取引先から預かった43社の個人情報860万件強を漏洩――。大日本印刷が昨年起こした事件は、委託先の管理の難しさを改めて示した。しかも犯人は同社の委託先だった。今年6月に日本情報処理開発協会が明らかにした統計でも、プライバシーマーク(Pマーク)を取得した企業で起きた情報漏洩事故の4割近くは、漏洩元が委託先企業だ。
とはいえ外部委託をやめるわけにはいかない。IT部門の管轄でも、システム開発や運用すべてを自前で行うことは不可能だ。そこでは委託先に何らかの機密情報を渡さざるを得ない。先進企業は委託先からの情報漏洩に手を打ち始めた。
(福田 崇男、小原 忍)
|
本記事は日経コンピュータ9月1日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集1」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。
なお本号のご購入はバックナンバーをご利用ください。
「大日本印刷とその取引先の信用を著しく損ねた」――。東京地方裁判所八王子支部が昨年10月31日、大日本印刷から情報を持ち出したとされる容疑者に対して下した懲役2年、執行猶予5年の判決理由である。
この事件が衝撃的だったのは、情報漏洩の件数が過去最大級だったからだ。アメリカンホーム保険の約150万、UFJニコスの約119万、NTTファイナンスの約64万、イオンの約58万など、43社の863万7405件が漏洩した。これらの情報は、各社が大日本印刷に委託したダイレクトメール(DM)発送などの業務に必要なものである。日本ネットワークセキュリティ協会(JNSA)の調べによれば860万超という数字は、2007年度中に発覚した個人情報漏洩総件数の約3割を占める(図)。2005年度に発覚した全漏洩件数と並ぶ。
43社は事件発覚後、顧客への謝罪や問い合わせ対応に追われた。容疑者は個人情報を詐欺グループに売却していたことから、信販会社の顧客が個人情報をインターネットで不正に利用され、数百万円規模の実被害が出た。43社のうち何社かは顧客に対して補償金を支払ったともいわれる。
委託先からノウハウの流出も
個人情報が含まれる情報漏洩事故は、2005年4月に施行された個人情報保護法や同法のガイドラインに基づいて企業が自ら公にすることが多い。しかしそれ以外の機密情報についても漏洩事故は起きている。
例えば松下電器産業は、製品の製造ノウハウが流出した苦い経験を持つ。それも競争が激しいプラズマテレビの製造技術に関する情報だ。
プラズマテレビの画質や歩留りを保つためには、100メートル近い製造ラインできめ細かな温度管理を行う必要がある。そこで松下電器は、熱処理や排気のノウハウを製造委託先に提供していた。その情報が競合企業に流出してしまった。詳細は明らかにされていないが、委託先企業はノウハウを記したデータを松下電器以外のメーカーの情報と一緒にサーバー上で管理していた。このデータが何らかの方法で盗まれたか、ほかのデータに紛れて他社の手に渡った可能性があるという。
日本情報処理開発協会(JIPDEC)の統計ではPマーク取得企業で起きた情報漏洩の4割近くは、漏洩元が委託先企業だった。実は大日本印刷で情報を盗んだのは、同社が業務を委託した企業の社員だった。つまり大日本印刷も委託先企業に情報を漏洩されたわけだ。これは日本だけの話ではない。米ベライゾン・ビジネスが今年6月に発表した調査でも、「漏洩事故の39%がビジネスパートナーに起因する」との結果が出ている。
業務の一部をアウトソースする動きは活発になっている。DM発送やシステム関連、製造委託だけでなく、コールセンターや人事・給与などのバックヤード業務もその対象だ。コアビジネスに集中するためにも、業務委託先からの情報漏洩を防ぐことは急務である。情報漏洩リスクをコントロールできなければ業務委託方針が揺らぎ、企業成長を阻害しかねない。社内のセキュリティ対策とは別の取り組みが必要だ。
業務を委託するのは各業務部門なので、委託先管理でIT部門が担う役割は少ないと思うかもしれない。しかし、そうではない。この10年近く人数を絞り込んできたIT部門は業務委託が最も進んだ部署の一つである。それに加えて、どの部署でも業務のIT化が委託先管理を困難にしている側面がある。
続きは日経コンピュータ9月1日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。
