ロッキング・オン・ジャパン、元従業員が個人情報をUSBメモリで持ち出し 退職時に

[岡田有花，ITmedia]

　「ROCK IN JAPAN FESTIVAL」「JAPAN JAM」などの大型音楽フェスティバルを主催するロッキング・オン・ジャパンは5月11日、元従業員が、取引先の個人情報約1000人分をUSBメモリにコピーして社外に持ち出していたと発表した。

　元従業員は3月末に退職済み。最終出勤日だった3月19日、クラウドサービスから業務に無関係なファイルを大量にダウンロードし、個人所有のUSBメモリにコピーして持ち帰っていたという。フェス参加者など一般ユーザーの情報は含まれておらず、情報が二次利用された形跡もないと説明している。

ニュースリリースより

　持ち出された情報は、取引先の氏名、勤務先企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所など約1000人分。

　3月19日夜、元従業員の最終出勤日に、業務用アカウントを付与していたクラウドサービスから職務上の必要性がないはずの多数のファイルをダウンロードし、それらのファイルを個人所有の外付けデバイスにコピーしていたことをうかがわせる操作履歴を検知した。

　翌営業日の3月23日に外部のセキュリティ専門機関と顧問弁護士の助言を受け、貸与PCの操作ログを検証したところ、取引先に関する個人情報が含まれたファイルをダウンロードしたと思しき挙動を確認した。

　3月26日に元従業員と面談をしたところ、職務上の必要性がないファイルを複数ダウンロードし、個人所有のUSBメモリにコピーして持ち帰っていた事実を認め、USBメモリの提出を受けた。内容を解析して対象データの保存を確認したため回収し、同日中に個人情報保護委員会にも報告した。

　二次被害については、元従業員から個人情報を使用していないこと、第三者に渡していないこと、今後そうした行為を行わないことなどの誓約書を受領した。USBメモリのログ検証でも外部への持ち出しを示す形跡は確認されず、「二次被害の可能性は限りなく低い」と説明している。

　再発防止策として、業務データへのアクセス権限の厳格化、外部デバイスへのデータ持ち出し制御の強化、ログ監視体制の強化と早期検知の仕組み整備、全従業員への情報セキュリティ教育の再徹底を挙げている。