事件の概要

  • 情報セキュリティー会社の「株式会社ラック」は、フリーマーケットで販売されていたハードディスクに社内のビジネス文書が含まれていたことを社外からの通報により確認と発表
  • 社内調査の結果、元社員が業務上のビジネス文書を個人所有のハードディスクに保管し、その後ハードディスクをフリーマーケットで売却していたことが判明
  • 原因は、元社員が業務用PCの入れ替え時に、ルールに反し業務データのバックアップを個人所有PCハードディスク上に保存したこと
  • データ消去が不完全であったことから情報流出
  • 最終的に、流出元となった元社員および通報者の手元にあった流出情報は、第三者へ渡っておらず、全て破棄されたことを確認

コメント(課題・問題点・防止策等)

  • 廃棄したハードディスクを横流し販売するのではなく、自分のハードディスクに保管するという行為を許してしまったコンプライアンス体制が問題かな
  • ルール違反は厳しい懲戒処分をすることを教育しておけばある程度は歯止めになるかも
  • ただし、ブラック体質で仕事を持ち帰らざるを得ないような場合は別問題
  • セキュリティの専門家だったら、ハードディスクを売却するという行為は非常にリスクがあることはわかるはずなのに
  • ハードディスクはフリーソフトを使えば復元できることもある
  • 私が勤務していた職場でPCを廃棄するときは、NASAのセキュリティ基準にあうツールを使い、ランダムに3回データを上書きするなどして処分していた(DESTROYというフリーソフト)
  • 通報者は購入したハードディスクをわざわざソフトを使って復元したということなのか?
  • 公表された「再発防止策」で大丈夫なんだろうか?

株式会社ラック 公表資料「当社より流出した過去の情報について」(2022年1月14日)

当社より流出した過去の情報について

2022年1月14日 | プレス

株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、2021年11月2日、フリーマーケットで販売されていたハードディスクに当社内のビジネス文書が含まれていたことを、社外からの通報により確認いたしました。その後の通報者とのやり取りの結果、12月17日にハードディスクを回収し、流出経路、流出情報の調査並びに情報の拡散が無いことの確認が完了しましたのでお知らせいたします。

なお、この件につきまして、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしますことを、深くお詫び申しあげます。

1.情報流出の経緯と概要について

2021年10月31日、フリーマーケットで購入したハードディスクに、当社のビジネス文書が入っていたという匿名の通報があり、その根拠として提供された一部のビジネス文書のスクリーンキャプチャ画像を元に調査を進めた結果、11月2日、当社からの情報流出があったものと判断しました。

その後、通報者とのやり取りの結果、12月17日にハードディスクを回収し、12月19日に流出データ内容の調査を終えました。また並行して、情報の流出元についての社内調査を行った結果、当社の元社員が業務上のビジネス文書を個人所有のハードディスクに保管し、その後ハードディスクをフリーマーケットで売却していたことが判明しました。通報者から回収したハードディスクと、元社員がフリーマーケットで販売したハードディスクの機種、シリアル番号が一致したため、情報流出経路も明らかとなりました。最終的に、流出元となった元社員および通報者の手元にあった流出情報は、第三者へ渡っておらず、全て破棄されたことを確認しました。

2.流出した情報について

今回流出したハードディスクは1台であり、そこから流出が確認できた情報は以下のとおりです。なお、確認されたファイルは、2003年~2017年の間に作成されたものでした。

復元されたビジネス文書   2,069件
うち取引先のビジネス文書  628件 対象となるお取引先へは個別に報告済です

個人情報          最大1,000件
当社社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号 左記以外の個人情報は含まれていません

3.情報流出の原因

原因は、当社の元社員が業務用PCの入れ替え時に、ルールに反し業務データのバックアップを個人所有PCハードディスク上に保存したことです。そのハードディスクを売却したところ、データ消去が不完全であったことから情報流出に至りました。そのほかプロジェクト終了時のデータ消去が万全に行われなかったことも、情報流出につながる原因となりました。2016年以降、情報セキュリティポリシーの適用を順次強化しておりましたが、その当時、許可されない業務データの複製を防止するための技術的対策が不十分であったと考えております。

