kuni | kuniの経済徒然日記

アダストリア　個人情報104万件流出か

アダストリアは1/24、「当社サーバーへの不正アクセス発生について（第二報）お客さまの個人情報流出の可能性に関するお知らせとお詫び」を公表しました。同社が管理運用するサーバーが第三者による不正アクセスを受け、約104万件の個人情報が流出した可能性があるとのこと。

アダストリア

アダストリアは、カジュアルファッション専門店チェーン。主力ブランドに「グローバルワーク」、「ニコアンド」、「ローリーズファーム」等があるんだそう。20～30代向け女性をターゲットとした複数ブランド店アパレルに加え、生活雑貨や化粧品、飲食店など多様な分野で事業を展開する企業です。合計1,544店舗を運営しているといいますから、かなりの規模ですね。

不正アクセスの概要

1/18に不正アクセスを確認し、19日には第一報を公表しています。その後、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、既に警察へも相談しているとのこと。

そして、24日の第2報で、「サーバー等に保存されているお客さまの個人情報流出の可能性を完全に否定できないことが判明した」と公表しました。流出した可能性があるのは、「個人情報 1,044,175件（氏名・住所・電話番号・メールアドレス・会員識別番号）」だそうです。クレジットカード情報などの決済情報は含まれていないとのこと。

しかし、電話番号やメールアドレスが流出していると、該当する人は大変なのよ。漏れた情報はどこかで売買等され、それを手に入れた悪党から、毎日のように身に覚えのない「取引等を確認してください」みたいなフィッシングメールが届くようになります。コレ、マジでシャレになりません。

世紀東急工業　株主代表訴訟　控訴棄却の判決

世紀東急工業は1/30、「株主代表訴訟の控訴審判決に関するお知らせ」を公表しました。道路舗装に使うアスファルト合材の価格カルテルを結んだとして、公正取引委員会から課徴金納付を命じられた事件でしたね。その当時の取締役4人が株主から訴えられていました。

一審の判決

昨年3月、東京地裁は原告であるストラテジックキャピタル（株主であるファンド）の請求を認め、4人に最大で計約18億3,000万円を支払うよう命じました。地裁は価格カルテルの存在や内容を認識していたと指摘していました。

4人の元取締役はこれに対し、原告の請求を認容した⼀審判決を不服として東京⾼等裁判所に控訴を提起していました。世紀東急としても、原告株主の請求および⼀審判決の内容は、いずれも誤った事実認定に基づくものであり正当な理由がないと判断していたようです。

控訴棄却の判決

しかし、ダメでしたね。判決は、「本件控訴をいずれも棄却する。控訴費⽤は控訴⼈らの負担とし、補助参加によって⽣じた費⽤は控訴⼈ら補助参加⼈（世紀東急のこと）の負担とする。」となっています。いやいや、18億ですよ。18億。

そういえば、この訴訟の原告であるストラテジックキャピタル、先日、日証金（日本証券金融）を訴えてましたよね。執行役に対する過剰な役員賞与及び業績連動報酬の支給が焦点になってましたが・・・。こちらはどうなりますかね。

「本日の一部報道について」　　という不思議な開示

コンコルディア・フィナンシャルグループは1/26、「本日の一部報道について」を公表しました。「本日、一部報道機関において、当社の子会社である株式会社横浜銀行が株式公開買付けを通して株式会社神奈川銀行を完全子会社化すると報道されましたが、これは当社の発表に基づくものではありません。」という内容です。

メディアが勝手に？

一部の報道機関で〇〇と報道されましたが、これは当社の発表に基づくものではありません。〇〇を検討していることは事実ですが、当社として現時点で決定した事実はありません。今後開示すべき事実が生じた場合には速やかに公表いたします。最近こういうの多いですよね。

「今後開示すべき事実が生じた場合」というのは、正式に自社の取締役会で決議した場合を指しているんですが、なぜ故取締役会決議事項を事前にメディアが報じることができるのか。って、不思議に思ったことありませんか。

