前回は，日本で初めて「詐欺」容疑で摘発された「フィッシング詐欺」について触れた。筆者のところには，「PayPal」に続いて，米国のオークション・サイト「eBay」の名前をかたったフィッシングメールも送られてきた。迷惑メールは，メールの振り分けや削除だけでも相当の負荷になる。中堅中小企業（SMB）のメール・サーバーにも遠慮なく送付されてくる。頭の痛い問題だ。

　ところで今回は久々に，ファイル交換ソフトによる個人情報流出について考えてみたい。本連載では，「個人情報漏えい事件を斬る(2)：利便性の裏にリスクが潜むファイル交換ソフト」，「個人情報漏えい事件を斬る(15)：なぜ電力業界にファイル交換ソフトによる情報漏れが多いのか」で取り上げてきたが，その後どうなっているのだろうか。

改正法施行後に相次いで発表された個人情報の流出

　2005年12月，改正原子炉等規制法が施行され，核物質防護情報を流出させた者に対して1年以下の懲役又は100万円以下の罰金が科せられるようになった。テロ対策の観点から，核物質防護情報は国民の生命を左右しかねないものだ。電力業界に対しては，一層厳格な情報管理が要求されるところだが，現実はうまく運ばなかった。

　施行直後の2005年12月9日，関西電力は原子力関係の業務情報が，ファイル交換ソフト「Winny」のネットワーク上に流出していることを発表した（「当社社員の個人所有パソコンからの業務情報流出について」参照）。同社社員の個人所有パソコンにインストールされていたWinnyがウイルスに感染し，大量のファイルが流出したことが，原子力安全・保安院からの連絡により判明したというもので，流出した情報には，名前，住所，電話番号，メール・アドレスなど関係者の個人情報が含まれていた。

　関西電力は発覚後，社員全員に対して，

・個人所有のパソコンで業務情報を扱わないよう改めて周知する。
・情報管理の実態を全社的に総点検する。
・個人所有のパソコン内に業務情報があれば全て削除させ，会社としてこれを確認する。
・業務上，社外においてパソコン使用が必要な社員には，セキュリティ対策を施したパソコンを付与する。

などの対策を進めていた。

　しかし続く12月22日，関西電力は別の部署で同様の業務情報（関係者名簿等の個人情報含む）流出があったことを公表（「当社社員の個人所有パソコンからの業務情報流出について」参照），12月27日には，原子力・安全保安院から情報管理徹底の要請を受ける事態になった（「関西電力（株）に対する情報管理の徹底の要請について」参照）。

問われる個人所有パソコンの管理体制

　その後も電力業界では，ファイル交換ソフトによる情報流出が続いている。

　2006年1月31日には，中部電力グループの中部プラントサービスが，Winnyによる火力発電所関係の技術情報流出を公表（「当社火力発電所に関する技術資料の情報流出について」参照）。2月2日には，関西電力グループの関電プラントが火力発電所関係の業務情報流出を公表している（「当社社員の個人所有パソコンからの業務情報流出について」参照）。

　いずれのケースも，個人所有パソコンにインストールされたファイル交換ソフトを標的とするウイルス感染が原因だ。個人情報の置き場所にはファイル交換ソフトをインストールしないというのが，常識的な個人情報保護対策だが，社内の管理が行き届かないところでの情報流出が顕著になっている。これは電力業界だけの問題なのだろうか。

　次回は，他の業界の状況について検証してみたい。