個人情報管理諮問委員会 第一回答申
「Yahoo! BB」のお客様情報をもとにした恐喝未遂事件に関しまして、子会社のソフトバンクBB株式会社に対する個人情報管理諮問委員会からの第一回答申が発表されました。以下のとおりお知らせ申し上げます。
記
ソフトバンクBB株式会社
代表者代表取締役社長兼CEO 孫 正義 殿
個人情報管理諮問委員会
諮問委員 宮脇 磊介
同 高橋 伸子
同 牧野 二郎
表記案件に付き、ソフトバンクBB株式会社(以下「本件会社」という)より、下記の諮問を受けましたので、当諮問委員会では以下の通り答申致します。
第1 諮問委員会に対する第一次諮問の内容
1. 平成16年2月末確認された2件の個人情報盗難及恐喝事件について、
ア. 事件の原因究明および管理体制に関する調査の妥当性について
イ. 事件対応とその後の対処の評価
2. 顧客各位に対する対応について
3. セキュリティ体制改善対策の評価
第2 今回の諮問審議、調査、検討の方法
1. 調査
諮問委員会としては、本件会社の情報セキュリティ管理責任者に任命された常務取締役阿多親市氏からの聞き取りを行うこととした。
さらに、阿多氏のほか、セキュリティに関するシステム担当責任者、サポートセンター責任者、法務担当責任者、広報担当責任者に順次聴き取りを行った。
調査概要
スワイプで横にスライドできます
| 3月 8日 | テーマ 事故内容の調査結果の報告と検討 |
|---|---|
| 3月10日 | テーマ 事故原因の究明と対策結果検討 |
| 3月12日 | テーマ Y事件でのデータベースセキュリティの分析検討 |
| 3月14日 | テーマ K事件での中部サポートセンター管理調査 IDC調査 |
| 3月15日 | テーマ 本社セキュリティエリア調査 新体制クリーンルーム調査 |
| 3月17日 | テーマ 今後の対策と進捗状況 ネットワーク・オペレーション・センターおよびセキュリティ・オペレーション・センターの調査 |
審議概要
スワイプで横にスライドできます
| 3月 5日 | 第一回諮問委員会会議 方向性検討、作業分担、作業内容確認 |
|---|---|
| 3月15日 | 第二回諮問委員会会議 調査内容報告、調査実施 |
| 3月17日 | 第三回諮問委員会会議 報告内容検討、評価、提言の検討 |
第3 諮問に対する答申
ア. 事件発生の原因究明調査の妥当性について
1. K事件
- (1)概要
本件は恐喝事件で立件されており、恐喝行為については証明されているものの事件の核心であるところの、情報の持ち出しに関しては明らかにされていない。
犯行の可能性としては、被告人Kの勤務していた本件会社の中部サポートセンターにおいて犯行が行われた可能性もあるものの、被告人Kは昨年6月に退職し長期間経過しており、入手時期を断定できない点もある。現在確認できる資料を考慮した場合、疑問となる点も多く現時点でも入手経路は明らかとはいえないとの結論に至った。
本件会社の実施した調査の結果、調査報告がなされており、その内容は既に2月27日にホームページ上に公表されている通りであり、その妥当性が確認された。
- (2)事件に関する聴き取り及び調査の詳細
- サポートセンター内部での犯行の可能性について
諮問委員会では、事情聴取を行い、責任者からの説明、資料提供を受け、さらに現地を確認した上で、検討を重ねたが、中部サポートセンターでの犯行は大変困難との結論に至った。
1)サポートメンバー相互の距離は大変近接しており、隣のスタッフのモニターの画面を見ることも容易である。加えて、相互のモニターは見やすいところに設置されている。
各スタッフは、数名の島を作って作業しているが、スーパーバイザー(SV)と呼ばれるリーダー(正社員)が1名から2名ずつ配置されており、巡回してSVが監視にもあたるため、勤務時間中の犯行は困難と思われた。2)作業管理も綿密に行われていた。勤務開始の前に、午前中に作業すべき質問メールについて担当を区分し、配布され、午後分は正午に同様に配布される形態となっており、毎日の作業内容も明確であった。毎日の回答メールについてもSVが内容を確認し、問題のあるものは返却して再度検討させるといった指導が行われており、効果的かつ綿密な業務監査が行われていたとの説明は合理性があると判断された。
