カテゴリー: ガバナンス&コンプライアンス

みらいワークス(6563) 不正アクセスによる情報流出(その2)

みらいワークスは5/6、「不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ」を公表しました。4月の第一報時点で、当ブログでも取り上げました。その後、外部の情報セキュリティ専門機関による原因調査および再発防止策の検討を行っていました。

調査結果

みらいワークスは、顧客企業と業務委託もしくは人材派遣の契約を締結し、その業務を、登録しているプロフェッショナル人材へ再委託、あるいは有期雇用して顧客企業へ人材派遣を行っています。かなりハイスペック層の個人に特化したプロフェッショナル人材サービスです。

調査の結果、流出の可能性が疑われる情報は個人会員の2,456名分。履歴書、職務経歴書などについては、1,053名分。個人会員が登録プロフィールとして設定した画像が1,965名分という結果。第一報時点から被害の拡大はありませんでしたね。

発生原因

不正アクセスの発生原因は、「流出の疑いのある情報が格納されていた領域のセキュリティ設定および権限設定に不備があったため、悪意ある第三者が不正アクセスできる状況」となっていたとしています。

キャッシュレス決済のペイペイや楽天をはじめとした、多くの企業や自治体が公開範囲の設定をミスしていたという、セールスフォース・ドットコム。ここを使ってたんでしょうか。設定のどこに問題があるかを把握するだけでも、600ページ以上の説明書を読む必要があるんだとか。

今回の不正アクセスの事象を受け、該当するWebサイトの運営を停止していましたが、適切な対応を取ったうえで、5月6日16:00にサービスを再開したようです。第一報からサービス再開まで、同社の顧客対応や開示の姿勢は非常に良い感じだったと思います。💮💮💮

OKM(6229) 従業員の不正行為 調査委員会を設置

OKMは4/30、「調査委員会設置に関するお知らせ」を公表しました。中国の連結子会社で一部営業部員が関与している不明朗な取引があることが判明したといいます。この取引に関し、事実関係解明のため調査委員会を設置したということです。

OKM

OKMは滋賀県野洲市に本社を置く、バタフライバルブを中心とした流体制御機器の製造・販売を手掛ける企業です。創業1902年と、かなり歴史のある企業ですが、東証2部への上場は昨年12月です。上場早々の試練ということになりましたね。

不明朗な取引

舞台となったのは連結子会社である蘇州奥村閥門有限公司。例によって中国の子会社ですね。発覚の端緒となったのは外部からの通報です。「同社の営業部門に所属する中国籍営業部員1名が関与する不明朗な取引があることが発覚」しました。

同営業部員が、実態のないコンサルティング契約に伴う費用の支払い等をしていた可能性があることが判明しているとのこと。難しい表現ですねぇ。実体のない契約に伴う費用を同社に支払わせていたということでしょうか。しかし、これって一営業員だけでできることなんだろうか。

費用の支払いに係る決裁権限を持つ者の関与等も、当然疑われるところです。以前、中国の子会社で、現地従業員が自分の親族が経営する会社に会社の金を不正に支出させていた、ってのがありましたね。今回もそんな類でしょうか。

業績への影響は現時点で、2,500万円程度と見込んでいて、本件によるOKM連結業績への影響は軽微と考えているそうです。また、2021年3月期の決算発表を5/14に予定しているようですが、これも延期せざるを得ないでしょうね。近く延期のお知らせが出るでしょう。

新型コロナ 訴訟リスク

米国では新型コロナウイルスに対する企業の対応姿勢に関して、訴訟が起き始めてるようです。ウォルマートの店舗に勤務していた従業員が、新型コロナウイルスに感染して死亡。これに関して同社が適切な対応を取っていなかったとして遺族が、提訴したということです。

必要なリスク管理

ウォルマートに限らず、アマゾンや、ニューヨーク州と州内の2病院などが既に提訴されているようです(アマゾンは提訴には至ってない?)。新型コロナ感染症のような症状が確認されているにもかかわらず、隔離するとかそのことを従業員に知らせるなどの適切な対応がとられていなかったこと。これを故意の不正行為であり、過失に当たるとしているようです。

訴訟社会の米国だから?いやいや、これって日本でも同じことが起こりうると思います。皆さんの勤める会社では、それなりの対応がとられてるでしょうか。もちろん、亡くなった従業員がどこで感染したかなんてそう簡単に証明できるものではありません。

