タグ: 情報漏洩

日東電工 連結子会社で情報漏洩 日東電工は公表せず

日東電工の連結子会社の株式会社ニトムズは5/12、「個人情報等の漏えいに関するお詫び」を公表しました。非上場会社ですので、同社ホームページだけでの公表です。外部業者を装ったメールへの同社従業員によるアクセスにより、、、としていますからフィッシング被害ですね。

情報漏洩の概要

4/30、同社従業員の会社貸与のスマートフォンに外部業者を装ったSMSが届き、従業員がSMSを開封し、アカウント・パスワードを入力。その後、スマートフォンのサービス通知により、第三者による不正アクセスが行われたことが判明したといいます。

漏えいした可能性のある情報は、同社の取引先担当者の会社名、氏名、電話番号(一部メールアドレスを含む)や名刺情報だそうです。個人情報等が漏えいした可能性がある取引先担当者には、個別にお詫びと説明をしているとしています。

気になるところ

5/12には個人情報保護委員会にも報告していますし、問合せ対応等についてもそつなく実施できています。ところがここで気になるのが、親会社の日東電工の対応です。適時開示はおろか、同社ホームページでの公表もしていません。そのため、kuniも1か月近く気付きませんでした。

日東電工の有価証券報告書で見る限り、ニトムズは日東電工の100%子会社です。連結子会社に関する親会社としてのガバナンスが問われはしないのでしょうか。新型コロナ感染者発生のお知らせは、グループ会社も含めてかなり力を入れて発信されてますが、情報漏洩に関してはあまり興味がないのでしょうか。

原子力規制委員会 またまた情報漏洩

原子力規制委員会は1/15、同委員会が開催を予定している説明会の案内メールを送付する際に、誤送信が発生し、核燃料等使用者のメールアドレス111件が外部流出したことを明らかにしました。同委員会、これで情報漏洩3発目ですね。

2020年6月

6/2 放射線防護企画課の職員が、在宅勤務中の課内職員の個人用メールアドレス宛にメールを送信。その際、当該個人用メールアドレスに誤りがあり、第三者(1名)に誤送信してしまいました。この第三者あてに送信したメールは4月以降計48通で、個人情報も含まれていたとのこと。

2020年10月

10/27 同委員会が運用する内部情報システムがサイバー攻撃を受けたことを公表。その1か月後には非公開資料などが閲覧された可能性があることが分かった。この時点ではまだ外部との連絡にメールが使えていない状況でした。警視庁が不正アクセス禁止法違反容疑で捜査を開始したとされていましたが、、、その後新しい公表されていません。

2021年1月

そして今回1/15、メールの誤送信です。ここ半年間ほどの間に情報セキュリティ絡みの事件がこれだけ起きているのに、なんと今回の誤送信の原因、「BCC」形式で送信するべきところ「TO」形式で送信したというもの。超脱力系誤送信ですね。加えて「BCC」以外の入力がないことを複数名で確認するというルールも守られてなかったと。。。

ちなみに、、、もう少し遡ると、2019年7月にもメール誤送信により、新卒採用活動における個人情報(メールアドレス)250件の漏えいを起こしています。この時も全てのメールアドレスを「宛先(TO)」に入力して送信したためでした。。。ん~、この組織ダメみたい。

野村證券 顧客情報 日本インスティテューショナル証券に漏洩

元社員が投資詐欺を働き、現社員に顧客を紹介させていた事件があったばかりの野村證券。ほぼ同じような構図で今度は法人顧客275社の情報を漏洩させました。野村證券から日本インスティテューショナル証券に転職した社員が、元部下だった現野村社員に働きかけ不正に情報を入手していたということです。

両社の開示

野村のプレスリリースによると、漏洩した情報はETF等の取引内容や、同社とのやり取りに関する情報の一部など、金融機関を中心とした275社の法人のお客様の情報、、、だそうです。

日本インスティテューショナル証券のプレスリリースによると、昨年10月に同社に入社した営業部長が、前勤務先である野村證券の社員に働きかけ、今年1月から7月までの間に複数回にわたり、野村証券の顧客情報を入手した、、、としています。

また、この顧客情報については、当該営業部長が同社営業部の部下2名に開示したことが判明しているが、この3名を除く第三者に顧客情報が流出した事実はないとしています。ホント?