3)勤務はタイムスタンプカードで管理され、入退室もSVが管理していた。
- 朝の時間帯の管理について
被告人Kの勤務状況に関する当時の関係者の説明、および当時の出勤状況記録によると、その特徴として、朝、他のスタッフよりも早く出勤することが多かったとされ、この点が検討された。
朝の開業時間の状況は、朝8時30分ほどになると社員がセンターを開けることになっており、鍵は社員が厳重に管理し、サポートメンバーが持つことはなく、従って被告人Kが単独で入ることはできなかった。従って、必ず社員がおり監督がなされていたが、ただ、広い部屋に社員一人と被告人Kの二人だけという状態が10数分あったと想定され、その間に管理者の目を盗んで、犯行に及んだ可能性が認められるが、この時間の犯行と断定する証拠は存在しない。
通常、始業時間に出社することが奨励されている社会慣行からは、ことさらこうした状況になっていることを、非難することはできないとの判断にいたった。
- 顧客一覧機能つき検索システムの表示機能(以下「サポートシステム」という)について
サポートセンターでは、スタッフがPCを利用してメールによる回答をするのであるが、回答の際、質問者の状況を確認するために、顧客データベースを参照する必要があり、そのために用意されているシステムがサポートシステムと呼ばれるシステムであった。
通常はサポートシステムの運用は、1名ずつの顧客表示しかなさず、また、中部センターでも、サポート要員教育のための利用マニュアルにあっても1名ずつの表示を説明するなどしていた。通常、スタッフはこの機能のみを利用して回答を行っていた。
ところが、サポートシステムは、地域やNTT局舎ごとでグループ分けして、そのグループに属する顧客の一覧を見る機能もつけられ、この機能は、主に工事部門などが、局舎ごとに工事や事故のあるときに対応するために利用することを可能にする機能を持っていた。
本件会社では、顧客の検索システムを一元化し、工事部門においてもサポート部門においても、本件サポートシステムの機能を利用する仕組みとなっており、個別の利用制限などができなかったため、組織改善がなされた2003年8月ころまで、一覧機能の利用は停止されていなかった。
しかし、被告人Kが、サポートシステムの一覧表示を利用した記録は残されておらず、このシステムが利用されたのかは断定できない。また、一覧表示によっても、通常数百件から数千件程度の表示がなされるが、問題の56万件を入手するには相当長期間の作業が必要となり、現実的でないという意見も述べられたが、サポートシステムを利用した可能性を否定しきれない。
なお、その後2003年8月には業務プロセスが検討され、一部業務フローを改変することで、一覧機能を停止して、一切の利用を停止した。
- 電子メールの利用に関して
被告人Kが何らかの方法で、サポートセンター内で個人情報を取得したとしても、サポートセンター外へどのように持ち出したかについては明らかでない。
推定される方法としては、電子メールに添付ファイルして送信する方法が考えられる。
サポートセンターでは、社内LANのみで利用できる監視機能つき電子メールシステムがあり、通常は常にこれが利用されていた。このシステムは、顧客サポートにも利用されており、顧客に説明書やマニュアルの一部を送るときなどにファイル添付をしていたため、ファイル添付機能もついてはいた。本メールシステムではログがとられ、当時のものが残されていたが、そのログ上には容疑者Kが利用したログ、痕跡は残されておらず、このシステムを利用したとは考えられない。
さらに、サポートセンター内のPCは、インターネットに接続され、情報収集に活用されていた。顧客との情報共有のためPCメーカーサイトなども利用されるといったことがあり、インターネット利用も広範に認められていた。このため、WEBメールシステムを利用することが可能となるという問題が指摘できる。すなわち被告人Kが、社内メールではなく、ウェッブメールを利用した場合見逃されることも想定される。
こうした問題に対処するには、インターネットの切断、もしくは利用制限が求められることになるが、現実の作業との調整が必要となる。
