投稿者: kuni

株式会社LITALICO 不正アクセスによる被害発生

株式会社LITALICOは6/24、「不正アクセスによる被害発生について」を公表しました。同社及び同社子会社である株式会社LITALICOパートナーズが、2022年6月20日時点で第三者からの不正アクセスが行われたことを確認したということです。

株式会社LITALICO

LITALICOは就労を目指す障害者向けの就労支援サービスと、幼児から高校生までの発達障害などを抱えた子供への学習面などの支援を行っている企業です。首都圏を中心に全国主要都市に展開しており、法律に基づいた報酬を国から得るビジネスモデルなんだそうです。

不正アクセス

判明した不正会アクセスについて、社内調査を行った結果、Phobosの亜種と推定されるランサムウェアによる一部の社内データの暗号化と、一部の社内サーバーに対する不正アクセスの被害を受けたことが分かったといいます。

被害発生を認識後、速やかに警察への報告を行うとともに、被害の拡大防止策を講じた上で、社内チームと外部専門機関による調査・対応を行っているとのこと。現時点では、顧客の個人情報等の外部への流出は確認されていないようです。

ランサムウェアですから、感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金(Ransome)を要求するマルウェアということですね。Phobosについては通常、攻撃者が要求する身代金が、他のランサムウェアよりはるかに低い金額であるため、被害者には安価に感じられ、支払われる可能性が高まると言われています。

LITALICOによる開示情報は上記のとおりですが、はたして要求された身代金を支払うんでしょうかね。身代金額を控えめにして支払わせる、、、しかしまぁ、いろんな仕掛け方してきますね。

尼崎市 紛失していたUSBメモリーを発見

兵庫県尼崎市は6/24、全市民の個人情報を記録したUSBメモリーが見つかったと公表しました。全市民約46万人の個人情報が記録されたUSBメモリーが6/23に紛失していたという件です。まぁ、とにかく見つかって良かったわけですが、紛失に至る経緯や管理の状況、酷かったみたいですね。

紛失の経緯

尼崎市から新型コロナウイルスの給付金支給業務を受託していたBIPROGY(ビプロジー、旧日本ユニシス)関西支社。そして同社から再委託を受けていた企業の社員が6/21、市に無断で個人情報をメモリーに複製し、大阪府吹田市にあるビプロジーのコールセンターでデータの移管作業を行いました。

19時ごろ作業を終え、その後従業員4人で飲食店に立ち寄り、19時半ごろから22時半ごろにかけて飲食。データを持ち歩いていた従業員は、飲酒により泥酔し、路上で眠り込み、目を覚ました6/22未明3時ごろ、USBメモリやスマートフォン、財布など入れていたカバンがないことに気がついたといいます。

いやぁ、まったくお粗末な話ですね。で、尼崎市のデータ管理の実態がいま、様々な批判を浴びているという状況です。紛失したUSBメモリーは発見され、パスワードやデータの暗号化に解除の跡などはみられなかったということです。

しかし、この後も専門業者に依頼して情報の漏えいなどの有無については調査を続けるようです。一連の問題に対する市民の批判は根強く、経緯を調べる第三者委員会も近く設置、1カ月後をめどに検証結果をまとめるとのこと。

他の自治体でも

システムの開発や運用管理の会社に対する情報管理の徹底。これって大変なんですよね。今回も委託先企業の再委託先企業の社員がやらかしています。システムの規模によってはさらに再々委託先も存在したりします。

情報管理のためのルールを周知・徹底するにもかなりの労力が必要なんです。伝言ゲームみたいなもんです。今回は尼崎市が叩かれていますが、その他の地方自治体のレベルも、こんなもんじゃないでしょうか。

株式会社ダイイチ 第三者委員会の調査報告書を公表

ダイイチは6/24、「第三者委員会の調査報告書受領に関するお知らせ」を公表しました。社外からの指摘により、一部不適切な会計処理が行われていたことについて調査してきた結果ですね。「社外からの指摘」というのは札幌国税局による税務調査だったようです。

通常とは逆の会計不正

ダイイチは北海道帯広市や、旭川市、札幌市などにおいて、食料品主体のスーパーマーケット事業を21店舗展開している企業でした。

よくある会計不正ってのは、今期業績が芳しくなく、翌期以降の売上等を先行計上することで儲かってるように見せるというパターン。同社では真逆で、売上原価や経費の先行計上など、今期の利益を抑えて次の期の利益を大きく見せる(確保する)という会計不正なんですね。

