カテゴリー: ガバナンス&コンプライアンス

村田製作所 システム開発業者経由で情報漏洩

村田製作所は8/5、会計システムの更新プロジェクトに携わっていた中国の再委託先の社員が、取引先情報など約7万件を不正に取得していたと発表しました。その取引先情報は外部クラウドサービスの個人アカウントに送信されていたということです。

村田製作所

村田製作所は積層セラミックコンデンサや、SAW(弾性表面波)のRF(無線周波数)コンポーネントなど、高付加価値製品で圧倒的な強みを持つコンデンサ世界トップの電子部品大手企業です。最終消費者が手にする商品を作っているわけではないので、知名度は高くないかもしれませんが、まぎれもなく日本の超一流企業です。

情報の不正取得(結果的に漏洩)

村田製作所では全社で進めている業務効率化の一環で、会計システムの更新を日本IBMに委託していました。その日本IBMは会計システムの更新(開発)の実務を中国法人に再委託していたようです。

その再委託先の中国法人(IBM Dalian Global Delivery Co., Ltd.)の社員が、同社取引先情報および個人情報を含むプロジェクト管理データを、業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしていたということです。

システム開発の実態として、開発を委託した企業は再委託先へ実務を委託。再委託先はさらに再々委託先へ開発業務等を分担させる。こうしたことが日常的に、かつ当たり前に行われています。そのためこの業界ではこういう事件が頻発します。

正直なところ再委託先以降の業者のコントロールって、村田には非常に困難だと思います。村田製作所が主語になっているこの事件ですが、実のところは日本IBMによる委託先管理の問題なんですね。なお、持ち出された情報が第三者によりコピー・ダウンロードされた事実はなかったということのようです。

第一カッター興業 連結子会社で役職員の不正行為

第一カッター興業は8/5、「当社連結子会社における不正資金流用疑惑につきまして」を公表しました。さらに翌日には「第三者委員会設置に関するお知らせ」を公表。この事案を受けて、2021年6月期の決算発表を延期することも決めています。

第一カッター興業

第一カッター興業は、舗装道路やコンクリート構造物の解体、撤去に必要な切断工事、穿孔(せんこう)工事などを行う。「切る」「はつる」「洗う」「剥がす」「削る」に、特化した技術を様々な現場に提供する、東証1部上場企業です。

「はつる」って一般の人には分からないですよね。アスファルトやコンクリート部分を、削ったり、切ったり、穴をあけたりする作業のことです。工事現場ではよく聞く用語です。

不正資金流用疑惑

同社連結子会社の従業員からの内部通報により、一部の役職員等が本来の使途とは異なる経費精算等を行い、不正に資金を流用していたと疑われる事象が発覚したといいます。内部通報により発見できたというのは評価できますね。

同社から開示されている情報はここまで。「従業員が」ではなく、「役職員等が」としているところが気になりますね。多くの場合、役職員とは「役員及び従業員」という意味で使われます。最近増加している役員の不正行為が含まれていそうです。

一連の開示から見て取れること。一つには内部通報が機能していたことですね。そしてもう一つは社外監査役が機能したことでしょうか。後者について開示では、「同社外監査役は、本件を認識した後、最初に、独自の調査を行い、公正な調査を求めてきた者である」としています。

監査役が一言、経営に対して「本当にそれでいいのか」と、釘を刺せるかどうか。これってめちゃくちゃ重要なんです。

トヨタ トヨタモビリティ東京が運営する「レクサス高輪」で不正車検

完全に見落としていました。トヨタ自動車の全額出資の販売子会社であるトヨタモビリティ東京が運営する「レクサス高輪」で、不正な車検が行われていたことが公表されていました。7/20に公表されていますが、TDnetでの開示はありませんでした。

不正車検の概要

不正車検があった時期は、確認できただけでも2019年6月から21年6月17日までの約2年間だそうです。レクサス高輪が扱った車両のうち約3分の1にあたる565台で、基準値を満たす値に書き換え、一部の項目を点検しなかったということです。

不正があった検査項目は他に、ヘッドライトの明るさ、フロントタイヤの角度、スピードメーターの精度。6/17に国土交通省の監査を受け、道路運送車両法に違反していたことが判明しました。4人の検査員が「検査内容を書き換えた」、「一部の検査を実施しなかった」と認めたといいます。