現在は、不便となることを承知の上で、インターネット回線の利用を極端に制限し、10数件のホームページが閲覧できるだけの状態にして、指定以外のホームページの利用を一切禁止した運用を導入している。
- その他の持ち出し方法について
センター内で利用されているPCは、FDDが付いていない機種が選択され、その他の外部記憶装置も付属していない。外部記憶装置をつけるためには、USB等を接続利用する必要があるが、作業机は整理整頓されており、現場そうした怪しい利用を行うことは不可能と思われる。従って、メディアなどで持ち出すことはきわめて困難であって、考えにくいとの結論に至った。
- (3)法的注意義務について
法的な管理責任としては、場所の管理、人の管理、システム上の管理が考えられるところ、本件会社の中部サポートセンターでは 1) 場所の管理は、入退室管理をはじめとして、通常の管理体制はもたれており、外部の人間が不用意に入るといったことも無く、特段の問題は指摘されなかった。 2) 人の管理については、現場責任者が2名、交代性で勤務し、各グループには常時複数のSVが在席稼動し、スタッフの指導やバックヤード機能を果たしていたと認められ、かつ、スタッフ相互に相互監視できる体制もできており、仕事中に犯行に及ぶことは困難であると判断できた。また、勤務はタイムカードで管理し、仕事内容も的確に管理されており、特段の問題は指摘されなかった。 3) システムの管理であるが、本来はサポートスタッフには利用すべきではないシステムを提供していることに問題が残る。しかし、全国一律のシステムであること、その仕組みを必要としている部門が多数あり、一律に停止させることが困難であった点、サポートセンターが急成長したことからシステムが十分対応していないといった問題があるなど、現場での管理行為では及ばない諸事情があることも否定できない。結論として、システム上の管理義務違反については、疑問の余地なしとはしないが、総合判断としては、管理義務違反とまではいえないものとの結論を得た。
- (4)現時点での犯行の経緯、情報入手経路についての見解
諮問委員会としては、各種報告を得たうえで、自ら現地調査などを行うなどして状況の確認を行ったが、情報入手経路の特定をするには至らず、その経路の推定についても、可能性を否定できないという程度の指摘がなしうるのみであり、それ以上の検討対象の特定はできなかった。従って、検討対象が特定できない状況下で可能な限りの検討を行ったが、現時点では本件会社の管理責任が問題となるとの結論には至らなかった。
- (5)未解決の問題点
- 入手経路の解明
- 入手経路、すなわち侵入行為に関して、管理状況および管理責任の有無
- 同種の危険のあった範囲の検討
- 代理店におけるデータ集積等の問題
2. Y事件
- (1)概要
被告人Yは、3月16日起訴された被告人Mらと共謀の上、データベースに一致する大量の顧客名簿を本件会社に持ち込み、買取等を請求するという恐喝事件を起こした案件であるが、買取を求められたデータが本件会社の保有するデータベースのデータと基本的に一致するものであることから、データベースの情報の持ち出しないしクラッキングがあったと考えられ、その経緯とその安全管理対策が問題となる。
- (2)データベースデータの入手経路について
警察の取調べにあっても、入手経路は確定されていない。内部犯行であるか、外部犯行であるかについても確定的な証拠は無く、認定は避けられている。本件会社は警察の捜査協力依頼に対して、積極的に協力し、入手経路の割り出しに全力を尽くしたがいまだ判明しないとの報告を受けている。
社内調査においても、多様な可能性が指摘され、そのすべてについて詳細な調査検討がなされたこと、そしてその調査結果について内容の説明も受けた。
残念なことに、現在まで判明せず、3月16日東京地検は、被告人Mを恐喝容疑で起訴したが、引き続き入手経路を捜査するとしている。
身柄を拘束された容疑者Tについては、処分留保となっている。
データベースからの入手経路はいまだ明らかではなく、複数の経路が考えられる。
現時点で考えられているものは
- 1)インターネット外部からFWを狙ったハッキング
- 2)RAS(Remote Access Service)を悪用した侵入
- 3)無線LANを利用した侵入
- 4)正規アクセス正規パスワードによる犯罪目的利用
