NTTデータは9月13日、ウイルスに感染した社員の自宅パソコンからWinnyを通じて社外関係者の自宅情報などが流出したと発表した。同社と理化学研究所などが進めていた医療分野での研究プロジェクトに携わる研究者など172人分の個人情報と、技術資料431件が漏れていた。
172人の個人情報には、勤務先やメール・アドレスなどが含まれていた。社外の14人とNTTデータの社員26人については、自宅住所、電話番号といった情報まで流出した。ただし、銀行口座番号やクレジットカード番号などの信用情報は含まれていない。
技術資料では、調査資料や医療分野の共同研究データ、システム設計・運用資料が流出した。研究データの中には、特定の疾患を持つ患者144人分の遺伝子情報の集計データや相関解析のデータも含まれていたが、理化学研究所が個人を特定できないように匿名化していたため、「研究に協力した患者を特定することも、その個人に被害が及ぶこともない」(理化学研究所 広報室)という。
今回の情報漏洩事件にかかわったNTTデータの社員は、2005年秋から今年3月にかけて自宅で作業するために、USBメモリーを使い、業務関連ファイルを持ち出していた。Winnyがインストールされている私物パソコンにUSBメモリーからデータを移して作業していた。その私物パソコンがウイルス感染したため、情報が流出した。
NTTデータの社員が関係する個人情報流出は4回目。2005年5月に私物パソコンでの業務を禁止し、今年3月には同社内でのWinnyのインストールやUSBメモリーなどの使用を禁止するツールを導入していた。「情報管理が徹底できていなかった。今後、このような事態が発生しないようさらに強化していきたい」(NTTデータ広報部)。
今回の流出は、9月7日に判明。13日の発表まで、事実関係を調査するとともに、関係機関に事情を説明していた。
