弊社では、5月7日に発表いたしました、「一部のお客様に関する保守サービス資料の外部流出」につきまして、対策を進め、また全容の解明に努めてまいりました。
弊社は、ここまでの対応をご報告するとともに、本件に関する責任を明確化するため社内処分を行いましたことをお知らせいたします。
お客様をはじめ、関係者の皆様には大変ご心配、ご迷惑をおかけしましたことを、あらためて深くお詫び申し上げます。今後、弊社は、数多くの重要資料を取り扱う事業者としての立場を改めて強く認識し、グループをあげて再発防止に向けた情報セキュリティマネジメント対策を徹底してまいります。
1. 事件の概要
<1>流出した資料の内容
特定保守拠点における、2002年から2004年にかけてのお客様に関する次の資料(確定社数79社)
1)保守、点検用機器データ等
2)保守作業手順書等
<2>原因
該当保守拠点の社員が個人パソコン(PC)を社内で使用し、当該PCにバックアップ目的で、2004年当時規則に反し業務資料を保管しました。その後、業務資料の存在を失念したまま個人PCを自宅に持ち帰り、それがWINNYの導入とウィルス汚染によって外部流出したものであることが確認されました。なお、事故発生が確認された5月7日中に原因となったPCを回収し、インターネットへの接続を不可としたうえ社内保管しております。
2. お客様対応
今日までの間に、今回の流出により何らかのリスクが生ずる可能性のあるお客様に対しては、個別のお詫びおよび事情ご説明を終えております。必要な対策の実施につきましては概ねお客様と協議済みであり、計画的に実施いたしております。
また、万一今後お客様において、今回の情報流出に起因する問題事象が発生しましたときは、弊社にて誠意をもって対応させていただくことをお伝えしております。
3. これまでの弊社の情報セキュリティに関する取組みおよび再発防止策
弊社では、2003年12月に「情報セキュリティポリシー」ならびに「情報セキュリティガイド」を施行し、併行して情報セキュリティ委員会を設置のうえ全社的なセキュリティ対策への取り組み徹底を開始いたしました。
その中で <1>ネットワーク及びサーバー/クライアントのセキュリティ対策
<2>システム利用に関する個別ID管理への移行
<3>入退出等に関する物理的な対応 などを実施してきております。
現状では、今回の事故におけるような個人PCの業務使用は禁止されており、また、アクセス制御等により許可のないPCのネットワーク参加を規制する他、対策ソフトの導入等も含め、社内で許可を受けないデータのバックアップ、外部記憶装置等へのコピーを行えない仕組みを構築済みです。
今回のセキュリティ事故は、このような対策が徹底される以前に行われた個人的データバックアップに起因し、また本人がそのデータ消去を怠っていたことによって発生したものですが、現在の弊社の情報セキュリティマネジメント体系の下では、極めて起こり難い体制となっております。
しかしながら、今回の事故原因に鑑み、更なる再発防止策として改めて以下の対策を実施いたします。
1)弊社子会社を含め、個人保有PCや個人保有記録媒体については、一切業務データが残存していないことを再確認中です。また社内業務PCにつきましても、過去データの必要性を再検証し、不要なもの、あってはならないものが保持されていないか再調査を行い、不適切なものの完全消去を実施中です。
2)上記については、個人単位で確認書を取得いたします。
3)意識向上策として、5月末日までに再度教育・研修を全社員に実施いたします。
4)業務用PCには、会社が認定したPCである事が一目で判るようなシールを貼付するなど、判り易い対策を実施いたします。
以上 |