個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出し事件(転載)~クラウド利用時に考慮しないといけないリスクの一つだな。~

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出しについてまとめてみた
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び 

株式会社村田製作所(以下、当社)は、外部委託先企業(委託先:日本アイ・ビー・エム株式会社)の再委託先(中国法人IBM Dalian Global Delivery Co., Ltd.、以下「再委託先」)社員が当社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを2021年7月20日に確認しました。

委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認められておりません。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けておりますが、当社としてデータ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、本件の発表に至りました。

お客さまをはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。


1.本件の概要

当社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされました。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認されました。アップロードされたデータはすでに業務用パソコンおよび、外部クラウドストレージサービスから削除されています。

なお、本件に関してウィルス感染やサイバー攻撃などは確認されていません。


2.経緯

・ 6月28日 再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード。

・ 6月30日 再委託先の社内監視システムによりセキュリティアラートを検知。

・ 7月4日  調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。

・ 7月8日 再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除。

・ 7月20日 外部委託先企業から当社へ報告。

・ 8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。

・ 8月5日 外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施。


3.対象範囲

以下72,460件の情報が含まれていました。情報については対象国ごとに異なります。

・ 取引先情報:30,555件※1(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)

・ 当社従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)


※1 取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU

ただし、顧客情報の対象となる国は中国、フィリピンのみとなります。

※2 当社従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU


4.再発防止策と今後の対応

当社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図ってまいります。