が、しかし、国が要請するガイドライン等に従った対応を会社が取っていなかったら、当然コロナ犠牲者の遺族は黙っていないでしょう。日本ではまだ、高齢者を除くと死亡に至る事例が少なく、企業としてのリスク認識は進んでいません。しかし、企業にとっての訴訟リスクは確実に拡大していると考えるべきですね。

就業に関するリスク

昨年辺りは企業の抱える対従業員リスクとしては、パワハラ、セクハラが代表格でした。もちろんこれらも続くでしょうが、新型コロナに関するリスクは新たな脅威としてしっかり認識しておく必要がありそうです。

訴訟リスクだけではありません。自社がこの脅威に対してどれだけ本気で取り組んでいるか。その甘さは従業員の退職の理由にもつながる時代だと肝に銘じるべきですね。企業のリスクは時代とともに変化します。そういう変化するリスクへの感度って、重要ですよ。

JSP(7942) 欧州子会社における資金流出事案 ビジネスメール詐欺

株式会社JSPは4/30、「当社欧州グループ会社における資金流出事案に関する調査結果及び再発防止策の策定並びに役員報酬の一部自主返上に関するお知らせ」を公表しました。この資金流出事案に関する第一報は、昨年11月に公表されています。

株式会社JSP

株式会社JSPは、東京都千代田区に本社を置く、発泡プラスチックの製造・販売を行う、日本の化学メーカー。三菱瓦斯化学が同社の発行済み株式51%を保有する連結子会社です。海外にも多数展開していますが、今回被害に遭ったのはチェコの現法ですね。

BEC

開示された情報によると、どうやらBECのようです。BEC(Business E-mail Compromise)は、業務用メールを盗み見して、経営幹部や取引先になりすまし、従業員をだまして偽口座に送金させ、資金を詐取するというサイバー攻撃の一種です。先月には、加賀電子の米国子会社において、同様の事案が発生していました。

資金流出事案

欧州グループ会社であるチェコの財務マネジャーが、悪意ある第三者から買収案件に係る資金を内密に送金するよう虚偽の指示を受け、10月20日から11月4日の間、複数回に渡り送金を実行し、合計 約10億円に上る資金を流出させた、と説明されています。「買収案件に係る資金を内密に」とありますので、犯人がなりすましたのは同社の経営幹部でしょうね。

ちょっと気になること

開示によると、「欧州グループ会社における本事案関係者の処分につきましては、解雇、降格または報酬減額といたしました」とあります。解雇されたのは財務マネジャーでしょうか。同社グループ会社役職員の資金詐取行為への関与はないとしています。騙された従業員を解雇というのは、いかがなもんでしょう。

ユニデンホールディングス 第三者委員会を設置

ユニデンホールディングス株式会社は4/30、「第三者委員会設置のお知らせ」を公表しました。昨年6月に公表した不正会計に関する「日本語版調査報告書」について、英語版調査報告書を日本語に翻訳する際、改変が行われた疑いがあることを把握したためとしています。

調査結果と改善提案

というのが昨年6月に公表した調査報告書のタイトル。その内容は明らかに英語版を翻訳しました、って感じの日本語で、読んでて気持ち悪くなってくるような報告書でした。よくこんなの公表したもんだ、、、と、当時思ったものです。

その英語版調査報告書を翻訳する際に、「調査対象事項に関する責任の所在・背景を不明瞭にする改変が行われた疑いがあることを把握した」ということです。英語版は昨年4/30に受領し(未公表)、同6/3に日本語版を公表していました。この間に改変が行われたということですね。

調査の対象となった不正

そもそもの事件は、少なくとも2017年以降、UAC(ユニデンアメリカ)、およびUAUS(ユニデンオーストラリア)で、収益を水増しするための不正会計が行われていたというもの。これを海外の会計事務所に調査依頼して出てきたのが英語版調査報告書です。

責任の所在・背景

ところが、実は和訳する段階で責任の所在をうやむやにするような工作が行われていたというわけですね。当然考えられるのが取締役等、経営陣の関与についてでしょう。

そこで気になるのが、改変が行われて3ヶ月後の9/25、創業者の代表取締役会長が退任していること。不正会計の発覚などで遅れていた2020年3月期連結決算の確定作業にめどが立ったと判断し、本人の意思で退任しています。

まぁ、この方が直接関与したかどうかはともかく、第三者に依頼した調査結果を社内で書き換えていたんではねぇ。今度こそは、まともな調査結果を期待したいものです。