トヨタ自動車が20日、システム開発を委託したNECの協力会社社員が、トヨタレンタリース横浜の顧客情報9804件が入ったノート・パソコンを新幹線車内で盗まれたと発表した事件で、問題の顧客情報は同社員が受信した電子メールに、暗号化されないまま添付されていたことが分かった。
ノート・パソコンが盗まれたのは、3月31日の20時50分頃、JR品川駅から名古屋駅に向かう東海道新幹線車内でのことだった。NECの協力会社社員は、トヨタレンタリース横浜の顧客情報(個人1113人、法人8691件の住所、氏名、電話番号、口座番号、自動車保険情報など)が入ったノート・パソコンを鞄ごと盗まれた。これまでに、それら顧客情報が不正に使用された事実は確認されていないが、ノート・パソコンも見付かっていない。
メールを送信したのがトヨタかNECの社員だったかどうかは、両社とも明らかにしていない。ただ、個人情報を外部に送信する際の社内規定では、NECは「暗号化かそれに準ずる安全管理」を求め、トヨタは「暗号化までは指定していないものの安全管理すること」を義務付けていた。
NECはトヨタから、全国のトヨタレンタリース店に導入するシステムの開発を受託し、一部を協力会社に再委託した。盗難にあった社員は、その協力会社がさらに業務を委託した、孫請け会社の所属だった。トヨタとNECの契約では、システム開発は3月31日で終了し、その後は開発用途で提供した顧客情報などを消去することになっていた。
NECは社内だけでなく、協力会社にも同契約内容を通知し誓約書などの提出も受けていたが、結果的には管理を徹底できず顧客情報の盗難につながった。NEC社内では情報流出・漏洩を防ぐシステムなどを導入しているが「協力会社にまで同様のシステム導入を求めることは難しかった」(NEC広報)としている。
今回の流出事件で、トヨタはNECに厳重注意を促したものの、特別なペナルティは要求しない。NECは、再度、個人情報取り扱いの管理を徹底するとともに、協力会社を含めた再教育や運用マニュアルの見直しによって再発を防止する。
なお盗難発生から公表までに1カ月近く経っていることについてトヨタは「情報流出した顧客への謝罪や対応を急いだ結果」(トヨタ広報)としている。
