ロッキング・オン・ジャパン(ROCK IN JAPAN FESTIVALやJAPAN JAMなどの大型音楽フェスティバルを主催)は5月11日、元従業員が、取引先の個人情報約1000人分をUSBメモリにコピーして社外に持ち出していたと発表した。
退職日に行われたデータ持ち出し
元従業員は3月末に退職予定で、最終出勤日だった3月19日、クラウドサービスから業務に関係ないファイルを大量にダウンロードし、個人所有のUSBメモリにコピーして持ち帰っていたという。フェス参加者など一般ユーザーの情報は含まれておらず、情報が二次利用された形跡もないと説明している。
持ち出された情報の内容
持ち出された情報は、取引先の氏名、業務先企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所など約1000人分。
3月19日夜、元従業員の最終出勤日に、業務用アカウントを付与していたクラウドサービスから、業務上必要のないはずの多数のファイルをダウンロードし、それらのファイルを個人所有の外部デバイスにコピーしていたことを示す操作履歴を検知した。
発覚から対応まで
営業日である3月23日に外部のセキュリティ専門機関と相談弁護士の助言を受け、貸与PCの操作ログを検証したところ、取引先に関する個人情報が含まれたファイルをダウンロードしたと思しき動作を確認した。
3月26日に元従業員と面談したところ、業務上の必要性がないファイルを複数ダウンロードし、個人所有のUSBメモリにコピーして持ち帰っていた事実を認め、USBメモリの提出を受けた。内容を解読して対象データの保存を確認するため回収し、同日中に個人情報保護委員会にも報告した。
二次被害の可能性
二次被害については、元従業員から個人情報を使用していないこと、第三者に渡していないこと、今後そうした行為を行わないことなどの誓約書を受領した。USBメモリのログ検証でも外部への持ち出しを示す形跡は確認されず、「二次被害の可能性は限りなく低い」と説明している。
再発防止策
再発防止策として、業務データへのアクセス権限の厳格化、外部デバイスへのデータ持ち出し制限の強化、ログ監視体制の強化と早期検知の仕組み整備、全従業員への情報セキュリティ教育の再徹底を挙げている。