- 5)正規アクセス権者からパスワードを漏らされた者の侵入
などであるが、各種聴き取りの結果、現実的な可能性があると思われるのは 4) のみではないか、との指摘があった。
なお、以前無線LANが外部から利用できたとのうわさもあったので確認したが、昨年10月からの調査の中で無線機器類の調査の結果、2台の無線設置が確認されたものの、いずれにもWEP KEYの設定はあったとのことなので、社内LANへ入れること、WEP KEYを知るもの、かつデータベースへのアクセスアカウントを持つものということになり、社員(ないし社員からパスワード・WEP KEY、データベースパスワードを聞いたもの)以外の利用は考えられないとのことであった。しかし、データベースのパスワードを持っている社員であれば、わざわざ無線を利用するまでもなく、社内LANを利用することになるであろうから、無線利用は考えにくいとの結論となった。
侵入経路に関しては、現時点では特定できず、具体的管理に関する問題の洗い出しにも限界があるというのが現実であった。
- (3)一般管理上の問題
データベースに保管されていたデータの種類について
今回問題となったデータがSBBのデータベースから取られたと考えられるため、何が抜き出されたのか、明確にする必要がある。一部報道では、パスワードや信用情報も抜かれた可能性がある、との指摘があるため厳格な検討が求められた。
調査の結果、システム設計により、情報は明確に区分されているとの事であり、SBBでは顧客情報、回線情報が保管され、課金に関する信用情報等はヤフー株式会社(以下ヤフー)のデータベースに保管されていることが確認された。ヤフーでは、信用情報は、IDCの中でも特に厳重に保管されたセキュリティ・ラックに収納され、最高度の安全が確保されていること、アクセスについても厳格に制限されていることが認められた。
従って、今回持ち込まれた情報に信用情報などが一切含まれておらず、本件会社しか持ち得ないはずの回線情報が含まれていたことから見ても、盗難にあったのは本件会社であって、ヤフーのデータベース情報は盗難にあっていないと判断できた。
- データベースの場所的管理問題
SBBの顧客情報は、基幹業務部門に3箇所、外部クラビット社にクラビット分を収納するデータベースと、合計4箇所に設置されていた。そのいずれもIDC内、もしくはIDCと同様の高セキュリティ・エリアに保管されていたことを確認することができた。
IDCとしての入退室管理、入場資格者の厳格管理がなされ、場所的管理に管理上の問題は無かった。
なお、データベースへのアクセス権のあるものが、その一部もしくは全部を複製し、利用していた危険性がないかについては、危険性は指摘できるものの、そうした事実は認められておらず、具体的な判断はできない。
- データベースへのアクセス制御問題
データベースへアクセスするには、ID・パスワードを使う仕組みとなっている。
ID・パスワードは、情報管理の担当者が、現場担当者からの請求に応じて、必要に応じる形で発行していた。
2003年7月以降のパスワードは、4箇所のデータベースのいずれかにアクセスできるという意味でのアカウントを総計した場合に、135件発行されていた事実が報告され、内数件はグループ・アカウントとして発行されていたとのことであった。
まず、データベースに対するアクセスに関して、135件のパスワードが多すぎないかという疑問が指摘された。
この135件という数字であるが、本件データベースは極めて巨大なものであって、単純に他のシステムとの比較はできない。ただ、感覚的には一般のデータベースアクセス件数としては、大きな数字であることは否めない。こうした大きな発行数となった背景には、本件会社は企業合同を積極的に進めてきており、多様な企業システムが複雑に入り組んでいること、それぞれの企業体質の統合にかかる時間などから、それぞれに対して必要な数のパスワードを提供していたことが指摘できる。又、時間的にも急速な成長であったことから、システムや業務フローなどの調整、統合が進んでいなかった点も指摘できる。
単純にはいえないが、パスワードの適正管理の視点からは、合併企業の人事組織の統合、組織変更、事業フローの見直しなどを進め、合理的情報利用のフローを形成して、必要最低限の少数のパスワード設定、階層的な設定などが、導入されるべきであったことが指摘できる。
