« すごいロボット | トップページ | ボンバルディア機のステアリング機構 »

2007.03.29

大塚商会から情報流出・Winny

INTERNET Watch より「大塚商会、有力見込先5,488社の情報がWinnyで流出
大塚商会は28日、5,488社分の企業情報がファイル交換ソフト「Winny」を通じて流出したことを明らかにした。
同社社員の私物PCが、Winnyを通じてウイルスに感染したことが原因だという。

流出したのは、2001年度における兵庫県の企業5,488社分の情報で、同社が有力見込先として市販の企業データなどから収集していたもの。
社名、住所、電話番号、代表者名などが含まれていた。該当する企業に対しては、個別に連絡するほか、専用窓口を設けて問い合わせに対応する。

今回の流出を受け、セキュリティや関連法規に精通した学識経験者、技術専門家で構成する諮問委員会を4月中旬までに設置し、管理体制や情報システムの総点検を実施する。
また、社員が所有する私物PCについても、専用ツールを用いて定期的にデータの監査するとしている。
今回の流出に関係した社員とその上位役職者に対しては、社内規程に基づき懲戒処分を行なうという。

大塚商会では、業務関連情報の社外持ち出しや私物PCの業務利用のほか、Winnyの利用についても禁止していた。
なお、同社はWinnyがインストールされたPCを検知するなどの情報漏洩対策サービスを提供しており、Webサイトでは「P2P型ファイル共有ソフトによる情報漏洩対策は『使わない、使わせない』が一番」などと記載していた。
大塚商会は「情報流出についてのお詫びとお知らせ」を発表していて、全体としては最善の対応のように見えます。
しかし、大塚商会に管理を任せているところも多いことを考えると企業イメージには相応のダメージがあるかもしれません。

それ以上に問題なのは「大塚商会をもってしても社員の行動までは規制しきれなかった」でしょうか?

大塚商会の発表によると
  1. データを自宅に持ち帰り
  2. 個人パソコンに読み込んだ
  3. パソコンウイルスに感染した
この事実に対して、大塚商会は
  1. データの持ち帰りを禁止していた
  2. 個人所有のPCに業務データをコピーすることを禁止していた
  3. Winny なんかインスートルしないのが一番とアドバイスしていた
というのですから、会社の方針を個人に徹底することの難しさを改めて知らせる事件といえるでしょう。

もう10年ぐらいこの種の問題については勉強しているわけですが、わたし自身も管理者・責任者としての見方しかしていなかったような気がします。
今回の大塚商会の「P2P ソフトなどインストールするな」という説明も「流出したら大変ですよ」という説明とセットになっていたはずですが、考えてみると「大変なのは責任者」であって、実行した社員の方はそんなことを考えないからやっちゃうのでしょう。

なにしろ、「データ持ち出し禁止を破って」→「個人のPCにコピーした」というのですから、もし情報窃盗罪があれば犯罪ですよ。
責任ある立場あれば、普通は業務データと P2P を同居させることはしないでしょう。
なぜこの社員はそういうことをしてしまったのか?今やこの部分に着目して対応策を考えるべきでしょう。

3月 29, 2007 at 10:08 午前 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/14445765

この記事へのトラックバック一覧です: 大塚商会から情報流出・Winny:

» ライムワイヤー ダウンロード トラックバック ライムワイヤー ダウンロード
ライムワイヤー ダウンロードに関するサイトです。あなたの求めている情報があるかもしれません。必要でない人はみないでください。 続きを読む

受信: 2007/04/02 17:47:37

コメント

コメントを書く