パスワードを忘れた? アカウント作成
13640443 story
情報漏洩

日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に 69

ストーリー by hylom
本気のやつだ 部門より
あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった(読売新聞朝日新聞時事通信)。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報(約34万人分)や日経ヴェリタスの読者情報(約3万6000人分)も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた(J-CASTニュース)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Suzuno (48093) on 2018年07月06日 20時04分 (#3438607) 日記

    別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた

    窃取されたデータは日経新聞社員約3000人の賃金などのデータ

    って、えー?

    時事通信の記事 [jiji.com]には

    元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り

    情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。

    個人情報保護方針 [nks.co.jp]には

    当社は2007年6月、一般財団法人 日本情報経済社会推進協会より個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマークの付与認定を受けております。

    なんて書いてあるけど、どこまでザルな審査してたんだか・・・

    • by nemui4 (20313) on 2018年07月06日 20時42分 (#3438629) 日記

      労基の方は大丈夫なんすかね

      この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

      親コメント
      • by Anonymous Coward

        労基を恐れるあまり発覚が遅れたりしても、漏洩の被害者以外が誰も損しない世界に

    • by Anonymous Coward on 2018年07月06日 20時15分 (#3438612)

      bitlockerでも掛けていたら、こういうのは防げたかな

      親コメント
      • by Anonymous Coward on 2018年07月07日 8時05分 (#3438795)

        ノートPCは暗号化必須だが、デスクトップPCにまでその規制を徹底してるところは少ないな
        あくまで、出先で盗難されたケースしか想定してないから
        ただ、個人情報を集約してるディスクを暗号化してないってのはずさんの一言に尽きる

        親コメント
    • つまるところ複合事案ってとこかな

      * 情報システムなど専門部署でないのに入手できた(ただ廃棄プロセスまでいくと知ってる人間ならソーシャルハックはしやすいかもしれないが)
      * PCの暗号化や廃棄プロセス
      * 両方合せたプライバシーマーク他関係
      * 動機に関係する労働環境

      処分自体はわりとちゃんとしてる?

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward

      プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

      • プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

        難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。

        で、同規格の4.2(要求事項/個人情報保護方針)には

        個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

        を維持し、実行することが求められてるから。
        流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

        で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。

        親コメント
        • by Anonymous Coward on 2018年07月07日 7時56分 (#3438791)

          個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

          を維持し、実行することが求められてるから。
          流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

          とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
          末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。

          こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。

          そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。

          親コメント
    • by Anonymous Coward

      プライバシーマークは企業が堂々と個人情報を使えるようにするために作られたもんだから
      過去にもお粗末な原因で大規模な流出しても大手企業ということで実質お咎めなしの実績が多々ある
      悪意のある言い方をすれば、ただの利権団体だからね
      入札するのに必要だから取得している会社は多いけど、セキュリティに対しての認識が驚くほど低レベルなのも珍しくない

      • by Anonymous Coward on 2018年07月07日 9時04分 (#3438820)

        PマークもISMSも取得してて、更新にも関わってて、私自身は安全支援士だけど、まぁザルですわ。
        世の中には、セキュリティ?個人情報?なにそれおいしいの?レベルの会社が大半なので、
        最低ライン(用語くらいは知ってて気をつけてますぐらい)の対策はしてますよ的な認証だと思って欲しい。
        取得しているからあそこは安心なんて考えは捨てたほうがよい。

        親コメント
        • by Anonymous Coward

          >取得しているからあそこは安心なんて考えは捨てたほうがよい。

          それは確かに事実だけど、取得してない会社は想像を超えるレベルを行くので一定の役割は果たしてると思う。

          取得してないところの例では、購入した機器にユーザ登録する時のパスワードも、クラウド上の会計システムにログインする
          パスワードも、社内サーバのパスワードもNW機器のスーパーユーザのパスワードも全部同じで全社員が知ってるとかね。
          ついでにメールの添付ファイルのzipパスワードまで同じ・・・相手が取引先とかでも。

          一見すると経済産業省が出す「ガイドライン」を守ってるように見えるのに、第三者認証を受けないと最も重要な部分が
          欠落するので、やっぱり第三者認証は必要だと思う。(認証通過の辻褄だけ合わせるって例を考慮してもね・・・)

          • by Anonymous Coward

            取得しててもそのぐらい余裕でやってますよ。
            しかし監査ではしっかり規則を遵守してることになってます。
            取得してない会社は、必要性や意味すら分かってないレベルだと思います。

            • by Anonymous Coward

              取得してない会社は、必要性や意味すら分かってないレベルだと思います。

              CCCの悪口はやめて差し上げろ。

              • by Anonymous Coward
                あそこはきちんと取得しただろ!
                そのあと独自認証に移行しただけで。
      • by Anonymous Coward

        あんま厳しすぎると取得を諦める企業が増えて結果的に全体のレベルが下がるから、ゆるふわ規格も啓蒙の効果はあると思う。

    • by Anonymous Coward

      こういった個人情報保護の審査は、管理体制を審査するものであって、結果を担保するものではない

      管理体制がしっかりしてるにもかからわず漏れた場合でも別に審査不備にはつながらない
      管理体制がしっかりしてないが漏れなかったっていうのは審査不備

      • by Anonymous Coward

        いや、
        ・ソフトウェア的なデータ保護ソリューションなし
        ・サーバー室等に物理隔離されてない
        ・他部署の人間が出入りし持ち出せる場所
        ・ワイヤー等の施錠もない
        ・何千人単位の個人情報が格納されてる
        ・賃金データのようなセンシティブ情報
        なんてものは、管理体制と呼べるモノがあれば存在できないよ
        どれかひとつの要素ぐらいはあり得るけど、全部揃うのは管理漏れっていうレベルじゃない

        • by Anonymous Coward

          それ、どこかの区役所ですか?

