富士ゼロックスシステムサービス戸籍データ流出・脅迫事件について

2006年9月、富士ゼロックスシステムサービスの協力会社社員が、複数自治体の戸籍データを外部に流出させてしまったという事例が公表されました。

富士ゼロックスシステムサービスは複数自治体で戸籍のデータ化を請け負っており、当該社員はこのデータが入ったノートパソコンをインターネット上で販売。さらに、購入した男が事業者を恐喝して事件が明るみになったというものです。

今回は、この事件についてまとめます。

事件の概要

経緯については下記の表にある通りです。

2006年8月8日

ノートパソコンを購入した男が同社を訪問、データの確認を求めた。
同社ではデータが真正なものかどうかは確認できなかったが、真正なものであれば重大な問題であると判断し、警察に相談・届出を実施。併せて、対策本部を設置し、以下の検討と対応策を実施するとともに、社内に第三者を入れた情報セキュリティ調査委員会を設置した。

戸籍管理業務フローにおけるデータ流出のリスクを再評価
緊急措置の実施
抜本的対策の検討

2006年8月10日

男が再度同社を訪問し、データの確認を求める。(データが真正なものかどうかは確認できなかった) その後、男が同社を訪問することはなかった。

2006年9月7日

脅迫容疑で2名が逮捕。このタイミングで同社からプレスリリースにて事件の公表が行われた。

事件の原因（問題点）

同社が情報流出によって脅迫を受けた事例には、いくつかの問題点と原因が考えられます。

協力会社の社員が戸籍データを自由に触れる状態にあったこと
データが存在するノートパソコンを自由に持ち出せる状態にあったこと
協力会社の社員を管理する体制が不十分であったこと

漏洩した情報は？

今回の脅迫事例で流出した情報は、自治体の戸籍データとなっています。ただし、件数や具体的な内容などは公表されていません。

事件後の対応は？

同社は事件発生後、速やかに以下の対応を実施しています。

警察への相談と届出
対策本部の設置
社内で第三者を入れた情報セキュリティ調査委員会を設置

これらによって、捜査への協力と原因の究明、根本対策の検討といったことを行なっています。ただし、実際の記者発表等は1ヶ月後の2006年9月になってから実施するなど、公表が遅くなっている面もあり、すべて適切な対応を行なっているかどうかは疑問が残ります。

まとめ（筆者所感）

富士ゼロックスシステムサービスの協力会社社員による今回の情報漏洩とそれに伴う脅迫事例で、同社は概ね速やかに対応を行なったと言えます。ただし、いくつかの点でまだまだ不備があること、あるいは疑問が残る内容を含むことも事実です。

発生から公表まで1ヶ月を必要としたこと
情報漏洩が引き起こされた自治体への対応が不明確

今回の事例では、8月に事件が発覚し、速やかに警察へ届出、社内に調査機関等を設置するなどの対応を行なっている点は評価すべきものです。ここで、どういった内容が協議されたのかは不明確ですが、先ほども述べた以下のような内容が検討されるべきと考えます。

協力会社の社員が戸籍データを自由に触れる状態にあったこと
データが存在するノートパソコンを自由に持ち出せる状態にあったこと
協力会社の社員を管理する体制が不十分であったこと

現在のマイナンバー法の安全管理措置規程では、情報を扱う「担当者」「体制」「機器」などを明確にし、権限の無い者がアクセスできないようにすることが求められていますが、これは過去から言われてきた普遍的な内容です。したがって、今後の同様の事例であってもこういった方針に基づいて対応を実施すべきです。

加えて、事件発生後は速やかに公表し、情報を隠さないことが大切です。それに加えて、今回は自治体の戸籍データが情報漏洩の対象となりましたが、各自治体への対応が重要となります。戸籍データは住民それぞれの個人情報となりますので、同社に加えて、同社に委託した自治体についても住民への説明と謝罪が必要になります。

同社のケースでも速やかに対応が行われ、評価できる部分も多いのですが、こういった対応が遅れてしまった、あるいは不透明な部分もあり、以後の事例ではこのあたりの改善が望まれる内容になっています。

富士ゼロックスシステムサービス戸籍データ流出・脅迫事件について｜サイバーセキュリティ.com

富士ゼロックスシステムサービス戸籍データ流出・脅迫事件について

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！