次に、グループ・アカウントであるが、原則的には担当部署の責任者を認証して、責任者に交付することになっていたが、必要な場合には責任者の許諾の元で所属の社員がこのパスワードを使用して、データベースを利用することが認められていたという報告であった。
こうして、社員のパスワード保有者、利用可能者が比較的多数に上った事実はあるが、問題はその管理にかかるものと思われる。
- パスワードの管理方法について
就業規則などには特段の規定はおかれていないが、別途セキュリティに関する注意規定が作成、公表されており、特にその中に「IDとパスワードの管理について」との文書が作成されており、管理教育が行われていたことが認められる。
パスワードについては、原簿が作成されており、保有者の把握がなされていた。
通常のパスワード管理体制は確立されており、ずさんな管理を行っていたとまではいえないとの結論となった。
- (4)未解決の問題
- 侵入経路の確定
- 侵入経路にかかわる管理状況と管理責任
イ. 事件対応とその後の対処の評価
1 事件対応について
本件2件の犯行は、ほぼ同時期に行われており、その両者の関連が強く推測されるが、現在のところ両者の関連性を示す資料は見られない。
両事件は、以下の経過で発生し、対応された。
スワイプで横にスライドできます
| 1月 7日(水) | Y事件の名簿の一部8名分が本件会社子会社の取引先に交付される。 |
|---|---|
| 1月13日(火) | Y事件の名簿の一部8名分を本件会社の担当者が受け取る。 |
| 1月17日(土) | K事件被告人Kから、本件会社の顧客センターのメールに名簿の一部104件が送られてくる。 |
| 1月19日(月) | 本件会社担当者より経営陣に報告。経営陣が即座に警視庁久松警察ならびにハイテク犯罪対策センターに相談。 |
| 1月21日(水) | Y事件被告人Yが130件分の名簿を持ち、本件会社にて金銭要求(第一回目) |
| 1月23日(金) | Y事件被告人Yから名簿類を受け取り、警察に交付。 ニュースリリース、242件として発表。逐次開示の方針確認 |
| 1月24日(土) | K事件Kより返還条件などのやり取り行われる。 |
| 1月26日(月) | Y事案第二回恐喝行為 |
| 2月11日(火) | K・Y逮捕 |
| 2月24日(火) | M・T逮捕 コメント発表(24日付け) 以後順次プレスリリース |
上記の通り、Y事件は、本年1月7日に最初の接触があった後、1月20日まで犯人からの接触はなかった。事件を特定しない形での最初のリリースが1月23日に行われたわけであるが、この間については、調査、分析、犯人の入手経路探索の期間となった。この後2月11日K・Y逮捕、2月24日M・T逮捕までの期間は警察の密行捜査の期間となり、本件会社は全面的に捜査協力し、犯人逮捕に至ったものといえる。
事件接触の当初から、本件会社は事件の重大性を考慮して、身代金誘拐事件と同様の取り扱いが必要と考え、人質(個人情報)を守るため、犯人らと粘り強い交渉をしながら警察による徹底捜査に協力するスタンスを取り続け、今回の犯人逮捕に至った。
K事件では、被告人Kの自宅からオリジナルと思われるデータ類を押収するに至るとの成果を上げたが、被告人Yからは本件データベースの情報を受領したが、オリジナルであるとの可能性については疑問が残る。同人逮捕の際にデータ類が出たかについては確認することができなかった。
事件の経緯の報告を受けて検討を行ったが、本件ではKは巧妙に身元を隠すなどしており、犯人特定に一定の時間が必要であったこと、Yについても情報の隠し場所やオリジナルの存在確認などの必要があったことから慎重な対応が必須であったことなどが認められる。
従って、顧客への説明が一定程度遅れた点についても、やむを得なかったと考えられるとの結論に至った。
恐喝に屈せず、犯人逮捕・証拠保全に至るという原則的立場を貫いた点は評価できる。
2. 顧客各位に対する対応について
顧客対応として求められる第一は、正確な情報を迅速に伝えることであり、顧客による対応を促進できるものでなければならない。今回の事件は警察の捜査を必要とする極めて困難なかつ慎重を要するものであったことから、相当な期間を必要とした事は言うまでもない。