4.公表の経緯について

2021年10月31日通報を受けて以降、流出情報の拡散防止および回収のためにハードディスクの譲受に向け通報者との手続きを進め、12月17日にハードディスクと流出情報の回収を終え、流出情報の詳細調査と関係する取引先との確認が完了したため、この度の公表に至りました。
経緯詳細
2021年
10月31日 メールにてハードディスクの流出の通報を受け、事実確認を開始。
11月2日 通報者より流出したビジネス文書の一部のスクリーンショット画像を入手し、初期調査を開始。
画像中にラック社内のビジネス文書を確認し情報流出を確認。
11月5日 緊急対策本部設置、通報者とのハードディスク譲渡手続きと社内の情報流出元についての調査開始。
11月8日 情報流出の影響が考えられる取引先への報告を開始。
11月30日 データ流出元となった元社員を特定し、ハードディスクをフリーマーケットで売却した事実を確認。
12月17日 通報者よりハードディスクの回収完了。売却されたハードディスクと同一であることが確認される。
12月19日 ハードディスクおよび、流出情報の調査。
復元されたビジネス文書2,069件、うち取引先のビジネス文書628件
個人情報最大1,000件
12月20日 流出情報について関係する取引先企業へ確認開始。
2022年
1月12日 関係する取引先企業との確認が完了。
1月14日 調査結果の公表。
5.今後の対応と再発防止策について

流出した機器と情報

通報者とは、ハードディスク回収と同時に、復元時に発生した流出情報のデータをすべて削除し、かつ情報を拡散しない旨の契約を、弁護士を通じて取り交わしました。また、元社員の所有する他の機器にも、流出情報が残っていないことを調査し、過去に業務で知りえた情報も退職時の誓約書に沿って一切外部へ出さないことを確認いたしました。

回収したハードディスクと記録されていた情報については、当事案に関わる対応がすべて完了した後、復旧できないようにハードディスクを記録情報含め完全に破壊する予定です。

再発防止策

このたびの事態を厳粛に受け止め、社外への情報流出を防止するために、業務データの複製の制限と監視の技術的対策の強化、および社員の異動や退職時等の機器の回収や情報廃棄など社内プロセスの強化により再発防止を図ってまいります。

https://www.lac.co.jp/news/2022/01/14_press_01.html

ニュース記事の紹介

※下記に紹介している記事や動画は時間の経過とともに削除される場合がありますのでご了承ください。また、新しいニュースがあれば追加します。

【ITmedia NEWS】業務情報、フリマで流出 退職者がHDD売却 情報セキュリティのラックが謝罪 2022年01月14日

業務情報、フリマで流出 退職者がHDD売却 情報セキュリティのラックが謝罪
2022年01月14日 19時24分 公開
[ITmedia]

 情報セキュリティ企業のラックは1月14日、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はないという。

 ラックは2021年10月31日、匿名の個人から「フリーマーケットで購入したHDDにラックのビジネス文書が入っていた」とする通報を受けた。通報者とのやりとりの中で情報流出があったと判断し、12月17日にはHDDを回収。通報者以外への情報の流出がないことを確認した。

 HDDに含まれていた情報は、03年から17年に作成されたビジネス文書が2069件、同社社員や取引先社員の会社名、部署名、氏名、連絡先などの情報が最大1000件。

 HDDを流出させた元社員はラック在職中、業務用PCの入れ替え時にルールに反して業務情報を個人PCにバックアップ。データ消去が不完全なままフリマに出品していた。

 ラックは、流出データを削除し拡散しないよう、購入者と契約を締結。当該HDDは対応が完了し次第完全破壊するという。今後は業務データの複製について制限と監視を強化する他、異動や退職時の端末の回収や情報廃棄なども強化することで再発を防止するとしている。

 同社は「お客さまはじめ多くのご関係先にご迷惑とご心配をおかけしますことを、深くおわび申し上げます」と謝罪した。

https://www.itmedia.co.jp/news/articles/2201/14/news151.html

【朝日新聞】情報セキュリティー「ラック」、取引先の情報流出 売却のHDD回収 2022年1月14日

【朝日新聞】「善意頼み」危うい構図再び 不幸中の幸いだったラックのデータ流出 2022年1月14日