「悪意を持った内部者」管理が不足

大日本印刷から個人情報863万件以上が流出

2007/03/12

 大日本印刷は3月12日、同社が業務委託を受けて預かっていた個人情報の一部が、同社の業務委託先の元社員によって不正に持ち出されていたことを明らかにした。持ち出された情報は43社分、計863万7405件に上るという。

 同社は2月に、ジャックスから販促用ダイレクトメール(DM)の作成のために預かった「JACCSカード」の会員情報約15万件が、業務委託先の元社員によって持ち出され、インターネット通販詐欺グループに売り渡されていた事実を明らかにしていた。この事件では、会員情報が悪用された結果、49会員、667万2989円分の実害が発生していた。

 この件を機に調査を進め、持ち出し容疑者の自宅から押収されたデータを分析したところ、さらなる情報持ち出しが明るみに出たという。

 この容疑者は、2001年5月から2006年3月までの間、主に販促用ダイレクトメールを取り扱う電算処理室内に勤務していた。この間に、データを不正に記憶媒体に書き出し、持ち出していたものと見られる。

 大日本印刷では2000年8月以降、プライバシーマークの取得のほか、電算処理室への監視カメラ、生体認証による入退室管理の導入、アクセスログの取得といった措置を講じてきた。しかし、「今回のような、悪意を持った内部者による不正な記憶媒体へのデータ書き出し行為を防止する上で、結果として管理に不十分な面があった」と同社はリリースの中で述べている。

 大日本印刷の広報担当者は、一連のセキュリティ対策は職場への物理的な出入りや外部侵入の監視には効果があったが、内部者による犯行を防止するには十分ではなかったと述べた。

 「アクセスログとしてPC上の操作記録も取得していたが、定期的にチェックすることはできても、それらを常時確認するのは難しい。また、権限を持っている人が権限通りのことを行うのは不正と見なされないため、容易に外部媒体に書き出して、持ち出すことができてしまった」(同社広報)という。

 同社では、一連の対策は抑止力としては働いたかもしれないが、権限を持ったユーザーの行為までは防止できなかったとし、今後の管理体制強化につなげていく考えだ。具体的には、USBメモリやCD-Rといった記憶媒体への書き出しを許可する対象を社員のみに限定し、人数も少数化。書き出しログのチェック頻度を高めるほか、書き出しを行う場所を物理的に分離し、ほかのユーザーはいっさい踏み込めないようにする計画という。また将来的には、一連の作業をネットワークを介して行う形とし、記憶媒体への書き出しをいっさい禁止することも検討していく。

 また、一連の情報流出によって発生した逸失利益、信頼低下分の賠償などについては、顧客企業と相談しながら進めていくという。ただ、大日本印刷が業務を委託していた企業に対しては、「われわれには情報を取り扱う会社としての管理責任があった」とし、損害賠償請求などを行う考えはない。「すべてを積極的に明らかにし、新たな信頼確立に力を注いでいきたい」(同)としている。

 主な流出情報は下記の通り。ただし、以下に記載された分については、さらなる第三者への不正持ち出しや不正利用などの事実は、今のところ確認されていないという。

企業名 件数
アメリカンホーム保険 150万4857件(うち11万1759人分については保険料支払い用クレジットカード番号が含まれていた)
イオン 58万1293件
NECビッグローブ 21万4487件
NTTファイナンス 64万225件
カルピス 19万5552件
近畿日本ツーリスト 6万5043件
KDDI 11万3696件
京葉銀行 5万6478件
ソネットエンタテインメント 5万9026件
千葉トヨタ自動車 2万2788件
ディーシーカード 33万7480件
トヨタカローラ神奈川 4万3953件
トヨタ自動車 27万3277件
ニフティ 3万3318件
日本ヒューレット・パッカード 16万3111件
弥生 16万4304件
UFJニコス 119万336件

関連リンク

(ITmedia)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)