他企業の情報流出の可能性も、IPAが漏えい事件を経過報告：セキュリティ意識に欠けていた

IPA職員の私物PCから電子データが流出した事件で、IPA以外の企業情報も流出したという。

[國谷武史，ITmedia]

　情報処理推進機構（IPA）は1月6日、同機構職員の私物PCから電子データが流出した事件に関する経過報告を行った。IPA以外の企業情報もファイル共有ソフトウェアのネットワーク上に流出した。

会見する仲田理事

　同日現在、確認された流出ファイル数は1万6208ファイルで、このうち約1万3000ファイルが文書データだった。IPAでの業務データや職員がIPA以前に在籍していた企業および取引企業11社の情報も含まれるという。

　流出したデータのうち、IPAでの業務関連のものは「組み込み技術展2007」とソフトウェアエンジニアリングセンター開設3周年で、職員が私物のデジタルカメラで撮影した画像だった。

　一方、職員が以前に在籍した企業やその関連企業に関するデータには、2000〜2005年当時の関係者の個人情報などが含まれ、総数は1万ファイルを超えるとみられる。個人情報の内容については、「回答できない」（仲田雄作理事）としている。

　この事件では、ソフトウェアエンジニアリングセンターに在籍する職員が、漢字変換ソフトウェアの「ATOK」や児童のわいせつ画像を入手する目的で、2008年12月にファイル共有ソフトウェアの「Winny」と「Share」を利用したことが、聴取で判明した。このPCがファイル共有ソフトウェアを悪用するウイルスの1つ「Antinny.BF」（通称：暴露ウイルス）に感染し、職員が意図せずにデータがネットワーク上に流出した。外部からの指摘を受けて、IPAでは1月4日から調査を開始したという。

　IPAでは、データ流出した外部企業に対して流出したデータの内容の連絡や内容の照会などを行っている。また、1月6日に所轄官庁である経済産業省に報告した。

セキュリティ意識に慢心？

　IPAは、情報漏えい対策として以前から私物のPCや記録媒体の持ち込み、業務データの外部への持ち出しを禁止していた。持ち出しが必要な場合は、IPAが所有する機器を利用して上長や情報システム部門が承認するプロセスを導入していた。

　また、職員に対する啓発では私物PCでファイル共有ソフトウェアを使用しないように求めていたほか、朝礼および月一回実施する研修会でほかの情報漏えい事件をモデルケースにセキュリティ意識を高める取り組みを行っていた。

　IPAの聴取に対し、職員は「意識が甘かった。大変な事態を起こし、反省している」とコメントしたという。流出元の私物PCにはウイルス対策ソフトウェアがインストールされていたが、パターンファイルを頻繁には更新しておらず、暴露ウイルスの感染を防ぐことができなかったという。

　今後の対策について、仲田理事は既存の対策の再徹底と職員に私物PCでファイル共有ソフトウェアを使用しないことを誓約する文書の提出を求めるとしている。ほかの企業や個人への対応では、顧問弁護士と協議した上で内容を決めるとコメントした。

　職員に対する処分は、流出情報の全容が解明できた時点で決定するという。

　仲田氏は、「情報セキュリティを社会的に推進する立場でありながら、このような事態を引き起こしてしまい、大変遺憾に思う」と話し、謝罪した。

過去のセキュリティニュース一覧はこちら