日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に 69
ストーリー by hylom
本気のやつだ 部門より
本気のやつだ 部門より
あるAnonymous Coward曰く、
日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった(読売新聞、朝日新聞、時事通信)。
窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。
この男性はこれ以外にも、日経新聞電子版の読者の個人情報(約34万人分)や日経ヴェリタスの読者情報(約3万6000人分)も持ち出していたという。
分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。
なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた(J-CASTニュース)。
ツッコミ所が多くない? (スコア:3, すばらしい洞察)
別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた
窃取されたデータは日経新聞社員約3000人の賃金などのデータ
って、えー?
時事通信の記事 [jiji.com]には
元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り
情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。
個人情報保護方針 [nks.co.jp]には
当社は2007年6月、一般財団法人 日本情報経済社会推進協会より個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマークの付与認定を受けております。
なんて書いてあるけど、どこまでザルな審査してたんだか・・・
Re:ツッコミ所が多くない? (スコア:3, すばらしい洞察)
労基の方は大丈夫なんすかね
この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。
Re: (スコア:0)
労基を恐れるあまり発覚が遅れたりしても、漏洩の被害者以外が誰も損しない世界に
Re:ツッコミ所が多くない? (スコア:1)
bitlockerでも掛けていたら、こういうのは防げたかな
Re:ツッコミ所が多くない? (スコア:1)
ノートPCは暗号化必須だが、デスクトップPCにまでその規制を徹底してるところは少ないな
あくまで、出先で盗難されたケースしか想定してないから
ただ、個人情報を集約してるディスクを暗号化してないってのはずさんの一言に尽きる
Re:ツッコミ所が多くない? (スコア:1)
つまるところ複合事案ってとこかな
* 情報システムなど専門部署でないのに入手できた(ただ廃棄プロセスまでいくと知ってる人間ならソーシャルハックはしやすいかもしれないが)
* PCの暗号化や廃棄プロセス
* 両方合せたプライバシーマーク他関係
* 動機に関係する労働環境
処分自体はわりとちゃんとしてる?
M-FalconSky (暑いか寒い)
Re: (スコア:0)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
Re:ツッコミ所が多くない? (スコア:2)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。
で、同規格の4.2(要求事項/個人情報保護方針)には
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。
Re:ツッコミ所が多くない? (スコア:1)
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。
こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。
そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。
Re: (スコア:0)
プライバシーマークは企業が堂々と個人情報を使えるようにするために作られたもんだから
過去にもお粗末な原因で大規模な流出しても大手企業ということで実質お咎めなしの実績が多々ある
悪意のある言い方をすれば、ただの利権団体だからね
入札するのに必要だから取得している会社は多いけど、セキュリティに対しての認識が驚くほど低レベルなのも珍しくない
Re:ツッコミ所が多くない? (スコア:3, 興味深い)
PマークもISMSも取得してて、更新にも関わってて、私自身は安全支援士だけど、まぁザルですわ。
世の中には、セキュリティ?個人情報?なにそれおいしいの?レベルの会社が大半なので、
最低ライン(用語くらいは知ってて気をつけてますぐらい)の対策はしてますよ的な認証だと思って欲しい。
取得しているからあそこは安心なんて考えは捨てたほうがよい。
Re: (スコア:0)
>取得しているからあそこは安心なんて考えは捨てたほうがよい。
それは確かに事実だけど、取得してない会社は想像を超えるレベルを行くので一定の役割は果たしてると思う。
取得してないところの例では、購入した機器にユーザ登録する時のパスワードも、クラウド上の会計システムにログインする
パスワードも、社内サーバのパスワードもNW機器のスーパーユーザのパスワードも全部同じで全社員が知ってるとかね。
ついでにメールの添付ファイルのzipパスワードまで同じ・・・相手が取引先とかでも。
一見すると経済産業省が出す「ガイドライン」を守ってるように見えるのに、第三者認証を受けないと最も重要な部分が
欠落するので、やっぱり第三者認証は必要だと思う。(認証通過の辻褄だけ合わせるって例を考慮してもね・・・)
Re: (スコア:0)
取得しててもそのぐらい余裕でやってますよ。
しかし監査ではしっかり規則を遵守してることになってます。
取得してない会社は、必要性や意味すら分かってないレベルだと思います。
Re: (スコア:0)
取得してない会社は、必要性や意味すら分かってないレベルだと思います。
CCCの悪口はやめて差し上げろ。
Re: (スコア:0)
そのあと独自認証に移行しただけで。
Re: (スコア:0)
あんま厳しすぎると取得を諦める企業が増えて結果的に全体のレベルが下がるから、ゆるふわ規格も啓蒙の効果はあると思う。
Re:ツッコミ所が多くない? (スコア:2)
Re: (スコア:0)
こういった個人情報保護の審査は、管理体制を審査するものであって、結果を担保するものではない
管理体制がしっかりしてるにもかからわず漏れた場合でも別に審査不備にはつながらない
管理体制がしっかりしてないが漏れなかったっていうのは審査不備
Re: (スコア:0)
いや、
・ソフトウェア的なデータ保護ソリューションなし
・サーバー室等に物理隔離されてない
・他部署の人間が出入りし持ち出せる場所
・ワイヤー等の施錠もない
・何千人単位の個人情報が格納されてる
・賃金データのようなセンシティブ情報
なんてものは、管理体制と呼べるモノがあれば存在できないよ
どれかひとつの要素ぐらいはあり得るけど、全部揃うのは管理漏れっていうレベルじゃない
Re: (スコア:0)
それ、どこかの区役所ですか?
