ジェイ・エス・ビーから営業秘密である顧客情報27万件を不正取得した元従業員が不正競争防止法違反で逮捕。個人情報の不正取得はこうして発覚する。

こんにちは。弁護士の浅見隆行です。

学生向け賃貸大手のジェイ・エス・ビーから営業秘密である顧客情報27万件を不正に取得し、第三者に不正に開示したとして、元従業員ほか1名が不正競争防止法違反で逮捕されました。

容疑者Aの逮捕容疑は2022年12月〜23年1月、福岡市内のジェイ・エス・ビー営業所で、同僚のパスワードなどを使いシステムに不正アクセスし、営業秘密である顧客情報約27万件を取得、うち約2万9千件をオンライン上に掲載しアクセス方法を容疑者Bらに教えた疑い。

容疑者Bは1月、電話勧誘業を営む知人に顧客情報約千件を伝えた疑いが持たれている。

2023/06/13日経電子版（※匿名加工しました）

今日は、顧客情報など個人情報の不正取得が発覚する経緯などについてご説明します。

※2023/10/25追記

2人逮捕されたうち、2023年7月6日、1人は起訴、1人は不起訴になりました。

京都新聞

顧客情報漏えい疑いで逮捕、会社役員の27歳男性を不起訴処分に｜社会｜地域のニュ...

https://www.kyoto-np.co.jp/articles/-/1060706

賃貸住宅の顧客情報を漏えいしたとして、不正競争防止法違反の疑いで逮捕された福岡市南区の会社役員男性（２７）について、京都地検は４日、不起訴…

ジェイ・エス・ビーの危機管理対応

顧客からのクレームがきっかけで発覚

ジェイ・エス・ビーの顧客情報の不正取得は、同社が展開するブランド名を騙ってウォーターサーバーを勧誘されたなどのクレームが複数寄せられたことがきっかけで発覚しました。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報（氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等）を漏洩した可能性があることが、2023年1月20日に判明いたしました。

2023年1月25日「当社従業員によるご契約者様等の個人情報の漏洩について」

クレームが寄せられたときに「契約者リストに基づいて勧誘等がなされていると懸念」を抱き、すぐに調査を開始したことが、早期発見（1月10日頃から苦情が寄せられ、1月20日には個人情報の漏えいの可能性が判明している）に繋がりました。

※2023/09/08追記

ジェイエスビーからは2023.3.20付けで「個人情報漏えいに関するお詫び及びご報告」が公表され、情報が更新されました。

クレーム情報の集約とその後の危機管理対応の的確さ

このようなクレームが寄せられた場合、往々にして「面倒なクレームが来た」などと処理してしまいがちです。

また、クレームが複数の営業所や支店にバラバラに入ったときには、クレームが入ったとの情報が本社や管理部門に寄せられずに、同種のクレームが相次いでいるとの異常事態に気がつかないまま、調査などの初動が遅れてしまうことはよくあります。

そういった意味では、ジェイ・エス・ビーではクレームが入っているとの情報を集約できた部分も含め、危機管理体制の機能、情報管理の意識が非常に高い印象を受けます。

1月24日には関係機関に報告、警察にも相談し、1月27日には漏えいした従業員を特定してヒアリングを実施しています。2月2日には追加のリリースも公表し、その際も公表できる事実は可能な限り公表したうえで「詳細につきましては、警察の捜査に影響するため、開示を控えさせていただきます」との注書きもしています。

なお、元従業員が逮捕されたことを6月13日に公表した際には、2月3日に懲戒解雇済みであることのほか、「警察当局の発表によれば、これまでに当社が把握しております漏洩情報を入手した第三者においては当該情報を削除しており、またその他に漏洩先は確認されていない」まで公表しています。

