弁護士事務所から流出した顧客情報、調査の突破口はどこにある？：萩原栄幸の情報セキュリティ相談室（3/4 ページ）

[萩原栄幸，ITmedia]

　それまで筆者を含めた全員が、漏えいした情報はデジタルデータだろうという先入感を持っていた。しかし、そうとは限らない。A社にはコピー機が4台ある。コピー機には印刷枚数を数えるカウンター機が挿入されていた（10年ほど前のコピー機はそういうタイプが主流だった）。筆者はA社のメンバーに、「カウンターの管理はどうしていますか」と聞いた。

　この時代はまだコピー単価が高額だったので、一般の企業ではカウンターで印刷枚数を管理していた。通常は、オフィスを最後に退出する人が数字を管理簿に記載し、カウンターを外して退出する。この時点でコピーが使用できなくなる。カウンターは、所定の場所（通常は金庫の鍵などと同じ場所）に保管し、施錠することになっている。

　ただ、A社では緊急訴訟などへの対応を理由に、カウンターが常にコピー機に挿入されたままだった。事務員によれば、総務担当者が帰宅前にカウンターを見て、台帳に記録することはしていたようだ。

　これを聞いて筆者は、A社のメンバーに「B社に関する情報のうち、紙文書に相当するものはどのくらいありますか。また、海外のエージェントが購入した情報にデジタルデータもあるはずです。至急調査してください」と依頼した。こう伝えるすると、さすがは弁護士事務所の方々であり、作業は早かった。週が明けた月曜日の夜７時頃には全ての調査が完了するというので、筆者も報告を受けた。結果は次の通りだった。

• 6月17日（金）の退社時点でのコピー機のカウンターの数字と、6月20日（月）の退社時点（いずれも総務担当者の退社時点だが参考にはなる）のカウンターの数字を比較すると、4台あるコピー機のうち2番と3番のカウンターが非常に多くカウントされていた。通常の場合に比べて2台合計で2000枚ほど多いという。
• この間（6月17〜20日）のA社での作業は、20日のB社との重要な会議に備えて、担当の弁護士や事務員が先方に出向いて、ほぼ1日中B社の会議室で作業していた。よって、A社でコピー機を使う機会は、通常日よりも少ないと思われた。
• この間に「ボス弁」が、どうしても必要な書類を事務所に置き忘れたというので、19日（日）に1時間ほど出社した。この土日に、ボス弁以外に出勤した人物は管理簿上ではいなかった。
• B社によると、エージェントが入手したのは、PDFファイルが記録された１枚のCD-Rであり、ほかには無いという。紙文書での盗難があったかどうかは不明とのこと。
• 清掃会社を調査したA社の事務員によれば、清掃会社はA社の入るビル全体を週１回隅々まで清掃し、年に2回は事前に通告して床にワックスを塗っている。フロアごとに事務所内にはない大きなごみ箱は、平日に毎日1回業者が回収する契約になっている。情報漏えいがあった当時の清掃員は、その後に突然辞めているという。清掃員の名前、住所、電話番号は聞いてきた。

　こうした事実から、筆者は調査プロジェクトのメンバーに、まず当時の清掃員に関する調査とその当時の書類状況について、全ての「事実」を報告するようにお願いした。すると、この清掃員は中国人の元留学生で、卒業後しばらくはアルバイトで清掃員をしていたことが分かった。既に帰国し、中国では有名な一流企業に就職しているという。

　漏えいした情報とこれらの事実を突き合わせてみると、とんでもないことが判明した。