軍事用語のサイト

サイトマップへのリンク
軍事用語サイトのトップページへ戻る 自己紹介へのリンク サービス内容へのリンク お問い合せへのリンク

セキュリティ関係

暗号化ソフトED

情報セキュリティ対策

情報セキュリティグッズ

大日本印刷のケース

情報流出について

大日本印刷(DNP)の情報流出に学ぶ

大日本印刷(DNP)の情報流出に学ぶ

大日本印刷(DNP)の情報流出に学ぶ

2007年2月に判明した大日本印刷の個人情報流出事件については、いろいろ考えさせる点が多くありました。

情報セキュリティの観点から簡単に振り返ってみたいと思います。

記述した内容に不正確な箇所があるかもしれません。あらかじめご了承ください。

(2007年3月作成 金森國臣)(2012年5月改訂)


事件の概要および得られる教訓など

報道資料からこの事件をざっくりまとめると:

2001年5月から大日本印刷に出入りしていた容疑者(45歳)が、同年夏ごろから数回に渡って顧客情報を光磁気ディスク(MO)にコピーして自宅に持ち帰っていた。昨年3月に退職後、再就職先が見つからず、金に困って、詐欺グループに3858人分の顧客情報を約22万円で売却した。

というものです。

大日本印刷における情報セキュリティ対策

事件より前にすでにとられていた対策は以下のようなものです。

  • 委託先との個人情報に関する契約締結
  • 個人情報保護に関するマネジメントシステムを構築し、プライバシーマークを取得
  • 電算処理室に監視カメラを設置し、不正な行為を牽制
  • 電算処理室での生体認証による入退室管理を強化し、部外者の侵入を防止
  • ポケットのない作業服着用によるデータ等の持ち出し防止
  • アクセスログの取得

次は、事件の発生を受けてとられた追加的な対策です。

  • データ記憶媒体取扱者の極少化と社員限定
  • 記憶媒体への書き出し場所の分離
  • 再発防止策の徹底、教育

情報セキュリティからみて気になる点

報道されている内容から事態を類推し、また情報セキュリティという観点でこれをみると、以下のような点が気になりました。

容疑者は、大日本印刷の子会社であるDNP情報システムからダイレクトメール(DM)発送用のプログラム開発を請け負っていたシステム開発会社「ロジックス」の元社員であったとのことです。

そして、勤務は大日本印刷の電算処理室内であった。つまり孫請け会社の社員が、社員あるいは子会社の社員と同レベルのIDを所有していた可能性があったということです。

また容疑者は個人情報を光磁気ディスク(MO)にコピーし、カバンに入れて持ち出していたとも報道されています。これは、電算処理室内で作業していた人は誰でも情報をコピーして持ち出すことができた可能性を示唆しています。

ポケットのない作業服の着用を対策のひとつとしていますが、私物であるカバンの持ち込みが許されていた、あるいは見過ごされていたとすれば、あまり意味をなしていなかったようです。

カバンの持ち込みが禁止されるのは当然としても、厳密に言えば、携帯電話の持ち込みもあってはならないはずです。ここに職場の弛緩した雰囲気が感じられます。

対策にはアクセスログの取得もあります。しかし、機能はしていなかったと思われます。チェックしていれば、もう少し早期に摘発できたはずです。ただ、常にアクセスログを手動でチェックするのは管理者の負担が大きく、ついついやらなくなってしまいがちです。不十分ではあっても、リアルタイムで自動的に解析し、アラームを通報する仕組みが必要なことを示しているようです。

まとめとして

入退室の管理には生体認証を用いるなど、対策は充分であり問題があったようには思えません。

大きな要因は、各個人に与えている保全許可レベルの設定があいまいであったことにあると考えられます。「データ記憶媒体取扱者の極少化」よりも、まずは誰がどの情報にアクセスしてよいのか、クリアランスのレベルを明確に設定するほうが効果が大きいように思われます。

そうすれば、今回のように、社員および子会社の社員および孫請け会社の社員が、同じ室内において三十数名が混然と作業を実施するという事態は自然に避けられるのではないかと思われます、

この事件からは、いままでのように単なる性善説や性悪説だけでは片づけられないことがあるように強く感じられます。ほどなく判明したデンソーにおける中国人技術者のセミプロ的な情報窃取とは異なり、稚拙と言ってもよい行為です。

なぜ事件を起こしたのか、なかなかに理解が及びませんが、いわゆる人間には誰であれ「魔が差す」ということがあると考えて、そうした視点で対策をとる必要があるのではないかと思います。

例えば、セキュリティ教育には、罰則の重さを強調しつつ「脅しあげる」ことを目的としたものがあるかもしれません。これを否定するものではなく、また一定の効果ももたらすはずですが、それよりも、理解を求めて共感の気分を醸成する環境づくりも大事なのではないかと思います。

100パーセントの完全な対策はなく、対策をとってもとってもなおこの種の事件はなくなることはないでしょう。日々の事件を参考にしながら、ねばり強く、ひとつひとつの穴をふさいで行く以外に方法はないのかもしれません。

容疑者は、コピーの目的は「データ処理の勉強のため」と供述しているようです。最初はそうであったとしても、年齢から推測すると次の就職が容易ではなく、退職を余儀なくされる状況に至った時点で考えが変わったのかもしれません。ある意味において、身につまされる話ではあります。

追記事項

デンソーの事件は年月をかけた計画的犯行のようです。ただし、やり口をみると素人的な面もあります。もし本当のプロであったら、すっかりやられてしまっていたかもしれません。バイオ関係ではイスラエルにしてやられた事案があるという噂もあります。

中国人技術者が怪しいとなって、社員がエスコートして自宅までおもむいたところまではよかったのですが、外でちょっと待つ時間があったらしく、その間にハードディスクが破壊されてしまったようです。(これからみると、エスコートした社員は警備のプロではないようです。)

米国では、解雇が決まるとすぐに警備員がエスコートにつくそうです。そこまでするのかと驚くようなことですが、情報セキュリティに関する事態はそこまで進んでいると考えた方がよいようです。

考えても見れば、いまでは個人が高性能コンピュータを所有しています。データがあれば、それで「稼ぐ」ことができる時代です。何重にもガードをかけなければならないのかもしれません。

デンソー事件の中国人社員 処分保留で釈放
2007年4月6日 夕刊(中日新聞)
大手自動車部品製造「デンソー」(愛知県刈谷市)から大量の製品図面データが持ち出された事件で、名古屋地検は六日、横領容疑で逮捕された中国籍の楊魯川・同社社員(41)を処分保留で釈放した。捜査を続けて最終的な刑事処分を決める。
楊社員はデンソー社内のデータベースから会社貸与のパソコンに約十三万件のデータをダウンロードし、無断で自宅に持ち帰ったとして逮捕された。楊社員の自宅などから複数の記憶媒体が見つかったが、いずれも破壊され、データのコピーの有無などは分かっていない。
楊社員は「データを持ち出したのは仕事や研究のため」などと供述していた。

プライバシーポリシー

Copyright(C) 2002-2019 TermWorks All Rights Reserved.