村田製作所は8月5日、会計システムの更新を委託している日本IBMの再委託である「IBM Dalian Global Delivery」(以下、IBM大連)の社員が7万2000件を超える同社取引先・従業員関連情報を業務用PCへ不正にダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしていた、と発表した。
不正にダウンロードされた情報の内訳は、取引先情報3万555件と従業員関連情報4万1905件の計7万2460件。取引先情報には会社名・住所・氏名・電話番号・メールアドレス・銀行口座、従業員関連情報には従業員番号・所属会社名・氏名・メールアドレス・銀行口座が含まれている。
今回不正が発見されたのは、IBM大連の社内監視システムによる検知が発端で、IBM大連の社内調査により不正なダウンロードを確認したという。以下が経緯である。
・6月28日 村田製作所の会計システム更新のための取引先情報および個人情報を含むプロジェクト管理データを、IBM大連の社員が業務用PCに不正にダウンロード
・6月30日 社内監視システムによりセキュリティアラートを検知
・7月4日 調査の結果、IBM大連の社員によるプロジェクト管理データのダウンロードを確認
・7月8日 当該社員への聞き取りを実施。上記データのダウンロード後に外部クラウドサービスの個人アカウントへアップロードしたことも確認
・7月8日 IBM大連の監視のもと、アップロードされたデータを削除
・7月20日 日本IBMから村田製作所へ報告
・8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認
・8月5日 日本IBMから提供・開示された解析データなどを村田製作所が分析・検証し、影響範囲の特定やリスクを確認
・8月5日 村田製作所がプレスリリースを発表
上記にあるように、不正にダウンロードされた情報がIBM大連の当該社員以外の者によってアクセス・取得されたり悪用された事実は認められていない。しかしながら、「データ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み」、村田製作所として今回の発表に踏み切ったという。
企業セキュリティに詳しい弁護士は、「委託先が国内企業であっても、再委託先が国内か国外かはチェックが必要」と警鐘を鳴らしている。
[i Magazine・IS magazine]