一連の対応をみると、事実の経過だけではなく顧客を安心させる情報も提供している点で、危機管理も広報も非常にこなれている印象を受けます。

個人情報の漏えいが発覚する主なきっかけ

個人情報の漏えいが発覚するケースは、顧客からのクレームや指摘がきっかけになるものと社内のシステム担当の部署が気付くものと大きく二つに分かれます。

顧客からのクレームがきっかけになるケース

顧客からのクレームで個人情報の漏えいが発覚するケースは珍しくありません。

2014年6月〜7月にかけて起きたベネッセコーポレーションの個人情報の漏えいも

• お客様からの問い合わせによりお客様の個人情報が社外に漏えいしている可能性を認識
• これらの問い合わせで提供された情報を手がかりとして社内調査を開始

したことで発覚しました。

ジェイ・エス・ビーやベネッセのケースを見ると「情報が漏えいしたのではないか」との顧客からのクレームがあったときには、本社の総務部などの管理部門に情報をただちに集約することが不可欠であることがわかります。

不正アクセスなど外部からの攻撃に気がついたことがきっかけになるケース

最近では不正アクセスによる個人情報の漏えいが相次いでいます。そのため、会社のシステム担当の部署が外部からの不正アクセスに気がついたことにより個人情報の漏えいが発覚するケースも多いです。

2023年5月19日に明らかになったエーザイのグループ各社での個人情報の漏えいは、

2023年4月28日（日本時間）に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。

「不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告」

と公表されています。

システム担当の部署を設置するのは大きな規模の会社でないと難しいかもしれませんが、逆に、マンパワーと予算がある会社ではシステム担当の部署を設置することが情報管理体制の整備という点では必要なように思います。

アサミ経営法律事務所

2023.06.07

ガリバー、日本コンクリート、エーザイとランサムウェアの被害が相次ぐ。他社は危...

https://www.asami-keiei.jp/blog/2023/06/07/3313

ガリバー、日本コンクリート、エーザイで起きているランサムウェアの被害を対岸の火事として眺めるだけではなく、自社の危機管理のシミュレーション材料として用いよう

個人情報を記録したUSBメモリなどの媒体を紛失したことを自己申告するパターン

それ以外には、個人情報を記録したUSBメモリなどの媒体を紛失したことに気がついて自己申告するパターンも多いです。

尼崎市民の個人情報を記録したUSBメモリを、BIPROGYの再々委託先の従業員が一時紛失したケースはこのパターンです。

アサミ経営法律事務所

2023.06.10

尼崎市が全市民46万人分の個人情報を記録したUSBメモリを紛失した委託先に2950万円...

https://www.asami-keiei.jp/blog/2023/06/10/3555

BIPROGYが無断で再委託・再々委託したことをきっかけに、尼崎市民46万人分の個人情報が記録されたUSBメモリが紛失された。これに対し、尼崎市が2950万円を損害賠償請求することは危機管理として適切です。危機管理広報も見事です。

クラウドを利用した不正開示の新しい形

ジェイ・エス・ビーの個人情報の漏えいは、元従業員が不正に取得した顧客情報をオンラインに掲載し、アクセス権限を社外の者に知らせることで不正に開示されました。

クラウドサービス（ストレージ）などオンライン上に保存する方法で個人情報が漏えいするパターンも時々起きています。これは、クラウドから漏えいするのではなく、クラウドが第三者への受け渡しの場所として利用されるものです。

珍しいものでは、2021年8月5日に村田製作所が会計システムの更新を日本IBMに委託したところ、再委託先の中国IBMの従業員が業務用パソコンに取引先情報・個人情報合計72,460件を許可なくダウンロードし、その情報を中国国内のクラウドサービスのプライベートのアカウントにアップロードしたケースがあります（村田製作所「再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び」）。

調査の結果、持ち出された情報について第三者がアクセス、取得、ダウンロードした事実、その情報が悪用された事実などはなく、また、業務用パソコンからもクラウドサービスからも情報は削除されたとのことです。

