「社内に関与した者がいてほしくないと思う気持ちがあるから見つからない。絶対に原因を突き止めろ」。信販大手アプラスの顧客情報漏洩問題で揺れるTISの船木隆夫社長は、徹底した社内調査に向け大号令をかけた。
この問題は、アプラスのクレジットカード会員7万9110人分の個人情報がダイレクトメール会社に流出したもので、流出した情報には氏名、住所などに加え、住居形態や年収区分といった機密性の高い情報も含まれる。アプラスは事実を公表した8月以降、対象者に対して1000円の商品券とお詫び状を配布した。すでに8000万円以上の損害が発生している計算だ。
情報システムの開発・運用はTISが請け負っており、同社のサーバーから情報が漏れた疑いが濃厚だ。「信販業界をビジネス基盤にしているTISにとって、信用失墜という大きな痛手」と、TIS企画部長の西田光志取締役は社内の危機感についてこう語る。
セキュリティを提案する立場にあるソリューションプロバイダ自身が、情報漏洩問題を引き起こすケースが増えている。しかも原因がなかなか明らかにならない。例えば、6月にはアイ・ティ・フロンティアがローソンのカード会員56万人分の情報を漏洩させた。アイ・ティ・フロンティアは「警察が捜査中のため、詳細は一切お話できない」(広報)と口を閉ざす。
業務効率優先で“穴”見落とす
そうした中、取材に応じたTISの西田取締役は「この問題を契機に、日本一セキュリティ対策が万全のIT企業を目指す。そのために、事情説明の場を与えられるのは好機だととらえた」と話す。
TISは1998年に自主規制の個人情報保護規制を作り、2000年にはプライバシーマークを取得するなど、専門部署を置きセキュリティ対策を施してきた。それでも情報漏洩を防げなかったわけだ。
取材で明らかになったTISの情報管理体制の問題点は大きく2点。一つ目は、業務効率を追求するあまり、情報漏洩につながる“穴”を見過ごしていたことだ。
TISは、アプラスのシステム開発にかかわったパソコン180台のハードディスクを取り出し、消去したデータを復元して調査した。その結果、協力会社に貸与していたパソコンから、本来アクセスする必要のない顧客情報を閲覧していた痕跡が見つかったという。
さらにTISは、個人情報の取り扱いについて全社を緊急調査した。その結果、プロジェクトによっては、担当者がプロジェクトと無関係なパソコンから、データにアクセスできる環境がいくつか存在していた。「業務効率を優先した結果だ。今後は効率優先の考え方を一掃する」(西田取締役)。アプラスの問題の根っこにも、本来データを見るべきではない協力会社のパソコンからアクセスできるようにするなど、業務効率を優先する甘さがあったと言わざるを得ない。
もう一つの問題点は、真相究明のための備えができていなかったことだ。発生から1カ月以上も経過したが、いまだ“犯人”を特定できていない。“犯人”が利用したと推定される協力会社のパソコンには「データ閲覧の痕跡しか残っておらず、コピーして持ち出した証拠は見つからない」(西田取締役)。追及の手を緩めない方針だが、真相究明は至難の業だ。
TISは今回の失態を教訓に、こうした情報管理体制の抜本的見直しに乗り出した。例えば、個人情報などを扱える端末を固定化し、隔離した上で、監視カメラをつけるなどの措置を講じる。データを転送できないようにするため、パソコンからUSBポートも取り外す。さらに、セキュリティの国内評価基準ISMS(情報セキュリティ・マネジメント・システム)の認証を、全社で取得することも目指す。
情報漏洩に対する備えは、IT業界全体に通じる課題だ。今回の教訓から学ぶべきなのは、TISに限ったことではない。