容疑者逮捕後も、公表する内容に関しては捜査妨害とならぬようにとの配慮から、警察の諒解が得られることを前提としていたため、時間的ロスが生じた可能性もあるが、概ね順調な説明がなされていたといってよい。
第二に、名簿屋などへの流出、散逸を防止することが重要課題とされた。そのため、早期の犯人特定と逮捕、証拠の保全が第一義的に考えられ、恐喝行為に屈せず、堂々と対処したため、比較的早期にデータを確保することができたと評価できる。
現在のところ、被告人らが入手した情報が、名簿マーケットなどへ流出した兆候は見られない。本件会社相談室への電話による問い合わせ内容などを精査し、総合したが、本件名簿が利用されたとの明確な兆候を示すものが見られず、通常の範囲を超えるとは考えられないとの結論に達した。又、匿名掲示板、Winnyなどのファイル共有システムなどの動性を見守っているが、現時点では特別な兆候は診られないとのことであった。
こうした状況を総合した場合、現時点での名簿の流出、散逸は行われていないと考えてよいだろうとの結論に至った。
ただし、警察、本件会社の協力により、K案件ではオリジナルと考えられるデータの回収ができているが、Y案件ではオリジナルが残っている危険性も存在する。犯人たちは、今後恐喝という犯行に失敗したことから、その恨みを持って、より巧妙に、突然二次流出を仕掛けてくる危険性も否定しきれない。従って、危険の発生の有無に関して、継続的な監視が必要となる。かつ、本件会社は万が一にも名簿屋やDM事業者の手元に存在する事実が把握できた場合には、直ちに保全処分(処分禁止仮処分など)を行うべく準備を行っているとの事であり、現在成しうる流出防止策はとられていると考えられる。
第三に、顧客による自己防衛の支援であるが、本件会社は、本日3月18日からホームページ上で「BBセキュリティ」と名づけたスパム対策などの機能を持つソフトウエアを、9月末までの間、会員などが自由に、無料でダウンロードすることができるようにしたとの説明を受けた。
これにより、会員などが上記ソフトをダウンロードして、自らのPCにて稼動させることによって、相当程度の安全対策、予防措置を取ることができるので、今後発生するかもしれないスパム増加対策等に一定の効果が期待される。
第四に、顧客に対する500円のお詫び料の支払いについて検討したが、相当な範囲にあるとの意見で一致した。これまでの実例を見た場合、会員から問い合わせがあって実質的な外部流出が確認されたケース(ローソン)、ダイレクトメール事業者からのDMによって漏えいが発見されたケース(アプラス)、顧客に対して架空請求が5800件も寄せられたため外部流出が確認されたケース(ファミマクラブ)などが報道されているところ、それらの企業からのお詫びの額も500円から1000円の範囲で決められたようであり、個々の顧客に対するお詫びの意味としては、一定の妥当性のある金額と考えることができる。
特に今回は、大量の顧客名簿が持ち出されているといったことから、本件会社の負担するお詫び料と送付手数料、各種関連経費の総計は40億におよぶとも考えられており、企業による支払い負担なども勘案すれば、責任の取り方としても一定の合理性があるものと考えられる。
但し、この支払い給付の対象について誤解が生まれる可能性が指摘され、改善が求められた。すなわち、確認のための専用URLが明示されてはいるものの、ヤフーIDとパスワードを持っている人が対象となっているかが明確ではないため、よりはっきりとした対象の説明が必要となる。ヤフーID自体は約6000万件ほど発行されているが、その範囲がすべて給付対象となるわけではないので、そうした説明を行い、誤解を生じないようにしなければならない。
3. セキュリティ体制改善対策の評価
本件会社では、CISOである阿多氏を中心に情報セキュリティ委員会を組織し事件の再発防止、顧客データの窃取・持ち出しなどが再発せぬよう対策を立て、ホームページ上で公開した。
本件会社では、3月4日付で、「顧客情報の保護に関わる緊急対策」として、組織的安全対策、物理的安全対策、技術/運用的安全対策、人的/業務委託安全対策及び「企業のセキュリティ管理能力を高める中長期的な活動への取り組み」を発表し、短期的目標にかかわるものに関しては3月までには実現するとした。