Re: (スコア:0)
お役所とも仕事でお付き合いあるけどほんと大変そう。
Re: (スコア:0)
それでも絶対審査側は悪くないんです!
取材だからセーフ (スコア:2)
報道目的で取得したものなのでセーフ
ということにはならないだろうか
表現の自由 (スコア:1)
当該社員は何も悪いことをしていない。
当該表現の自由を守る勇者である。
全ての情報を公開すべき。
そんなんじゃ特定秘密保護法を批判できない。
結構このくらいできちゃうもんだよ (スコア:0)
それなりの大企業でもどこでも。できるけど良識があるからやらないだけ。
しかしわからんのは
「このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。」
ってとこ。ばれるのわかりながらやった一種の自爆なのか
Re:結構このくらいできちゃうもんだよ (スコア:2, すばらしい洞察)
自爆と言うより、社員の「賃金などのデータ」に関しては、サービス残業を告発するためにやった文字通りの「確信犯」じゃないですかね。
それであれば「この情報を公開」というのも分かりますし。(あえてそれを「賃金などのデータ」と発表したとか)
ざっとググったら去年6月に是正勧告をくらった話は出てきましたが、それ以降のニュースにはなってないようですが。
他の余計なデータをなんで持ち出したかよくわからないけど、単に社員の労務管理データの入ってるPCで日経の読者情報も管理していたのでHDDコピーで一緒に持ち出されたというオチかもしれない。
Re: (スコア:0)
人と前にいた会社の話をしていると話していいのって情報をくれるかなぁ、大ごとになるような人と付き合ってる時点で破滅だね
Re:結構このくらいできちゃうもんだよ (スコア:2, おもしろおかしい)
まったく意味がつかめない・・・
書きこみは暗号化しなくていいんですよ。
Re: (スコア:0)
すばらしい暗号化技術! わかったような気になるだけという。
Re: (スコア:0)
意識上に思い浮かんだ順番にそのまま文章にするとこういうことになるっていう実例かと
Re: (スコア:0)
自分の仕事や過去を自慢したい人は、職場の秘密情報を周りに構わずペラペラしゃべりだす。聞かれてるとは知らずに。
Re: (スコア:0)
「ら」が一個抜けてるだけっぽい。
Re: (スコア:0)
まったくもってその通りで職場も変なのだろうがこの社員もとんでもない奴だ。
日経に良い人材が来ないのか人事に人を見る目がないのか。
Re: (スコア:0)
人事部の人事とか人事部の給与って、どうなってんですかね。
不祥事起こした社員の採用担当者は給料下げられるとか、左遷されるとか?
Re: (スコア:0)
> 不祥事起こした社員の採用担当者は給料下げられるとか、左遷されるとか?
そんなことはしないから「ヒトゴト」部と呼ばれるわけで...
Re: (スコア:0)
マスゴミの人材なんてこんなもんでしょ。冗談抜きで。この間も共同通信記者が盗聴してたし。
Re: (スコア:0)
それなりの大企業はhdd暗号化してるからできないぞ。
大企業だと秘文とか必須じゃん。
中小は知らんけど。
Re: (スコア:0)
いやいや。。
実際働いてみろよ
まあこっちもサンプル数は2だけどな。資本金100億以上ならまあ大企業だろ
大体の企業でITや情報部署ってのは間接部門でありクズ扱いされてる
いうことなんか誰も聞かないよ
読者の信頼度がNo.1の新聞なのに! (スコア:0)
英国オックスフォード大学ロイター・ジャーナリズム研究所が毎年行なっている国際的なメディア調査レポートの最新版『Digital NEWS REPORT 2018』によると、日本の新聞で読者の信頼度が高いのは1位が日経新聞、2位地方紙…
https://www.news-postseven.com/archives/20180702_711172.html [news-postseven.com]
# 日経って「ただしソースは日経」と揶揄される程の新聞なのにw
Re: (スコア:0)
「ただしソースは日経w」とか言ってる人はだいたい購読していないから、「読者の」信頼度にはカウントされないんですよ、たぶん。
Re: (スコア:0)
世界日報とか聖教新聞とか「読者の」信頼度高そうですね。
後者は頼まれてとってる人も多いから、あくまで本当に読んでる人限定になりますが。
Re: (スコア:0)
http://www.digitalnewsreport.org/ [digitalnewsreport.org]
ざっとしかみてないけど、「BRAND TRUST SCORES (0-10)」って所の順位の話なのかな?
"Fuji TV news"とか"BuzzFeed Japan"とかもあるから新聞紙だけじゃないし、おそらくは新聞の正規の購読者からの統計ではないよね。
Re: (スコア:0)
100%虚偽の新聞は、100%真実の新聞と同等に信頼できますよ。
一番信頼できないのは、50%ずつ真実と虚偽を織り交ぜた新聞。
Re:読者の信頼度がNo.1の新聞なのに! (スコア:2, すばらしい洞察)
虚構新聞「100%嘘って難しいんですよ…」
Re:だからChromebookにしろと… (スコア:1)
どゆこと?
Chromebook好きは雑な話をしたがるってこと?
Re: (スコア:0)
というか、連合自体、隠蔽どころか散々モラハラやらかしてるからな。
Re: (スコア:0)
コストコ行くたびに誰も買わずに山になってるクロームブック買い取ってやれよ
Re: (スコア:0)
改行先生がコストコの会員証持ってるわけないだろ…会員制だってことも知らないから大丈夫か
Re: (スコア:0)
昨今では、あまり特定すると実世界で暴れかねないぞ
Re:だからChromebookにしろと… (スコア:1)
実世界の文章にも改行いれまくるのか……(違