2014年9月期にはこうした会計不正が行われており、2021年9月期まで毎年継続して行われていました。これらは経営陣(取締役レベル)が主導して行っており、その指示に基づき全社的に行ってきたもののようです。調査委員会が調査している最中に電子データを削除し、これを復元不能にするよう工作までしていたと。

不正の動機

会計不正を行ってきた動機というのも珍しいです。報告書では、「株主に対して右肩上がりの業績の推移を示すことにより、経営の自由度を高める」ためということです。つまり、株主からの経営に対する干渉を排除したいという自己保身的な動機だったということなんですね。

最近、四半期開示について議論が盛んになっていますが、ダイイチにおいても似たような弊害が出ていたということかもしれません。毎期毎期利益をあげなきゃ株主が黙ってない。そもそも企業経営なんて長期で語るべきものでしょうにね。

大東建託 不適切な会計処理 調査結果

大東建託は6/23、「調査チームの調査結果報告書の受領に関するお知らせ」を公表しました。同社の連結子会社において、不適切な会計処理が行われていた件でしたね。弁護士、公認会計士などの外部専門家を加えた調査チームによる約2カ月間にわたる調査結果です。

従業員による不正

不適切な会計処理が行われていたのは、大東建託リーシング株式会社と大東建託パートナーズ株式会社の2社ということです。処理を実行していたのは両社の経理責任者で、元公認会計士だそう。親会社である大東建託においては経理部次長という立場でした。

両子会社の経営陣や大東建託においても、この経理部次長に対して不適切な会計処理を指示していた、認識していたという事実は認められず、経理部次長の単独犯ということになっています。

不適切な会計処理が行われた動機として、子会社の予算と実績値を乖離させたくなかった、とか、実績値を予算に揃えたかったからと説明されています。全社的な増収増益を達成することに経理部として貢献する、期待に応えるという、自身の承認欲求を満たすため、だそうです。

様々な不適切な会計処理が行われていて、その金額も小さくないんですが、経理部次長が着服等を行っていたわけではありませんでした。承認欲求を満たすために・・・こんなことするんですかね。

発生原因の中から

こうした不正が発生してしまった原因として、経理部次長に全面的に頼ってしまっていたこと(属人化)が指摘されています。よくあるパターンですね。そしてもう一つ気になったのが、監査等の内部統制がもっぱら支店に向けられていて、本社部署への統制が効いていなかったことです。支店営業職等のコンプライアンスが気になる企業では、こういうこと、ありがちかも。

三菱電機 電気用品安全法不適合を公表

三菱電機は6/22、「ビル設備用コントローラーの電気用品安全法不適合について」を公表しました。今度は、三菱電機と三菱電機ビルソリューションズ株式会社が、セキュリティー・設備監視の一部に使用しているビル設備用コントローラーが、電気用品安全法不適合であったことが 5月 31日に判明したとのこと。

今度の検査不正は

セキュリティー・設備監視の一部に使用しているビル設備用コントローラー計31,695 台において、電気用品安全法で定められた「補助端子における雑音端子電圧試験」を実施していなかったということです。よく分かりませんが、雑音端子電圧試験の許容値未達の影響として、中波放送(AM ラジオ)あるいは短波放送を近傍にて受信する際に、音声にノイズが混入する可能性があるんだそうです。

まぁそれくらいのことなら、っていう気もしますが、このぐらいのことならと現場が必要な試験を端折ってしまうというカルチャーが今問題視されているわけで、やはりこれも非常に大きな問題です。あらゆる三菱製品が信頼を失っていってるということです。

今回の電気用品安全法不適合については、三菱電機は適時開示をしていません。この期に及んでまだ「このくらいのことなら」っていうカルチャーが影響しているんでしょうかね。これじゃあ、会社変わりませんよ。調査委員会は徹底的に問題をあぶりだしているかもしれませんが、同社の姿勢が問題です。

同じ日に

同じ6/22、同社は「当社神戸製作所および電力システム製作所における ISO9001 認証の一時停止に関する件」を公表しています。こちらは適時開示で。不正があって認証を取り消されるわけですから、こちらの方が当然のお話。それより新たに見つかった不正の方を重要視するべきでは?