情報漏えいで委託先が倒産 対応で資金難に陥る委託元企業の悩み：萩原栄幸の情報セキュリティ相談室

長引く不況から、仕事を外注するというケースが減っている。業務委託先が情報漏えいを起こして倒産し、その対応に追われて大赤字を被った委託元企業ではどうすべきだったのか――。

[萩原栄幸，ITmedia]

　千葉で印刷業を営むA社。従業員は約30人で、零細が多い印刷業にしては比較的大きい会社である。ただし、決して経営は楽ではなかった。そのA社で半年ほど前に大きな不祥事が発生し、大変な騒ぎとなって、会社の収益に大きく影響を与えることとなった。かろうじてメインバンクが支援し、倒産だけは免れたものの、大赤字になった。そのきっかけとなった事件から、早急に対応策を探ってほしいという相談が寄せられた。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

事案：この企業が起こした事件の概要は次の通りである。

　半年ほど前、A社は大口客からQUOカードのオリジナル印刷とその発送までの一連の作業を依頼された。オリジナルカードについては版下データが作成されており、A社でカードの印刷と礼状などの数種類の紙の印刷物を郵便物として同封し、あて名ラベルを貼り付けて、郵便局に持ち込むという作業であった。

　しかし納期が短く、余剰の社員を全て動員しても、納期までに作業を完了できないほど無理な依頼だった。最近までの不景気からA社は、ここ数年に外注を使うことはなかったが、今回はやむを得ず、以前に取引のあったB社に、あて名ラベルの印刷と封書への貼り付けの作業だけを外注することにした。作業の切り分けがしやすく、本体のカード印刷を外部のB社に委ねることは、A社にとって心理的に大きな抵抗感があったという。

　ところが、あて名ラベルに印刷する個人情報が「名簿屋」といわれる、個人情報を不正に売買するところで売られていたことが発覚した。発覚後、A社の大手の得意先からは今後の取引を打ち切られてしまった。A社は、何万人もの被害者にお詫びするために、商品券の購入代やその郵送代など、多額の資金を必要とする羽目に陥った。

　B社はこの事件がきっかけで倒産し、これらの費用の大部分をA社で肩代わりするしかなかった。犯人はB社の従業員だった。従業員が逮捕されたものの、彼には賠償能力はなく、B社もぎりぎりの状態で経営していただけに、あっという間に倒産した。結局、委託元であるA社が全てを被ることになったのである。

回答

　さまざまな要因が重なっているものの、最も大きな点は、A社が「委託先の管理」をほとんど何もしていなかった点にある。A社におけるコンプライアンスや情報セキュリティ対策は業界の標準以上であった。ただ残念なことに、ここ数年は仕事を下請けに出した経験が無く、そのことが災いした。

　本来であれば「委託先管理」について担当者および管理者がその重要性をしっかりと認識し、その上で慎重に手順に則って、委託先を監視しなければならない。その経験がA社には無く、「対応が必要」ということさえ思い付かなかった。上場企業や金融機関では到底考えられないことかもしれないが、実際には多くの企業がこんな状態にある。

　ただ、長引く不況から業種、業態を問わず、下請けに発注するという行為そのものが減少している。従業員をリストラしないために、経営努力をしてきた企業は多い。企業によっては何年もの間、仕事を外部に委託するという行為をしておらず、そこでの注意点などについて、先輩社員から引き継いでいないという担当者もいる。そんな状態のところに、自社の能力を超える作業が突然に来たのだから、担当者は「いかに仕事をさばくか」ということに目を奪われてしまう。「委託先の管理」にまで考えが及ばなかったという事例が、実際に少しずつ発生しているのである。

　それではどういう点に注意すべきか。ここでは一般論としての注意点をまとめ、今後の参考にしていただければ幸いだ。

ポイント1：自社の情報セキュリティ対策がきちんと機能し、運営がされていることが最低条件。自社にできないことを他社に求めることは不可能と考えてほしい。

ポイント2：委託先の情報セキュリティ対策状況を確認し、発注する側からみて、対策が適切に施されていることを確認する。

　本件の場合、A社は実際に業務フローの中でどういう管理を実施しているかをB社に確認すべきだった。B社全体の状況確認を実施し、個別具体的に今回の作業上における対応についての確認をさらに実施するという具合だ。

　情報処理推進機構（IPA）では業務委託における情報セキュリティについて、「機密情報を提供する際に、提供元から提供先に対して、機密情報の指定またはその保持に必要とされる情報セキュリティ対策の具体的な実施内容が示されない場合がある。そのような状況では、機密情報の漏えいを防止する適切な対策の実施は期待できない」と指摘している。

　つまり、A社はB社に対して今回の作業における具体的な対策の実施内容をB社に求めるべきであった。形はどんなものでもよいが、例えば、「業務委託契約に係る機密保持条項」としてまとめることを推奨する。具体的に「委託先における情報セキュリティ対策事項」として、IPAでは次の観点から対策を求めることを掲示している。

1. 機密情報の利用、保管、持ち出し、消去、破棄における取り扱い手順を定める
2. 機密情報に係る業務の再委託に関する事項を定める
3. 機密情報を保管および扱う場所の入退管理と施錠管理を行う
4. 機密情報を保管および扱う場所への個人所有物の持込み・利用を禁止する
5. ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う
6. 情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う
7. 機密情報へのアクセスを制限するために、利用者ID の管理（パスワードの管理など）を行う
8. 機密情報漏えいが判明した時に、状況を把握し委託元にすみやかに報告する

（IPA「委託関係における情報セキュリティ対策ガイドライン」から抜粋）

　いかがだろうか。こういう地道な対応を確実に実施することで、A社のような非劇を生む可能性は極めて低くすることができる。読者の企業が委託元であるなら、ぜひ一度この観点でのチェックをされることをお勧めしたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。