大日本印刷における情報セキュリティ対策

事件より前にすでにとられていた対策は以下のようなものです。

• 委託先との個人情報に関する契約締結
• 個人情報保護に関するマネジメントシステムを構築し、プライバシーマークを取得
• 電算処理室に監視カメラを設置し、不正な行為を牽制
• 電算処理室での生体認証による入退室管理を強化し、部外者の侵入を防止
• ポケットのない作業服着用によるデータ等の持ち出し防止
• アクセスログの取得

次は、事件の発生を受けてとられた追加的な対策です。

• データ記憶媒体取扱者の極少化と社員限定
• 記憶媒体への書き出し場所の分離
• 再発防止策の徹底、教育

情報セキュリティからみて気になる点

報道されている内容から事態を類推し、また情報セキュリティという観点でこれをみると、以下のような点が気になりました。

容疑者は、大日本印刷の子会社であるDNP情報システムからダイレクトメール（DM）発送用のプログラム開発を請け負っていたシステム開発会社「ロジックス」の元社員であったとのことです。

そして、勤務は大日本印刷の電算処理室内であった。つまり孫請け会社の社員が、社員あるいは子会社の社員と同レベルのIDを所有していた可能性があったということです。

また容疑者は個人情報を光磁気ディスク（MO）にコピーし、カバンに入れて持ち出していたとも報道されています。これは、電算処理室内で作業していた人は誰でも情報をコピーして持ち出すことができた可能性を示唆しています。

ポケットのない作業服の着用を対策のひとつとしていますが、私物であるカバンの持ち込みが許されていた、あるいは見過ごされていたとすれば、あまり意味をなしていなかったようです。

カバンの持ち込みが禁止されるのは当然としても、厳密に言えば、携帯電話の持ち込みもあってはならないはずです。ここに職場の弛緩した雰囲気が感じられます。

対策にはアクセスログの取得もあります。しかし、機能はしていなかったと思われます。チェックしていれば、もう少し早期に摘発できたはずです。ただ、常にアクセスログを手動でチェックするのは管理者の負担が大きく、ついついやらなくなってしまいがちです。不十分ではあっても、リアルタイムで自動的に解析し、アラームを通報する仕組みが必要なことを示しているようです。

まとめとして

入退室の管理には生体認証を用いるなど、対策は充分であり問題があったようには思えません。

大きな要因は、各個人に与えている保全許可レベルの設定があいまいであったことにあると考えられます。「データ記憶媒体取扱者の極少化」よりも、まずは誰がどの情報にアクセスしてよいのか、クリアランスのレベルを明確に設定するほうが効果が大きいように思われます。

そうすれば、今回のように、社員および子会社の社員および孫請け会社の社員が、同じ室内において三十数名が混然と作業を実施するという事態は自然に避けられるのではないかと思われます、

この事件からは、いままでのように単なる性善説や性悪説だけでは片づけられないことがあるように強く感じられます。ほどなく判明したデンソーにおける中国人技術者のセミプロ的な情報窃取とは異なり、稚拙と言ってもよい行為です。

なぜ事件を起こしたのか、なかなかに理解が及びませんが、いわゆる人間には誰であれ「魔が差す」ということがあると考えて、そうした視点で対策をとる必要があるのではないかと思います。

例えば、セキュリティ教育には、罰則の重さを強調しつつ「脅しあげる」ことを目的としたものがあるかもしれません。これを否定するものではなく、また一定の効果ももたらすはずですが、それよりも、理解を求めて共感の気分を醸成する環境づくりも大事なのではないかと思います。

１００パーセントの完全な対策はなく、対策をとってもとってもなおこの種の事件はなくなることはないでしょう。日々の事件を参考にしながら、ねばり強く、ひとつひとつの穴をふさいで行く以外に方法はないのかもしれません。

容疑者は、コピーの目的は「データ処理の勉強のため」と供述しているようです。最初はそうであったとしても、年齢から推測すると次の就職が容易ではなく、退職を余儀なくされる状況に至った時点で考えが変わったのかもしれません。ある意味において、身につまされる話ではあります。

追記事項

デンソーの事件は年月をかけた計画的犯行のようです。ただし、やり口をみると素人的な面もあります。もし本当のプロであったら、すっかりやられてしまっていたかもしれません。バイオ関係ではイスラエルにしてやられた事案があるという噂もあります。

中国人技術者が怪しいとなって、社員がエスコートして自宅までおもむいたところまではよかったのですが、外でちょっと待つ時間があったらしく、その間にハードディスクが破壊されてしまったようです。（これからみると、エスコートした社員は警備のプロではないようです。）

米国では、解雇が決まるとすぐに警備員がエスコートにつくそうです。そこまでするのかと驚くようなことですが、情報セキュリティに関する事態はそこまで進んでいると考えた方がよいようです。

考えても見れば、いまでは個人が高性能コンピュータを所有しています。データがあれば、それで「稼ぐ」ことができる時代です。何重にもガードをかけなければならないのかもしれません。

デンソー事件の中国人社員　処分保留で釈放

2007年4月6日 夕刊（中日新聞）

大手自動車部品製造「デンソー」（愛知県刈谷市）から大量の製品図面データが持ち出された事件で、名古屋地検は六日、横領容疑で逮捕された中国籍の楊魯川・同社社員（41）を処分保留で釈放した。捜査を続けて最終的な刑事処分を決める。

楊社員はデンソー社内のデータベースから会社貸与のパソコンに約十三万件のデータをダウンロードし、無断で自宅に持ち帰ったとして逮捕された。楊社員の自宅などから複数の記憶媒体が見つかったが、いずれも破壊され、データのコピーの有無などは分かっていない。

楊社員は「データを持ち出したのは仕事や研究のため」などと供述していた。