相次ぐ大量情報漏洩事件
全銀ネットのトラブルのニュースが落ち着いてきたと思ったら、今度は大規模情報流出のニュースが飛び込んできました。
2023年10月17日、NTT西日本の子会社が、コールセンターシステムの運用保守を担当していた元派遣社員が、約900万件の個人情報を不正に流出させたと発表しました。
最近の情報流出といえば、ISP「ぷらら」と「ひかりTV」の顧客情報、約596万件の流出事件がありました。こちらも業務委託先の元派遣社員が業務用PCから外部ストレージに不正にデータを持ち出したことが原因とみられています。この情報流出は2023年3月20日にネットワーク監視から補足されています。
過去の大規模流出では、2013年のベネッセコーポレーションの事件も思い出されます。3500万件、4800万人分相当の顧客情報を持ち出して名簿業者に売却したという事件で、2017年3月に懲役2年6か月、罰金300万円の実刑判決が下りました。
これらの事案は個人情報保護法や不正競争防止法などの違反となりえます。
個人情報保護法では、自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性があります
また不正競争防止法では、不正な手段で取得した営業秘密を利用する行為などを禁じています。
営業の秘密が記された記録媒体を持ち出したり、コピーを作成したりした場合、10年以下の懲役または2千万円以下の罰金が科されます。
これらの企業もPマーク取得企業でしたが、以前から取得企業からの情報漏洩が相次ぎ、この制度の実効性が疑われる事態となっています。
今回の情報流出に関しての問題点は
・作業端末にデータのダウンロードが可能、かつ外部記録媒体の接続が可能であった。
・セキュリティリスクが高い行為をタイムリーに検知できなかった。
・各種ログのチェックが不十分であった。
などが指摘されています。
事件を受けて、改めて情報管理の妥当性の点検を指示されている現場も多いかと思います。
情報漏洩対策としては、セキュリティインフラの改善、従業員のセキュリティ意識向上、最新の脆弱性への対応、サイバー保険の検討、緊急対応計画の策定が含まれます。
情報システム部門の人にとっては頭の痛い問題の一つですが、今後もセキュリティの向上に向けてがんばっていきましょう。