ジェイ・エス・ビーから営業秘密である顧客情報27万件を不正取得した元従業員が不正競争防止法違反で逮捕。個人情報の不正取得はこうして発覚する。

こんにちは。弁護士の浅見隆行です。

学生向け賃貸大手のジェイ・エス・ビーから営業秘密である顧客情報27万件を不正に取得し、第三者に不正に開示したとして、元従業員ほか1名が不正競争防止法違反で逮捕されました。

容疑者Aの逮捕容疑は2022年12月〜23年1月、福岡市内のジェイ・エス・ビー営業所で、同僚のパスワードなどを使いシステムに不正アクセスし、営業秘密である顧客情報約27万件を取得、うち約2万9千件をオンライン上に掲載しアクセス方法を容疑者Bらに教えた疑い。

容疑者Bは1月、電話勧誘業を営む知人に顧客情報約千件を伝えた疑いが持たれている。

2023/06/13日経電子版(※匿名加工しました)

今日は、顧客情報など個人情報の不正取得が発覚する経緯などについてご説明します。

※2023/10/25追記

2人逮捕されたうち、2023年7月6日、1人は起訴、1人は不起訴になりました。

ジェイ・エス・ビーの危機管理対応

顧客からのクレームがきっかけで発覚

ジェイ・エス・ビーの顧客情報の不正取得は、同社が展開するブランド名を騙ってウォーターサーバーを勧誘されたなどのクレームが複数寄せられたことがきっかけで発覚しました。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報(氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等)を漏洩した可能性があることが、2023年1月20日に判明いたしました。

2023年1月25日「当社従業員によるご契約者様等の個人情報の漏洩について」

クレームが寄せられたときに「契約者リストに基づいて勧誘等がなされていると懸念」を抱き、すぐに調査を開始したことが、早期発見(1月10日頃から苦情が寄せられ、1月20日には個人情報の漏えいの可能性が判明している)に繋がりました。

※2023/09/08追記

ジェイエスビーからは2023.3.20付けで「個人情報漏えいに関するお詫び及びご報告」が公表され、情報が更新されました。

クレーム情報の集約とその後の危機管理対応の的確さ

このようなクレームが寄せられた場合、往々にして「面倒なクレームが来た」などと処理してしまいがちです。

また、クレームが複数の営業所や支店にバラバラに入ったときには、クレームが入ったとの情報が本社や管理部門に寄せられずに、同種のクレームが相次いでいるとの異常事態に気がつかないまま、調査などの初動が遅れてしまうことはよくあります。

そういった意味では、ジェイ・エス・ビーではクレームが入っているとの情報を集約できた部分も含め、危機管理体制の機能、情報管理の意識が非常に高い印象を受けます。

1月24日には関係機関に報告、警察にも相談し、1月27日には漏えいした従業員を特定してヒアリングを実施しています。2月2日には追加のリリースも公表し、その際も公表できる事実は可能な限り公表したうえで「詳細につきましては、警察の捜査に影響するため、開示を控えさせていただきます」との注書きもしています。

なお、元従業員が逮捕されたことを6月13日に公表した際には、2月3日に懲戒解雇済みであることのほか、「警察当局の発表によれば、これまでに当社が把握しております漏洩情報を入手した第三者においては当該情報を削除しており、またその他に漏洩先は確認されていない」まで公表しています。

一連の対応をみると、事実の経過だけではなく顧客を安心させる情報も提供している点で、危機管理も広報も非常にこなれている印象を受けます。

個人情報の漏えいが発覚する主なきっかけ

個人情報の漏えいが発覚するケースは、顧客からのクレームや指摘がきっかけになるものと社内のシステム担当の部署が気付くものと大きく二つに分かれます。

顧客からのクレームがきっかけになるケース

顧客からのクレームで個人情報の漏えいが発覚するケースは珍しくありません。

2014年6月〜7月にかけて起きたベネッセコーポレーションの個人情報の漏えい

  • お客様からの問い合わせによりお客様の個人情報が社外に漏えいしている可能性を認識
  • これらの問い合わせで提供された情報を手がかりとして社内調査を開始

したことで発覚しました。

ジェイ・エス・ビーやベネッセのケースを見ると「情報が漏えいしたのではないか」との顧客からのクレームがあったときには、本社の総務部などの管理部門に情報をただちに集約することが不可欠であることがわかります。

