今年の9/9にキャバクラ豪遊の借金の為に顧客情報を盗み出した事件の初公判がありました。三菱UFJ証券のシステムエンジニアによる内部からの情報漏洩事件でした。この事件での顧客情報の情報転売額はこのエンジニアのもくろみとは大きく外れ、わずか35万円だったのに対し、三菱UFJ証券の被害総額は70億円以上と言われています。
金額にかなり開きがありますが、なぜこれほどの高額の損害がでたのでしょうか?約3か月間緊急電話窓口などで苦情処理にあたった同社員は延べ2千人で苦情は1万6千件以上にも及んだそうです。こうした人件費に加え、同社は情報漏洩があった約5万人全員にわび状を送付し、1人当たり1万円の商品券も送りました。このほかにも、名簿を買い取った業者に対して勧誘をやめるよう交渉するなどの措置も講じ、多額の弁護士費用も払ったそうです。この他に企業イメージを取り戻す為に様々なプロモーション活動を行う必要があります。
今後は盗み出した本人に多額の賠償請求が課されていくものと思われます。
8/17にNPO 日本ネットワークセキュリティ協会(JNSA)から「2008年 情報セキュリティインシデントに関する調査報告書」が発表されました。
この報告書を見ると、意外にも情報漏洩の原因で上記のような内部犯罪は全体のわずか1.4%にしかすぎないとうデータがありました。(グラフ参照)これは今回の事件のように個人情報の盗み出しが割に合わない事が認知されつつあること、企業側の整備が進んでいる事などが要因としてあるかと思います。
注目すべき点として割合として多いのが誤操作と管理ミスによるもので、これらはあわせて約7割に及びます。FAXの誤送信や書類の誤廃棄・紛失、USBメモリなどの可搬媒体の紛失によるものがあります。対策としては、誤操作を防ぐ為FAXは必ず登録した番号で発信すること、書類の誤廃棄、紛失を防ぐには、その種の書類を扱う部屋を区切って、持ち出し等を禁じるルールづくりや、USBメモリに関しては個人情報をUSBメモリには入れない(もしくは使わない)などの対策が必要になるかと思います。これらは担当者が離職したり異動したタイミングで誤廃棄が発生することも多いので、全社的なルールづくりも必要になります。
企業としてもこの問題にきちんと向き合っていかなくてはならないですね。