神奈川県立高校の2006年度の全生徒約11万人の個人情報がファイル共有ソフトのWinny(ウィニー)を介して流出した問題で、警視庁生活経済課などは29日、流出ファイルの一部をファイル共有ソフトShare(シェア)に再放流した東京都八王子市の無職の男(50歳)を、著作権法違反の疑いで逮捕した。
調べによると、男は昨年11月、日本IBMの著作物などを含むファイルをShareネットワーク上に公開し、同社の権利を侵害した疑い。男は容疑を否認しているという。流出から1年、意外な展開を迎えた全県立高生の個人情報流出問題だが、改めて経緯をまとめておく。
●日本IBMからWinnyを介して流出した経緯
流出した個人情報は、県が日本IBM(東京都港区)に開発を委託した授業料徴収システムに関連したもの。開発は2006年3月に終え、同社は県に対し、使用したデータをすべて消去したと報告していた。ところが、同社は作業を孫請け会社に無断で委託。この孫請け会社の社員のパソコンにデータが残っており、昨年6月ごろにウイルスに感染し、保存されていたデータがWinnyを介して流出した。
9月に入り、ネット掲示板に当該データの流出を示唆した書き込みがなされ、9月12日には、流出情報と名前を隠した数十人分のデータを含む画像のURLが書き込まれた。同日、県教委は匿名のFAXで事態を把握し、15日に日本IBMに調査を指示。委託先社員のパソコンの中に当該データが残存し、ウイルスに感染していたことが判明した。
この時点では、Winnyネットワーク上では流出情報は確認できず、不明確な段階での発表はかえって二次災害を招くおそれがあることから発表はせず、同社に引き続き24時間体制で調査するよう指示していた。
●容疑者が取得した流出ファイルをShareで公開
その後の調査でも、Winnyネットワーク上からは流出情報は見つからず、県は11月11日に約11万人分の個人情報が流出したおそれがあると発表。相談窓口を開設するとともに、引き続きネット上の監視を行った。
県の発表と前後して、容疑者はWinnyネットワーク上で取得していた流出ファイルの一部を別のファイル共有ソフトShareで公開。
容疑者が公開した流出ファイルVol.8には、同社の著作物「Javaコーディング・設計の落とし穴」などと、約2000名分の個人情報も含まれており、11月13日、県と日本IBMはShareネットワーク上で流出情報が確認されたと発表した。
●発信者情報開示が難航、仮処分申請から逮捕まで
日本IBMはその後も追跡調査を行い、Shareで再放流した者を特定。プロバイダを通じて、情報の削除と発信者情報の開示を要請したが受け入れられず、今年2月9日に当該プロバイダを相手どり、東京地裁に発信者情報開示の仮処分を申し立て、2月26日に開示命令が下される。3月5日には、開示された発信者を相手どり情報の再発信禁止の仮処分を東京地裁に申し立て、翌6日に認められた。同社は6月、警視庁に告訴し今回の逮捕となった。
神奈川県立高校の情報流出をめぐっては、今年1月にはWinnyネットワーク上で流出ファイルが、一時再取得できる状態になっており、約11万人分の流出が確認されている。
(2009/07/31 ネットセキュリティニュース)
■弊社著作物を侵害した容疑者の逮捕について(日本IBM)
http://www.ibm.com/jp/news/2009/07/3001.html
■個人情報流出に関するお詫びとこれまでのお知らせについて(日本IBM)
http://www.ibm.com/jp/news/apology.html