なんとこれ、〇〇という情報が取締役や経営幹部等からメディアに洩れてることがほとんどなんですよね（もちろんスッパ抜きってのもあるけど）。経営陣が意識してメディアに漏らしているケースもあれば、会社の意に反して、取締役の一人がコッソリ伝えているなんてケースもあります。

kuniは以前、どうも決議事項がメディアに洩れてしまっているという状況が続く企業で、「いったい誰が洩らしてるんだ」って感じで魔女狩りが行われていたのを経験したことがあります。無事に見つかって、当該取締役は「一身上の都合」ということで退任されましたけどね。

投資家目線で

こんなふうに会社の事情が事前に洩れてしまう傾向のある企業は、投資家目線では気を付けておく必要があります。インサイダーとか、その気になればやり放題ですからね。要するに経営陣のガバナンスに対する感覚が緩い、鈍いということです。何が起きるか分かりませんよ。

日本へのサイバー攻撃　3年間で倍増

少し前になりますが1/22付け日本経済新聞の1面に、「サイバー攻撃、日本に矛先　攻撃数3年で倍増　対応丸投げ、脆弱性放置」という記事がありました。あれだけランサムウエア攻撃などを受けた企業のニュースが流れるなか、日本企業の対応の遅さはいまだに解消してないようです。

3年間で倍増

記事で取り上げていた「3年間で倍増」というのは、「警察庁が公表した22年1～6月に検知された不審なアクセス通信」のことを指しているようで、実際に被害につながった件数ではありません。防御ができているから被害に繋がらなかった不審なアクセスも含んでるわけですね。

とはいえ、狙われてるのは事実

記事の書きぶりがやや誤解させそうなものとなっていますが、日本企業への攻撃は今後も増加すると思われます。記事では「IT（情報技術）開発のベンダーへの丸投げが多く、サイバー防衛への当事者意識が希薄」であることをその要因として指摘しています。この点については異論はありません。

では、丸投げせず、当事者意識をしっかり持つ、、、ためには何が必要なんでしょう。これは前にも書いたことありますが、システム関係費用をコストと考えないということに尽きると思います。これ、今の世の中、コストではなく「最重要な資源」と考えるべきなんです。

コストと考えるから経営は「削減」という方向を意識（検討）しますが、経営目標を達成するための重要な資源という認識になれば、「投資」を意識することができるでしょう。そうすることで日経が指摘する当事者意識も向上し、ベンダーへの丸投げを止めて、自社でのシステム要員育成といった方向付けも可能になります。

ということで、DXしかり、サイバーセキュリティしかり。経営陣の意識（コストから資源へ）の改革が一番重要ということです。

株式会社ヤマト　第3四半期決算発表を延期

株式会社ヤマトは1/26、「2023年3月期第3四半期決算短信〔日本基準〕(連結)発表の延期に関するお知らせ」を公表しました。 25日に決算発表行うべく準備を進めてきましたが、一部の取引について精査が必要となることが判明したということです。

おさらい

何とも漠然とした延期の理由です。しかし、ここまでの同社の開示の経緯等を考えると、ただの延期とも思えない節もあります。当ブログでも取り上げましたが、昨年9月に不正が発覚しています。同社子会社のスズデンで、従業員が架空の経費を計上し、約1億3,400万円を横領していたという事案でした。

約1か月間、社内調査委員会で調査を行い、10月末には調査結果を公表。当該従業員の処分（懲戒解雇）を行い、刑事上の法的措置を進めるとしていました。再発防止策についても公表していましたね。

決算発表の延期

まぁ、こんなことがあった同社だけに、今回の決算発表の延期は気になるところなわけです。「一部の取引について精査が必要となることが判明」。まぁ、普通に考えると、いったん解決したとしていた従業員の不正に絡んで、新たな不正が見つかったとか、類似した不正や取引等が他にも見つかったとか。

ありそうですよね。あくまでkuniが勝手に妄想してるだけですが。第三者委員会でもいろいろと調査の限界があるわけですが、同社の場合は社内調査委員会でしたからねぇ。なおさら、見えていなかった部分は多かったのではないかと。