ファイル共有ソフトWinny(ウィニー)を介した情報流出が3件、明らかとなった。北海道電気保安協会からは顧客情報含む業務資料1,219件が、ネット広告大手のオーバーチュアからは顧客情報2万8,000件が、大牟田市役所からは電話番号簿等が流出した。いずれも業務従事者の自宅私有パソコンからの流出である。
■ 北海道電気保安協会、職員の自宅PCから顧客情報含む業務資料1,219件流出
北海道電気保安協会(札幌市中央区)は20日、同協会の顧客情報を含む業務資料1,219件がインターネット上に流出したと発表した。
発表によると、同協会職員が就業後に業務情報を持ち出して帰宅し、個人用パソコンを使って業務を行った。当該パソコンにはWinnyがインストールされておりウイルスに感染していたために情報が流出。流出が判明したのは19日で、判明後ただちに当該パソコンをネットワークから切り離した。流出した顧客情報は試験業務情報や見積書等1,219ファイルが確認されており、他に流出がないかさらに調査を続けるという。
同協会は個人パソコンによる業務情報利用の禁止措置などの流出防止策を講じてきたが、今回の事態を反省し、再発防止に取組む。また、該当顧客を訪問してお詫びをするとしている。
・「お客さま情報のインターネット上への流出について」[PDF](北海道電気保安協会)
http://www.snowman.ne.jp/hochan/oshirase/oshirase/20071119_jouhou_rouei.pdf
■オーバーチュア、顧客情報2万8,000件流出~非公開に波紋広がる
ヤフーの100%子会社でインターネット広告大手のオーバーチュア(本社:東京都港区)が、顧客情報約2万8,000件をWinnyを介して流出させていたことが17日、毎日新聞の記事で明らかになった。同社は被害拡大を防ぐためとして漏えい内容の公表を控えているが、ネットニュースやブログでは非公開に対する疑問の声が上がるなど波紋を広げている。
上記記事などによると、流出したのは同社の顧客である広告主の会社住所、電話番号、担当者氏名、メールアドレスなど約2万8,000件。同社の元契約社員が自宅パソコンでこれら顧客リストの作成作業を行い、同パソコンがWinnyのウイルスに感染したために流出したという。同社と親会社のヤフーは9月には流出事実を把握していたが、上記理由により流出事実を公表していなかった。被害顧客へは、毎日新聞報道の数日後にメール連絡があったことがネットで報告されている。
同社が非公開の根拠としているとされる情報処理推進機構(IPA)の「情報漏えい発生時の対応ポイント集」には、「事件の公表がWinny/Share のダウンロードを誘発する恐れがある場合は、しばらくの間公表を控えるという考え方もあります」と書かれている。「しばらくの間公表を控える」ことが、被害者本人に連絡をしないことの理由になるかどうかは見解が分かれそうだ。同ポイント集では、情報漏えいによる直接的・間接的被害を最小限に抑えるために「漏えい情報に個人情報が含まれる場合には本人に通知し謝罪する」「必要に応じて監督官庁に報告する」「Web 等で経緯を公表する」という3つの対応を、基本として勧めている。
・オーバーチュア
http://www.overture.co.jp/
・情報漏えい発生時の対応ポイント集(IPA)
http://www.ipa.go.jp/security/awareness/johorouei/
■ 福岡県大牟田市、職員の自宅PCから市役所の電話番号簿など流出
大牟田市は16日、職員の自宅パソコンより情報漏えいが発生したと発表した。漏えい情報には、市民の個人情報など業務に関係する重要情報は含まれていないことが確認されている。
発表によると、15日に総務省から福岡県を通じて、Winnyのウイルスにより大牟田市に関する情報が漏えいしているとの電話連絡があった。ただちに関与していると思われる職員から事情聴取を行った結果、同職員の自宅パソコンに家族がWinnyをインストールしてウイルスに感染、保存してあったデータが流出した可能性が高いことがわかった。パソコン内のデータは、市に関するものは本人の名刺および同市役所の電話番号簿(2002年当時)のみで、業務に関した個人情報等は含まれていない。
同市は今後、このような事態が発生しないよう、個人所有のパソコンについてもファイル交換ソフト等を禁止するなど、セキュリティ対策の周知徹底を行うとしている。
・大牟田市
http://www.city.omuta.fukuoka.jp/
(2007/11/22 ネットセキュリティニュース)