弁護士事務所から流出した顧客情報、調査の突破口はどこにある？：萩原栄幸の情報セキュリティ相談室（4/4 ページ）

[萩原栄幸，ITmedia]

　その後、調査プロジェクトのメンバーによれば、漏えいした全て情報がある弁護士の机に、「紙文書」という形で放置されていた可能性が高いという。当初は無関係と考えていたが、ここまで状況証拠がそろうと無視できない状況となり、当該の弁護士が申告してきたのであった。漏えいした情報のデータ量を「紙」に換算して、コピー枚数やコピーに要する時間を実験で計測したところ、見事なくらい一致した。

　その文量はバインダーが3冊、クリアフォルダや紙のままのものもある。その情報をすべてコピーすると、コピー機1台では足りず、犯人は近くにあるもう1台のコピー機も使ったに相違ない。エージェントが入手したCD-Rのデータを紙の枚数に換算してみると、A社のコピー機のカウンターで見られた異常に多いカウント数とほぼ同じだった。

　犯人と思われる元留学生の実家に手紙を送付し、元留学生は就職したという企業にメールを送ったが、案の定全く何の返答も無かった。直接的な証拠でもあれば対処のしようもあるが、ここまでの状況ではそれ以上に追及してもコストに見合わないとA社では判断さしたようだ。

---

　前回の事案ではないが、今回の事案での再発防止策としては、複数の清掃会社と契約することや、身元の確かな人間以外は執務室に立ち入りできない（事前に面談を行うと契約書に明記）ようにすることが挙げられる。

　A社ではこれらに加えて、事務所の数カ所に監視カメラを導入し、万一の場合は清掃会社に損害賠償請求することを契約書に明記するなどの対応も取ったようだ。

　外部の人間の事務所への立ち入りも今までは野放しだったが。今後は「アクセスコントロール」という概念で、きちんと管理するようになったというのは言うまでもない。唯一、カウンターの取り外しだけは、利便性の観点から「許容できない」という声が社内から起こったとのことである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。