特に、本件会社では、CISO(情報セキュリティ担当役員)の職を新設し、常務取締役である阿多親市氏を選任し、セキュリティ対策の全体の権限と責任を明確にした点は高く評価される。
諮問委員会では、本件会社によって提示された対策の実現の進捗状況を確認した。
現在までの進捗状況は以下の通りである。
(1)組織的安全対策については全ての条項が実現されたことを確認した。
(2)物理的安全対策については、いずれも急ピッチで作業されており、実現されていることが確認された。
特に、セキュリティ・オペレーション・センター、及びネットワーク・オペレーション・センターは、それぞれ最高度の安全性と機密性を確保したシステムによって建設されており、最終段階にあることが確認された。特にネットワーク・オペレーション・センターにあっては、設計計画は既に2003年半ばころに提案着手されたものとのことであった。(3)技術/運用的安全対策については、全ての基礎となるオリジナルなデータベースについてはアクセス権者を3名までとし、現時点では3名を選任、さらに期限付きアクセス権は権限者が時限を区切って許可する形式(許可時間は数時間から長期でも最大限度1週間)で、現在6名に与えている、とのことであった。
務上の支障が生じないかについては、組織全体のフローを検討し、オリジナルなデータベースは原則として使用しない事とし、オリジナルデータベースから必要な項目のみを切り出した部分的な情報のみを収納するデータベースを使用することとし、その切り分けや利用は、高セキュリティエリアであるセキュリティ・オペレーション・センター内でのみ行うとの説明がなされ、作業場所、監視場所も確認した。
その他の作業は順次進められていることが確認された。
(4)人的/業務委託安全対策
従業員教育を、Eラーニング方式を導入して実施したことが報告された。
全ての従業員、派遣会社、派遣社員との間で誓約書はすでに取り交わされていたが、今回の事態を受け、再度確認の意味で全ての従業員、派遣会社、派遣社員との誓約書を取り交わしたこと、一部派遣会社との間で誓約書作成をめぐる議論が存在すること、趣旨を説明して理解を得るべく検討中であることなどの報告を得た。
進捗状況に関しても、特段問題となる点は見られなかった。
中長期の対策は、CISO阿多常務を中心に、順次進められるとのことであった。
4. 提言
諮問委員会は、本件会社が今後第一級のセキュリティを確保した企業として評価されるべく、さらに徹底した改革・改善を求めることが望ましいとの結論に至った。その概要は、ア)会社組織の再検討、権限配分などの明確化による集団指導体制の確立、イ)各部門を監査し、アドバイスする専門委員会の設置、ウ)ID、パスワードの脆弱性を認めて、PKI技術を利用した本人確認制度を採用すること、エ)さらには、法改正を含めて、セキュリティ環境をより強固とするための体制作りを行うこと、の各点である。
ア)会社組織の再検討、権限配分などの明確化による集団指導体制の確立
本件会社は、代表者の孫正義氏のカリスマ的存在が核となり、会社の全体が一丸となって進む体制が作られてきたが、既に本件会社は顧客層の広がりやマーケットシェア、社会的影響力などにおいて大きな地位を占めるに至っており、成熟企業となるべき時期にさしかかっているというべきであろう。
孫正義氏の先見性と指導性を最大限生かしつつ、それを支える組織体制を強固にし、より強固で万全な体制の確立が急務とされるものと思われる。
幸い、3月11日には社内体制が整理され、昨年設置された危機管理委員会、システム安全管理委員会に加え、新たに情報セキュリティ委員会が設けられ、三組織体制が確立したものであり、組織改革も順次進められているとのことであった。それぞれの組織が活発にかつ計画的に活動し、信頼を確保するよう期待するものである。
会社のセキュリティの充実には、明確な計画と正確な実践・実施が必要であり、なおかつ会社全体のセキュリティの理解、文化としてのセキュリティを根付かせる必要があり、確かな実施を期待する。
イ)各部門を監査し、アドバイスする専門委員会の設置