早期に発見されなければ、ジェイ・エス・ビーのように、第三者に不正に開示される可能性がありました。

クラウドサービスが増えてくるに従って、こうした新しい方法での情報の不正開示が増えてくると思います。情報漏えいの調査をするときには、クラウドサービスに不正取得された情報がコピーして保存されていないかも確認する必要があります。

まとめ

個人情報や営業秘密の漏えいを発見できるどうかは、その前段階で「漏えいしたかもしれないと気づけるかどうか」によります。

どんなに技術が進歩しても、気づきがなかったら、調査のしようがありません。

情報管理や危機管理に対する意識、アンテナを張るようにして下さい。

アサミ経営法律事務所

2023.06.01

かっぱ寿司の元社長による営業秘密持ち出しで有罪判決。持ち出された情報の「有用...

https://www.asami-keiei.jp/blog/2023/06/01/2722

かっぱ寿司の元社長が仕入先や商品原価に関するデータを持ち出したことで、不正競争防止法違反による有罪判決。営業秘密の「有用性（役に立つ）」が争われたが、東京地裁はかっぱ寿司にとって「役に立つ」から、はま寿司（ゼンショーホールディングス）にも「有用」であるとして、有用性を認めた。

アサミ経営法律事務所

2023.06.15

研究データ漏洩の疑いで、産総研の中国籍研究員が逮捕。軍事・産業スパイの実例を...

https://www.asami-keiei.jp/blog/2023/06/15/4175

軍事・産業スパイはドラマや映画の中だけの話しだと思うかもしれません。しかし、現実です。多くの企業や個人が被害に遭い、また裁判例も出ています。まずは実例を知り、そこから情報セキュリティのポイントを抑えましょう。

アサミ経営法律事務所

2023.11.03

双日の元従業員が、転職元である兼松の営業秘密を不正取得したとして不正競争防止...

https://www.asami-keiei.jp/blog/2023/11/03/9955

こんにちは。弁護士の浅見隆行です。ようやく仕事のピークが落ち着きました。2023年10月18日、双日の元従業員が、転職元である兼松の営業秘密を不正取得したとして不正競争防止法違反で起訴されました。この件は、4月に双日本社が捜索されたときにも記事を書きました。その時には、退職者による情報持ち出しと転職者による情報持ち込みをどう防ぐかといった予防策について解説しました。双日の従業員が転職元から営業秘密を不正に持ち出した疑い。情報管理の観点から、退職者の情報持ち出しと転職者による情報持ち込みの予防策を考える...

アサミ経営法律事務所

2023.12.08

名刺データベースへのログイン情報を転職先に不正提供し個人情報保護法違反で逮捕...

https://www.asami-keiei.jp/blog/2023/12/08/10352

ワールドコーポレーションの元従業員は名刺管理リステムへのログインID都パスワードを転職先に不正提供し、、四谷大塚の元講師は塾の名簿から女子児童の個人情報をSNSのグループチャットに投稿し、各々個人情報保護法違反（不正提供・盗用）による刑事事件に発展。個人情報保護委員会が注意喚起する事態に。不正競争防止法との違いは。

アサミ経営法律事務所

2024.02.06

日立とソニーが2024年から相互副業を開始。副業の相互受入れの加速にあわせて情報...

https://www.asami-keiei.jp/blog/2024/02/06/11230

厚労省がモデル就業規則を改正し、副業・兼業促進ガイドラインを公表してから副業が加速。日立ソニーは相互副業を開始。相互副業の方法と情報セキュリティ対策を見直す必要性

アサミ経営法律事務所

2024.02.29

カッパ・クリエイトが不正競争防止法違反（営業秘密侵害罪）で罰金3000万円。営業...

https://www.asami-keiei.jp/blog/2024/02/29/12036

かっぱ寿司を運営するカッパ・クリエイトが、はま寿司の親会社であるゼンショーホールディングスの営業秘密を不正に取得し、または不正取得の上使用した不正競争防止法違反（営業秘密侵害罪）の両罰規定の適用により、罰金3000万円。営業秘密侵害罪の両罰規定の適用は初めて？