JR北海道は13日、利用客の個人情報を含んだ使用済みのインクリボンが社外に流出していたと発表した。旭川支社の男性社員(56歳)が、乗車券や定期券などの印刷に使用した熱転写型インクリボン3本を社内から持ち出してYahoo!オークションに出品、落札されていた。リボンはすべて回収されている。
同社によると、6日に顧客からネット上で同リボンが取引されているとの連絡を受け調査したところ、リボンがオークションへ出品されていたことを確認。同一人物が出品していた別の商品を落札した結果、出品者がこの男性社員であることがわかった。リボンは稚内駅で使用した2本、幌延駅で使用した1本の計3本で、2月から3月にかけて3度に分けて出品され、3本とも同じ人が落札。同社はリボンを3000円で買い戻した。男性社員はリボンのほかにも、乗降位置案内札など複数の物品を社内から無断で持ち出して出品していた。
インクリボンは乗車券販売端末で切符の券面を印刷する際に使用するもので、リボンに塗布したインクを券面に転写する仕組みであるため、使用済みのリボンには券面と同じ内容の痕跡が残る。乗車券や特急券など個人情報を含んでいない切符の印刷が大半を占めるが、クレジットカード控え、定期券、航空券、宿泊券などを印刷した場合は、氏名、年齢、性別や、カード番号と有効期限といった情報が残る。男性社員はオークションに出品の際、商品説明欄に「印字の跡がくっきり残っています」なとど記載していた。
同社では使用済みインクリボンを鍵付きの保管庫で3か月保管した後、本社へ送付して業者に渡して溶解処理することにしている。しかし稚内駅と幌延駅で誤って廃棄書類とともにリボンを回収業者へ引き渡したため、紙類の溶解処理を行う業者からリボンが戻され、これを回収業者が旭川駅構内の廃棄物保管庫に収容、男性社員が持ち出した。同社は今後、リボンには通し番号をつけて管理し、現場と本社の両方で数量確認を行って溶解業者へ引き渡すとしている。
(2009/04/13 ネットセキュリティニュース)
■個人情報を含んだ「熱転写型インクリボン」の流出について[PDF](JR北海道)
http://www.jrhokkaido.co.jp/press/2009/090413-1.pdf