アクセス権限の範囲の設定ミスに気がついたことがきっかけになるケース

クラウドやSaaSのサービスを利用するときには、情報を閲覧できるアクセス権限を設定します。この設定を誤り、アクセス権限を与える必要のない者が情報を閲覧できる状態になっている、社外の第三者が情報を閲覧できる状態になっていることは頻繁に起きています。

2022年10月25日には、JTBが提供しているクラウドサービスへのアクセス権限の設定をミスしたことによって、最大で1万1483件の個人情報が漏えいした可能性があることが公表されています(観光庁「株式会社 JTB が管理・運用する情報共有ツールにおけるアクセス権限の誤設定による個人情報等の漏洩について」)。

このケースでは、2022年5月に利用者から指摘を受けたことがきっかけで発覚したにもかかわらず、「対象ファイルのみのアクセス権限修正対応を行い、情報漏洩事案としての情報共有ができていなかった」として、更なる情報漏えいに繋がったことをJTBが認めています(2022年10月25日朝日新聞デジタル

なお、JTBは公表したリリースをコーポレートサイトから既に削除しています。

JTBは2016年6月14日に標的型メールへの感染による不正アクセスによって子会社から顧客の個人情報が流出した可能性がある事故を起こしたときにもリリースを即削除しているので、危機管理広報としてはどうかと思います。

ニュースや他のサイトでは情報が残っているので、リリースを削除しても意味はないと思います。むしろ、「隠したい」体質があるように見えてしまって印象が悪いです。

不正アクセスなど外部からの攻撃に気がついたことがきっかけになるケース

最近では不正アクセスによる個人情報の漏えいが相次いでいます。そのため、会社のシステム担当の部署が外部からの不正アクセスに気がついたことにより個人情報の漏えいが発覚するケースも多いです。

2023年5月19日に明らかになったエーザイのグループ各社での個人情報の漏えいは、

2023年4月28日(日本時間)に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。

「不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告」

と公表されています。

システム担当の部署を設置するのは大きな規模の会社でないと難しいかもしれませんが、逆に、マンパワーと予算がある会社ではシステム担当の部署を設置することが情報管理体制の整備という点では必要なように思います。

個人情報を記録したUSBメモリなどの媒体を紛失したことを自己申告するパターン

それ以外には、個人情報を記録したUSBメモリなどの媒体を紛失したことに気がついて自己申告するパターンも多いです。

尼崎市民の個人情報を記録したUSBメモリを、BIPROGYの再々委託先の従業員が一時紛失したケースはこのパターンです。

クラウドを利用した不正開示の新しい形

ジェイ・エス・ビーの個人情報の漏えいは、元従業員が不正に取得した顧客情報をオンラインに掲載し、アクセス権限を社外の者に知らせることで不正に開示されました。

クラウドサービス(ストレージ)などオンライン上に保存する方法で個人情報が漏えいするパターンも時々起きています。これは、クラウドから漏えいするのではなく、クラウドが第三者への受け渡しの場所として利用されるものです。

珍しいものでは、2021年8月5日に村田製作所が会計システムの更新を日本IBMに委託したところ、再委託先の中国IBMの従業員が業務用パソコンに取引先情報・個人情報合計72,460件を許可なくダウンロードし、その情報を中国国内のクラウドサービスのプライベートのアカウントにアップロードしたケースがあります(村田製作所「再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び」)。

調査の結果、持ち出された情報について第三者がアクセス、取得、ダウンロードした事実、その情報が悪用された事実などはなく、また、業務用パソコンからもクラウドサービスからも情報は削除されたとのことです。

早期に発見されなければ、ジェイ・エス・ビーのように、第三者に不正に開示される可能性がありました。

クラウドサービスが増えてくるに従って、こうした新しい方法での情報の不正開示が増えてくると思います。情報漏えいの調査をするときには、クラウドサービスに不正取得された情報がコピーして保存されていないかも確認する必要があります。

まとめ

個人情報や営業秘密の漏えいを発見できるどうかは、その前段階で「漏えいしたかもしれないと気づけるかどうか」によります。

どんなに技術が進歩しても、気づきがなかったら、調査のしようがありません。

情報管理や危機管理に対する意識、アンテナを張るようにして下さい。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。