事故から学ぶ

三菱電機、個人情報8122人分流出か 就活生や従業員

事故概要

業種 電機
発生時期 2019/06/28
漏えい人数 8,122人
事故概要

三菱電機は20日、大規模なサイバー攻撃による不正アクセスで「個人情報と企業機密が外部に流出した可能性があることを確認した」と発表した。採用応募者や従業員、グループ企業の退職者ら最大で8122人分の個人情報が流出した可能性がある。一方、官民の取引先の企業機密については「技術資料・営業資料等」が流出した可能性は認めたものの、具体的な内容は一切明かさなかった。責任ある情報公開にはほど遠く、大規模攻撃の被害の説明は不十分だ。
三菱電機が不正アクセスの疑いに初めて気づいたのは昨年6月28日。公表まで半年以上を要した。今のところ「被害や影響は確認されていない」としている。

外部に流出した可能性がある個人情報は、2017年10月~20年4月入社の新卒採用と、11~16年の経験者採用への応募者計1987人の氏名、住所など▽12年に人事処遇制度に関するアンケートに答えた本社の従業員4566人の氏名や当時の所属▽07~19年にグループ企業年金基金から一時金を受け取った退職者1569人の氏名や生年月日、電話番号など。社外の対象者には20日から郵送で報告とおわびをするという。

複数の関係者や社内調査によると、防衛省や原子力規制委員会などの官公庁・政府機関、鉄道や通信といった重要なインフラを担う大手企業の情報が不正アクセスを受けた。だが、同社は流出の可能性がある企業機密について、取引先の数や業種は「公表しない」(広報)と説明。その理由は明かさなかった。防衛関連や電力、鉄道などの社会インフラ関連の情報については「機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないことを確認済み」としているが、「機微」「機密性」「重要」の範囲を定める基準はなく、線引きは不透明だ。

引用元 朝日新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?

■ 推奨対策

対策:

漏えいされた本人への通知は事前に行われたか不明であるが、発表までに時間がかかりすぎている点が問題である。不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。
自社内PCのウイルス対策ソフトの最新化をタイムリーに行うこと。

具体例:

企業内のサーバなど安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。従業者教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。