたのは発覚より6年も前の2001年。その後、約5年に及んでダイレクトメールの顧客情報流出を続けていたのです。

もし仮に、大日本印刷や委託先企業が、この時点で横山被告による流出情報を把握できていれば、今回の事件である2006年ジャックスカード顧客情報の漏洩は防げたと思われます。それが出来なかった理由は、情報漏洩に対する企業意識の低さと言う他ありません。

つまり、今回の事件の根本的な原因は、同企業や委託先企業による個人情報に対する企業意識の欠如、そして内部監査の甘さにあると言えるでしょう。

事件後の対策

大日本印刷は個人情報保護のため、以下のような対策を取っていました。

• 電算処理室での生体認証による入退場管理
• 監視カメラの設置
• アクセスログの取得
• ポケットのない作業服着用によるデータ等の持ち出し防止
• 委託先との個人情報に関する契約締結
• 定期的な内部監査の実施

個人情報流出に関するお詫びとお知らせ／大日本印刷より引用

一覧を見る限り、大企業として相応の対策を取っていたのは間違いありません。しかし、大日本印刷は今回の事件に危機感を持ち、情報管理体制について、以下の対策強化の実施を決断しました。

• データ記憶媒体に書き出す作業員を自社もしくは子会社に限定する。
• 個人情報の取り扱いに対して、データ記憶媒体に書き出す専用の場所を設置。他の場所で書き出しが行えないように社内システムを構築。
• 再発防止策として教育プログラムを組み、全従業員に実施。

個人情報流出に関するお詫びとお知らせ／大日本印刷より引用

まとめ

大日本印刷で起きた業務委託先の元従業員による、クレジットカードの情報漏洩事件。その後の追跡調査で日本史上最大の情報漏洩事件として波紋を呼ぶこととなりました。

この事件の本質的な責任は、大日本印刷及び委託を受けた下請け企業の情報漏洩対策の欠如にあります。仮に、事件当事者である両社が徹底した情報漏洩対策を行っていれば、少なくともこれほど大きな被害を起こす前に、防げたことは明白です。

教育プログラムの実施が運用機能を高める

元請け企業である大日本印刷は、これまで対策の項目で述べたように、それなりの危機管理体制を実施していたのにも関わらず、事件の発生を許してしまったことを猛省すべきと考えます。全ての対策が形骸化することなく、うまく機能していれば、対策強化を実施するまでもなく防ぐことができたでしょう。

その意味で、追加対策として実施した「全従業員に対する教育プログラムの実施」は大きな意義があるでしょう。システム上、いかに万全な情報漏洩対策を敷いたとしても、運用側が十分に意識を持ち得なければ、成果が期待できないからです。

情報漏洩は、下請け企業にとって致命的

また、ベンチャー企業や下請企業にとって、今回のような情報漏洩によるダメージは計り知れません。元請け企業からの信頼を損なうだけでなく、発生した損害の一部を元請け企業が請求することも、十分に考えられるからです。特に資金力に余裕がない企業にとっては、金銭的な責任負担は致命的ともなる事案だと言えるでしょう。

万が一の事態に備える意味でも、情報漏洩に対するシステム構築や従業員のコンプランス教育の実施は、必要不可欠な事案となりつつあります。