NTTドコモ「ぷらら」と「ひかりTV」の業務委託先の派遣社員が、約596万件の顧客情報が不正に持ち出し。あなたの会社の情報保存管理体制は、外部ストレージを経由した流出をカバーできていますか?

こんにちは。弁護士の浅見隆行です。

NTTドコモは、2023年7月21日付で、「ぷらら」と「ひかりTV」の販売支援業務を委託しているNTTネクシアで業務に従事していた元派遣社員が、業務に使用しているパソコンから個人として契約する外部ストレージへアクセスし、3月30日に約596万件のお客さま情報を含む業務情報を不正に持ち出していたことを明らかにしました。3月31日付で個人情報流出の可能性について公表していた件の続報です。

今日はこの件を危機管理広報と情報保存管理体制の見直しの2つの観点から見ていきます。

適切な危機管理広報

まずは、危機管理広報の観点から、です。

NTTドコモは、2023年3月31日付で、3月30日に「ぷらら」と「ひかりTV」に関する業務を委託している会社の業務に使用しているパソコンからお客さま情報が流出した可能性があることをネットワーク監視によって確認したとして、第1報を公表しました。

第1報の公表内容は、「流出した可能性のある件数・お客様情報」と「確認後、流出元と想定されるパソコンをネットワークから隔離」したとのその時点で講じた対応や調査中であることなどです。

ネットワーク監視で流出した可能性があることを確認できた時点で、ここまでの情報を公表したことは、非常に迅速かつ適切な危機管理広報対応です。

今回の続報は、調査の結果を受けたものです。

第1報では委託先の社名を明らかにしていませんでしたが、社名、元派遣社員であることなど詳細までを明らかにし、かつ、第1報よりも流出した可能性がある情報件数が増えたこと、内部調査とともに警察にも相談し、捜査に協力していたことについても正直に吐露しています。

一連の対応からは、誠実に危機管理を行っていることと、情報管理に対する厳しい姿勢が伝わります。顧客からの信頼を維持するには、適切な危機管理広報のように思います。

情報保存管理体制の見直し

次に、情報保存管理体制の観点から、です。

情報流出の経路

今回のケースで特徴的なのは、情報流出の経路です。

委託先であるNTTネクシアの派遣社員(当時)は、個人で契約する外部ストレージにアクセスして情報を不正に持ち出しました。

これは、はま寿司からの転職時に営業秘密を持ち出して不正競争防止法違反で有罪判決を受けたかっぱ寿司の社長(当時)のケースや、ソフトバンクからの転職時に営業秘密を持ち出して不正競争防止法で有罪判決を受けた楽天モバイルの社員(当時)と類似します。

いずれの情報流出の経路についても、以前書いた以下の投稿でも触れていますが、もう一度、確認しましょう。

かっぱ寿司の社長(当時)は、

  • 2020年9月30日、自宅近くの湘南のカフェで、商品原価や、仕入れ価格の情報を『ギガファイル便』にアップロードし、USBメモリに保管

することで、情報を持ち出しました(文春オンライン)。

楽天モバイルの社員(当時)は、

  • 楽天モバイルへの転職試験に合格した2019年11月ごろから退職日までの間、会社のメールアドレスから個人のメールアドレスに送ったりクラウドストレージにアップロード

することで、ソフトバンクのネットワーク情報が含まれた多数の電子ファイルなどを持ち出しました(日経クロステック)。

また、2021年8月5日には、村田製作所から会計システムの更新を委託された日本IBMが、中国IBMに再委託したところ、従業員が業務用パソコンに取引先情報・個人情報合計72,460件を許可なくダウンロードし、その情報を中国国内のクラウドサービスのプライベートのアカウントにアップロードしたケースも発生しています。

このように、外部ストレージ、クラウドストレージを経由して、顧客情報や営業秘密を持ち出すケースが相次いでいます。

そうなると、会社は情報保存管理体制の見直しとして、外部ストレージやクラウドストレージの利用についても方針を決める必要があります。

情報保存管理体制の見直し

2013〜2014年に完全子会社ベネッセコーポレーションのデータベースから個人情報約約2,895万件が持ち出されていた事件では、委託先の社員がスマートフォンをPCに接続して情報を保存記録して持ち出しました。

ベネッセの事件が発生した後には、社内ではPCのコネクタ/端子を塞ぎUSBメモリを接続できないようにするなどの方法で、情報の漏えいを予防する会社が増えました。

しかし、ベネッセの事件から10年近くが経過した現在、上記のように外部ストレージ、クラウドストレージなどオンライン経由で情報を漏えいするケースが増えています。

日本システム技術事件やリソー教育事件でも指摘されているように、取締役・取締役会の内部統制が整備・機能していたと言えるためには、「通常想定される不正行為は防止できる程度の体制」を整備しておくことが必要です。

「通常想定される不正行為」の内容は、時間の経過とともに当然変わってきます。

ベネッセ事件が発生した2013年当時と違い、外部ストレージ、クラウドストレージを利用した情報漏洩が相次いでいる現在では、外部ストレージ、クラウドストレージを利用した情報漏洩は「通常想定される不正行為」です。

そうだとすれば、取締役・取締役会は、外部ストレージ、クラウドストレージを利用した情報漏洩を予防できるように体制を見直し、アップデートする義務があるということになります。

外部ストレージ、クラウドストレージを利用した情報漏洩が想定される現時点において、何らの体制を整備しておらず、その間隙を突かれて、外部ストレージ、クラウドストレージを利用した情報漏洩が実際に発生してしまった場合には、それによって会社に生じた損害は、内部統制整備義務違反として取締役・取締役会が賠償すべき責任を負うということです。

外部ストレージ、クラウドストレージを利用した情報漏洩を予防するためには

外部ストレージ、クラウドストレージを利用した情報漏洩を予防する方策としては

  1. 会社のネットワークから外部ストレージ、クラウドストレージにはアクセスできないようにする(一律禁止にする)
  2. 会社のネットワークから外部ストレージ、クラウドストレージにはアクセスできるが、会社が承認したもの、業務用のアカウント以外は利用を制限する(一部制限)
  3. 会社が承認した外部ストレージ、クラウドストレージにプライベートでアカウントを持つ場合に、プライベートのアカウントを業務に利用することは禁止(公私の別)
  4. 会社のネットワークから社外に送信できるデータ容量を制限する(大規模流出の予防)
  5. 1〜4については、大量なデータの送信など不正な送受信が行われていないかネットワークを監視する(抑制手段)
  6. テレワークなど自宅のPC等で作業する場合にも、プライベートで契約している外部ストレージ、クラウドストレージを利用することは禁止(情報分散の禁止)

などが考えられます。

5はシステム部門などが存在する大きな会社でないと難しいかもしれませんが、それ以外はルールを作って社内に周知・浸透しておくだけでも抑止するための意味はあります。

また、現実には、iPhoneをはじめApple製品の私物を業務でも使っている場合、iCloudに情報が保存される可能性があります。これもプライベートで契約している外部ストレージ、クラウドストレージに情報を保存していることに含まれます。

また、iPhoneなどApple製品のほか、AndroidスマートフォンやWindowsなどMicrosoftの製品を使っている場合に、DropboxやBoxなどのアプリを入れていたり、GoogleCloudやoffice365にプライベートのアカウントを設定ているときにも同様のことが起きえます。

意図せず、プライベートで契約している外部ストレージやクラウドストレージのアカウントに会社の業務に関する情報を保存していることがありえます。

会社は情報保存管理体制の見直しとして、できることから手をつけて下さい。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。