既に本日プレス発表されたように、本件会社のセキュリティシステム、ネットワークシステムの全体に対して、わが国最高水準の科学者等によるアドバイスを求め、現在及び将来にわたり実施される対策、改善策などの全般について万全の体制をとるべきことを提案し、これが諒承され、本日の発表となった。
既に本件会社ではセキュリティ企業による対応がなされ、かつ監査も行われることになっているが、実務的観点にとどまらず、科学的観点からの客観的な分析検討も必要と思われることから、今回、技術諮問をお願いすることとなった。
ウ)ID、パスワードの脆弱性を克服すべく、PKI技術、生体認証などを利用した強固な本人確認制度を順次採用することを期待したい。
ID、パスワードは、人の記憶に頼り、かつ外部に露出させるものであることから、他人に利用されるなどの脆弱性が指摘されてきた。キーロガーソフトウエア等を利用することで、容易に盗まれることも実証されている。
諮問委員会としては、より高度のアクセス制御を実施する必要があると考えており、レベルに分けて、セキュリティ要員などを中心にPKIシステムや生体認証のシステムを、順次採用することを提案している。
幸い、ネットワーク・オペレーション・センターを始めとして、ICカードと生体認証とを組み合わせた最高度のアクセス制御が採用されているセキュリティエリアが作られており、大いに歓迎するものである。
エ)さらには、法改正を含めて、セキュリティ環境をより強固とするための体制作りを行うこと
1) 情報犯罪立法の推進
現在顧客名簿などの持ち出しについては、犯罪とならない法体制となっている。すなわち、営業秘密に関して保護する改正が行われたが、不正競争の目的であること、営業秘密に該当することが必須の要件となっている。そのため社員によって事業活動のために通常利用される顧客情報にあっては、営業秘密の最大の要件である「秘密管理性」がないとして保護対象から外れると考えられる。さらに主観要件においても、暴露目的、愉快犯的意図による犯行は「不正競争の目的」に該当せず、処罰される不正競争行為に当たらないとされる。
今後こうした情報に対する犯罪行為が予想されるところであるが、緊急に保護対策を実施しない限り、より深刻な事態になる危険があり、立法措置を求める努力をされたい。
こうして保護すべき法益が保護されていない体制は問題があり、法改正の要求が必要となる。
2) 派遣労働者管理、業務委託先管理の体制確立
派遣労働者に関しては、派遣元が派遣労働者を管理し、その個人情報を自らの業務にも未利用するとしているため、個人情報保護の規定の形式的理解から、派遣先企業に開示することがなされず、派遣労働者に対しては派遣先企業に個人情報を開示しないような指導がなされている。
こうして、派遣を受ける派遣先企業としては、氏名程度しか把握できないことが多く、有能な派遣社員に対してその能力を活用して、ネットワークの作業や、セキュリテイの作業をさせる場合でも、仕事上の指図が可能であるとしても、その程度にとどまり、セキュリティ管理のために本人情報を常時確認し、詳細な情報管理、セキュリティ管理を求め、契約の効果として義務として応じさせることができないのが現実である。高い技術を持つ派遣社員が企業の根幹を支えつつあるが、これを的確に管理できない現実ができており、極めて危険な状況になっている。
又、業務委託関係にあっては、企業の独立性を基礎にして、相互監視、あるいは下請企業監視、外注作業に関する業務委託先従業員の監視を拒否する企業があり、あるいは法的に従えないと主張する企業もあり、この点でも的確な管理が実施できない状況がある。
本件会社においては、そうした事態を放置することは危険であることから、業務委託契約の徹底見直しを進めており、順次契約をしなおしている。
こうして、法的制度において、セキュリティ管理を困難とする制度、運用が行われていることを正確に調査し、より強固なセキュリティ対策の実現が可能となる体制作りを進める必要がある。この点でも新たな法的措置が行われるよう求めてゆくことが重要であろう。
以上
-
このページに掲載している情報は、作成日時点において入手可能な情報に基づくもので、予告なしに変更されることがあります。また、このページには将来に関する見通しが含まれていることがあり、これらはさまざまなリスクおよび不確定要因により、実際の結果と大きく異なる可能性があります。あらかじめ免責事項につき、ご了承下さい。