日本インスティテューショナル証券

この会社、日興アセットマネジメントの子会社として2018年に設立されてます。第一種金融商品取引業の登録になってますね。日本証券業協会に提出された2020年3月期の事業報告書(当期の業務概要)には以下のようなことが書かれていました。

「営業専担者3名により往訪、架電等、親会社の日興アセットマネジメント株式会社の機関投資家事業本部との連携による積極的な営業活動を展開しております。」

役員及び使用人の状況を読むと、外務員は3人となっていますから、営業専担者3名と一致します。そして今回、顧客情報を不正に入手し共有したのもこの3人。この営業部が野村の顧客情報に基づき、積極的に営業活動していたわけです。

連携していた日興アセットマネジメントには、顧客情報が共有されていたと考えるのが普通だと思いますが、、、。

住友重機械工業 今度はメール誤送信による個人情報の流出

この件、適時開示はされていません。ネットのニュースで見つけました。検査不正や従業員の使い込みなどで、不正・不祥事企業の定番になりつつある同社でしたが、今度は誤メールによる個人情報の流出です。インターンシップに応募した学生の情報443名分だそうです。

何とも考えにくいチョンボ

同社のお詫び文によると、7月15日(水)、同社の従業員が、メールアドレスの入力間違いにより1名の学生に、同社インターンシップに応募した学生443名の個人情報が記載されたファイルを添付して送信してしまいました。とのこと。

宛先は学生ですから、社外の宛先です。いまどき社外アドレスに送ろうとすると、アラート等で内容確認を促されるでしょうし、添付ファイル(エクセルファイル)まであるわけですから、ファイルの内容の再確認くらい求めてきますよね。それでもポチっとしてしまったと、、、。

発生後の対応は良好

7/15に発生し、記載はありませんがおそらく同日中に当該従業員が気付きます。送信先の学生に謝罪し、取り消しの依頼します。学生がファイルの中身を見ずに削除したことまでを確認しています。

そして7/17には同社ホームページで、「メール誤送信による個人情報の流出に関するお詫び」を掲載しています。72時間以内に必要な対応は完了させてますね。被害にあった443名の学生には、「直接、お詫びの連絡を差し上げております」としています。

流出した個人情報

氏名、性別、年齢、卒業予定年月、大学・学部・学科・専攻、研究室・指導教員名、研究テーマ、所属クラブ・サークル、インターンシップ応募部門、ご自身の長所、インターンシップを紹介した当社社員名、座談会コースへの応募状況。上記の他、当社としてのインターンシップ受け入れ可否の結果。。。これが流出情報。

一部のネット記事では、住所、電話番号も流出したかのような記載も見られますが、同社の開示では、住所、電話番号、メールアドレスについては含まれていないとしています。

公正取引委員会でもチョンボ

公正取引委員会が現在実施している、事業者に対するウェブアンケートにおいて、一部の事業者が回答した内容が他の事業者に閲覧可能な状態になっていた場合があることが判明したとのこと。先日の証券取引等監視委員会に次ぐ行政のチョンボですな。

ウェブアンケート

どういう事業者に対し、何を尋ねるアンケートだったんでしょう。そのあたりは言及していないのですが、専用の回答ページにおいて、7/20、11時45分頃から同日13時頃までの間、対象事業者がログインして回答の入力を行おうとすると、当該入力画面に他社が既に入力した内容が表示される場合があったそうです。

公取委のチョンボというよりは、ウェブアンケートのページ等を作りこんだ委託先事業者のチョンボといった方が良さそうですね。例えば、6/30付のお知らせでは「スタートアップの取引慣行に関する実態調査」の一環として、スタートアップを対象としたアンケート調査を実施、、、なんてのがあります。

この手のアンケート調査であれば、他の事業者の目に触れたとしても致命的な機密情報ではないかもしれませんが、事業者の回答に独占禁止法や下請法に抵触しかねない、通報的な情報などが含まれていたりすると厄介ですね。

意外に低姿勢

今回のこのお知らせの中では、「関係者の皆様に多大な御迷惑をおかけしましたことを深くお詫び申し上げます。」とか、「公正取引委員会は、売上高等の回答内容を他の対象事業者に閲覧された可能性のある対象事業者に対しては、個別にお詫びと説明をいたします。」

などと非常に低姿勢で謝罪しています。先日取り上げた証券取引等監視委員会の課徴金計算ミスに関するお知らせとは大違いです。「〇〇であるところ、誤って、××としたものである。」だけでお詫び等は一切なしですもんね。監視委員会のこの上から目線はどうもいただけません。