ファイル交換ソフトを介した情報流出について 株式会社日立製作所 2008年2月14日
これは、発電所の試運転に関する報告書がファイル交換ネットワークに流出してしまったという事件です。ニュースリリースより引用します。
そして、再発防止に全力で取り組むまもなく次の事件が発生しました。いや、正確にいうと日立製作所内では、2月12日の時点で両情報漏えいを把握していたようですね。ファイル交換ソフトを介した情報流出について
株式会社日立製作所(執行役社長:古川一夫)が受注した東京電力株式会社姉崎火力発電所3号機ならびに中部電力株式会社碧南火力発電所2号機の試運転に関する報告書類が、日立から作業を委託されたバブコック日立株式会社(取締役社長:伊佐均)の作業者の私有PCから、ファイル交換ネットワーク上に流出していたことが、2008年2月12日までに判明しました。
本情報の内容を確認・検証した結果、発電所の安全に影響を及ぼすような情報は含まれておりません。
日立グループでは、社員に対し、情報漏えい防止に関する教育の徹底を図る等、各種情報セキュリティ対策を講じて参りましたが、このような事態を招き、お客様をはじめ皆さまに多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。
当社では、今回の事態を重く受け止め、継続的な各種情報セキュリティ対策を講じるなど、再発防止に全力で取り組む所存です。以上
ファイル交換ソフトを介した情報流出について 株式会社日立製作所 2008年2月19日
タイトルをそろえてきました。また、本文を引用します。
一段落目に経緯と日付、二段落目に流出した情報について、三段落目にお詫び、これが日立のフォーマットなんですね。シンプルで良いと思います。気になったので、昔のニュースリリースを調べてみました。以下は2006年5月2日に出た、WinnyでPASMOシステムの情報を漏えいさせた際のニュースリリースです。ファイル交換ソフトを介した情報流出について
株式会社日立製作所(執行役社長:古川一夫)が受託したお客様の従業員に関する情報を含む業務関連情報等が、当社社員の私有のPCから、ファイル交換ネットワーク上に流出していたことが、2008年2月12日に判明しました。
流出した情報は、旧三共株式会社(現在の第一三共株式会社)の端末機器設定作業の際に使用した各種リスト、計画書、手順書等と2003年12月時点で旧三共株式会社に在籍していた役員、 嘱託を含む従業員約6,000人分の氏名および現在は使用されていない社員コード、所属コード、 部署、役職、電子メールアドレス、FAX番号を記載した社員リストです。
当社は、社員に対し、情報漏えい防止に関する教育の徹底を図る等、各種の情報セキュリティ 対策を講じて参りましたが、このような事態を招き、お客様に多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。今回の事態を重く受け止め、継続的な各種情報セキュリティ対策を講じるなど、再発防止を図り、信頼回復に全力で取り組む所存です。以上
当社社員PCからのウィニー(Winny)を介した情報流出について 株式会社日立製作所 2006年5月2日2006年5月2日
当社社員PCからのウィニー(Winny)を介した情報流出について
株式会社日立製作所(執行役社長:古川 一夫) 社員の私有PCから、ウィルス感染によりウィニー(Winny)ネットワーク上に情報が流出していたことが2006年4月25日に判明しました。流出した情報は、当社が株式会社パスモ(代表取締役社長:佐藤 守)から受託したPASMOシステムに関連する作成途中の駅サーバシミュレータ仕様書および当社社内研修用資料等です。
本情報の内容を確認・検証した結果、お客様等の個人情報や当該システムの開発・運用に影響を及ぼすような情報は含まれておりません。
当社では、機密情報漏洩防止3原則を制定し、社員等への徹底を図るなど、各種情報セキュリティ対策を講じて参りましたが、このような事態を招き、お客様をはじめ皆さまに多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。
当社では、今回の事態を重く受け止め、こうした事態が二度と起こらないように、継続的な各種情報セキュリティ対策を講じるなど、再発防止に全力で取り組む所存です。以上
2006年のも基本的に変わっていませんね。ただ、2006年5月2日と2008年2月14日が「再発防止に取り組む」だけなのに、2008年2月19日のものは「再発防止を図り、信頼回復に全力で取り組む」と取り組むものが増えています。
さて、ここまでどうでも良いことを書いてきましたが、最後にまじめな話を1つ。今回立て続けに発生した2件の情報漏えい事件は、両方ともファイル交換ソフトが入った私用パソコンを業務で利用したこと、これがそもそもの原因です。日立と言えば多くのセキュリティ製品を開発、販売している会社です。もちろん、情報漏えい対策の製品もたくさん扱っています。きっと、これらの製品を自社内でも利用しているでしょう。つまり私はここで、日立はかなりレベルの高いセキュリティ対策が行われている企業である(きっと)と言いたいのです。そして、そのような企業でさえ、私用のパソコンを業務で利用してはいけないという、セキュリティ対策の基本ができておらず、それが原因で情報漏えいが発生していることに驚きと落胆を感じています。やっぱり情報漏えい対策と言うのは、難しいですね。改めてそう思わせられた事件です。
<参考>
発電所情報の情報漏えいについて
日立、子会社社員のPCから火力発電所の情報がWinnyネットワークに流出 INTERNET Watch 2008年2月15日
業務委託先からの姉崎火力発電所に関する情報流出について 東京電力株式会社 2008年2月14日
当社火力発電設備に関する情報流出について 中部電力株式会社 2008年2月14日
旧三共データの情報漏えいについて
日立の社員パソコンから情報流出、顧客の旧三共の従業員データなど IT Pro 2008年2月19日
日立製作所、製薬会社の従業員約6,000人分の情報など流出 INTERNET Watch 2008年2月19日
業務委託先からの情報流出について(PDF) 第一三共株式会社 2008年2月19日
その他
【情報漏洩】破棄したはずのHDDが中古店に流出 このブログ
3 件のコメント:
車内ではそんなに厳重なセキュリティ対応はしていませんよ。SPCでさえ、普通のPCとファイル・ディスク共有出来るので、情報持ち出しは防げません。基本的には使用者の気持ち次第です。防げないのは長時間勤務のため、社外で仕事をする事に原因があります。
コメントありがとうございます。
そうですね、灯台下暗しと言うか、お客様先ではあれこれ言うものの、自社ではぜんぜんやってないものって結構ありますよね。
>基本的には使用者の気持ち次第です。
今は結局こうなっている企業が多いです。
>防げないのは長時間勤務のため、社外で仕事をする事に原因があります。
特にIT業界だとそうかもしれません。
またまた情報漏洩事件について書いてみたので、お時間のあるときにでも読んでいただけるとうれしいです。
日本銀行松江支店の事件から再考する情報漏洩対策
情報漏えいした張本人です。
http://ameblo.jp/masakinara
こんな感じの人が働いてる会社だからしょうがない。。。
コメントを投稿