発生原因としては、「増加する仕事の量に対してエンジニアの人員や設備の状況が追いついておらず、慢性的に負荷の高い状況が続いていた。決められた時間内に作業を仕上げることを最優先にしてしまっていた」。としています。これも不正発生のよく見る原因ですね。

トヨタのスタイル

それにしてもトヨタって、こういうことを開示しませんよね。記者会見はしているみたいですが、TDnetとかには載せません。メディア向けの会見は、それを聞いたメディアの扱い次第でどうにでもなります。

おそらく日本一の広告宣伝費を払ってる会社ですから、メディア側が最大限の配慮をした伝え方にしてくれることを、十分わかってというか、狙いがあってやってるんでしょうね。こういうのを阿吽の呼吸というんでしょうか。ちょっと前に流行った忖度ですか。日経でも朝刊では見落としてしまうくらい小さな扱いでした。

KLab 不正アクセスによる情報漏洩

スマートフォン向けゲームを展開するKLab株式会社は7/28、同社がユーザー向けに提供している「KLab ID」2,439件に対して、パスワードリスト型攻撃と見られる不正ログイン行為が確認されたことを公表しました。今のところ適時開示はされていません。

KLab

KLabはスマートフォン向けアプリを中心にモバイルオンラインゲームの企画・開発・運営を行う東証1部上場企業です。海外展開にも注力しており、近年のヒット作には「ラブライブ!スクールアイドルフェスティバル」などがあるとのこと。あっ、この社名、「クラブ」と読みます。

52万件の不正メール送信

不正アクセスには外部から入手したと思われる約52万件もの個人データが利用されています。この「外部」というのは、おそらく他社で登録されている顧客のデータだと思われます。犯人はこのデータを「KLab ID」に新規会員登録したようです。

「KLab ID」では新規会員登録時に利用者がメールアドレスを登録する必要があり、そのメールアドレスに対して確認メールを自動で送信する仕様となっているため、約52万件に確認メールが送信されたようですね。つまり、他社の顧客宛に「KLab ID」登録ありがとうございますメール、が飛んだということみたい。

2,439件の不正ログイン

その後、同社サービスに登録済と見られるユーザーのアカウントに対して、同52万件のデータを使い、パスワードリスト攻撃を行っています。この不正ログインにより閲覧された可能性のあるデータは、顧客のメールアドレス、ひみつの質問と回答、生年月日、性別、言語などです。

「ひみつの質問と回答」が流出しているのは気になりますね。不正ログインの発生に加え、他社顧客に迷惑メールが52万件も送られているのに、事態の公表は同社ホームページだけ。この開示に対する姿勢には非常に疑問が残ります。

株式会社EduLab 特別調査委員会を設置

EduLabは8/2、「特別調査委員会設置及び2021年9月期第3四半期決算発表延期に関するお知らせ」を公表しました。特定の顧客との一部の取引において、一連の経緯や価格の妥当性を踏まえて、特別調査委員会で経済合理性の調査を行うということのようです。

株式会社EduLab

EduLabはエデュラボと読むんだそうです。能力測定技術の研究開発とその成果であるテスト法の実践を通じて、英語その他の能力検査の試験開発、実施、分析、教育サービスの提供等を行う企業です。英語学習者向けオンラインサービス、学力テストの受託などを手掛けています。EdTechってやつですね。

事案の概要

同社の会計監査人が、第3四半期レビュー手続の過程で、ある取引に関して経済合理性の調査を行う必要があると指摘したようです。これを受けて、同社と利害関係のない弁護士や会計士からなる特別調査委員会を設置し調査することになりました。

今のところ開示されているのはここまで。「一連の経緯や価格の妥当性を踏まえた経済合理性」と表現しています。が、これだけではちょっと分かりませんね。

経済合理性

いくつかの選択肢がある状況で、最も効率的に利益が出せる方法を選択することを、経済合理性といいます。ですから、このケースでは本来なら取るべき選択肢を選ばず、別の取引を行っていた、、、といった意味になるでしょうか。

最も効率的に利益が出る選択をしないということの裏には、何か特別の事情があり、その事情というのが別の「誰か」の利益を出すためであったりするわけですね。度が過ぎた場合や「誰か」というのが従業員や役員であれば、不正行為ということになります。特別調査委員会の調査結果を待ちましょう。