          • by Anonymous Coward

            お役所とも仕事でお付き合いあるけどほんと大変そう。

        • by Anonymous Coward

          それでも絶対審査側は悪くないんです!

  • by simon (1336) on 2018年07月06日 20時53分 (#3438636)

    報道目的で取得したものなのでセーフ

    ということにはならないだろうか

  • by Anonymous Coward on 2018年07月07日 15時06分 (#3438954)

    当該社員は何も悪いことをしていない。
    当該表現の自由を守る勇者である。
    全ての情報を公開すべき。
    そんなんじゃ特定秘密保護法を批判できない。

  • by Anonymous Coward on 2018年07月06日 21時56分 (#3438670)

    それなりの大企業でもどこでも。できるけど良識があるからやらないだけ。
    しかしわからんのは
    「このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。」
    ってとこ。ばれるのわかりながらやった一種の自爆なのか

    • by Anonymous Coward on 2018年07月07日 6時29分 (#3438769)

      自爆と言うより、社員の「賃金などのデータ」に関しては、サービス残業を告発するためにやった文字通りの「確信犯」じゃないですかね。
      それであれば「この情報を公開」というのも分かりますし。(あえてそれを「賃金などのデータ」と発表したとか)

      ざっとググったら去年6月に是正勧告をくらった話は出てきましたが、それ以降のニュースにはなってないようですが。

      他の余計なデータをなんで持ち出したかよくわからないけど、単に社員の労務管理データの入ってるPCで日経の読者情報も管理していたのでHDDコピーで一緒に持ち出されたというオチかもしれない。

      親コメント
    • by Anonymous Coward

      人と前にいた会社の話をしていると話していいのって情報をくれるかなぁ、大ごとになるような人と付き合ってる時点で破滅だね

      • by Anonymous Coward on 2018年07月06日 22時23分 (#3438679)

        まったく意味がつかめない・・・
        書きこみは暗号化しなくていいんですよ。

        親コメント
        • by Anonymous Coward

          すばらしい暗号化技術! わかったような気になるだけという。

        • by Anonymous Coward

          意識上に思い浮かんだ順番にそのまま文章にするとこういうことになるっていう実例かと

        • by Anonymous Coward

          自分の仕事や過去を自慢したい人は、職場の秘密情報を周りに構わずペラペラしゃべりだす。聞かれてるとは知らずに。

        • by Anonymous Coward

          「ら」が一個抜けてるだけっぽい。

    • by Anonymous Coward

      まったくもってその通りで職場も変なのだろうがこの社員もとんでもない奴だ。
      日経に良い人材が来ないのか人事に人を見る目がないのか。

      • by Anonymous Coward

        人事部の人事とか人事部の給与って、どうなってんですかね。

        不祥事起こした社員の採用担当者は給料下げられるとか、左遷されるとか?

        • by Anonymous Coward

          > 不祥事起こした社員の採用担当者は給料下げられるとか、左遷されるとか?

          そんなことはしないから「ヒトゴト」部と呼ばれるわけで...

      • by Anonymous Coward

        マスゴミの人材なんてこんなもんでしょ。冗談抜きで。この間も共同通信記者が盗聴してたし。

    • by Anonymous Coward

      それなりの大企業はhdd暗号化してるからできないぞ。
      大企業だと秘文とか必須じゃん。
      中小は知らんけど。

      • by Anonymous Coward

        いやいや。。
        実際働いてみろよ
        まあこっちもサンプル数は2だけどな。資本金100億以上ならまあ大企業だろ
        大体の企業でITや情報部署ってのは間接部門でありクズ扱いされてる
        いうことなんか誰も聞かないよ

  • by Anonymous Coward on 2018年07月07日 7時26分 (#3438783)

    英国オックスフォード大学ロイター・ジャーナリズム研究所が毎年行なっている国際的なメディア調査レポートの最新版『Digital NEWS REPORT 2018』によると、日本の新聞で読者の信頼度が高いのは1位が日経新聞、2位地方紙…

    https://www.news-postseven.com/archives/20180702_711172.html [news-postseven.com]

    # 日経って「ただしソースは日経」と揶揄される程の新聞なのにw

    • by Anonymous Coward

      「ただしソースは日経w」とか言ってる人はだいたい購読していないから、「読者の」信頼度にはカウントされないんですよ、たぶん。

    • by Anonymous Coward

      世界日報とか聖教新聞とか「読者の」信頼度高そうですね。
      後者は頼まれてとってる人も多いから、あくまで本当に読んでる人限定になりますが。

    • by Anonymous Coward

      http://www.digitalnewsreport.org/ [digitalnewsreport.org]

      ざっとしかみてないけど、「BRAND TRUST SCORES (0-10)」って所の順位の話なのかな?
      "Fuji TV news"とか"BuzzFeed Japan"とかもあるから新聞紙だけじゃないし、おそらくは新聞の正規の購読者からの統計ではないよね。

    • by Anonymous Coward

      100%虚偽の新聞は、100%真実の新聞と同等に信頼できますよ。

      一番信頼できないのは、50%ずつ真実と虚偽を織り交ぜた新聞。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...