外部委託会社や契約社員による大規模情報流出事件が相次いでいます。最近の国内外の事件を振り返るとともに、その対策を検討してみましょう。
国内大手教育事業者による約2260万人分の漏えい
大手教育事業者のグループ会社でシステム開発や運用を担う情報システム子会社の業務委託先に勤めるシステムエンジニアが約2260万件の会員の個人情報を盗み出していたことが判明しました。そのうち620万件のデータは既に外部に販売されていることが確認されています。
会員宅に覚えのない事業者からDMが届くなどの被害が相次いでおり、「他社からダイレクトメールやセールス電話が来ている。個人情報が漏えいしているのではないか」という顧客からの問い合わせが急増したことにより漏えい事故が発覚しました。
外部からの不正アクセスの形跡は確認されておらず、 委託先のシステムエンジニアは正規のアクセス権限を利用して内部から犯行におよびました。委託企業にどのような権限を付与していたかの詳細は捜査中のため公表されていません。
なお同社は顧客への補償を含めた対応費用として200億円の原資を用意しました。事件全容が解明された後、最高情報責任者(CIO)を含む役員2人が辞任する方針です。
米国大手小売り事業者による4000万人のクレジットカード情報の漏えい
米国に約1800店舗を持つ大手小売り事業者は2013年12月に約4000万人のクレジットカード情報が漏えいしたことを公表しました。この事件は米国政府機関が大規模カード情報の漏えいと不正利用を確認し、その小売り事業者に通知したことにより判明しました。
このカード情報の一部は外部に流出しており、顧客や銀行から90件以上の訴訟を起こされています。原因は委託先であった空調会社のログイン情報が盗まれ、そのログイン情報を利用して攻撃者がカード情報を盗み取るマルウェアをネットワーク内に侵入させました。
この事件の影響でクリスマスシーズンの売り上げは前年比46%ダウンしました。さらに2014年2月の四半期決算では約61億円の対応費用を計上、5月にはCEOが辞任しました。
韓国大手クレジットカード会社3社による8500万件のカード情報漏えい
1月、韓国大手クレジットカード会社3社から約8500万件のカード情報漏えいが発覚しました。漏えいした一部の情報は外部に販売されています。
信用情報企業の社員が契約社員としてカード会社3社に派遣されていた際、カード情報を含む個人情報をUSBメモリにコピーして外部に持ち出しました。
カード会社3社はこの情報漏えい事故の責任をとり最高経営責任者(CEO)を含む経営陣が辞任しました。