大日本印刷は12日、業務委託先の元社員によって同社顧客の個人情報が不正に持ち出されていた事件で、その総数を公表した。同社によると、流出が確認された個人情報は8,637,405件にのぼり、取引先の43社の個人情報が不正に持ち出され、中にはクレジットカード情報などの信用情報を含むものも存在するという。この事態を受け、同社は事件の経緯と再発防止策を発表している。

経緯 - 業務委託先社員の内部犯行

業務委託先の元社員は、2001年5月から2006年3月にかけて、主に販促用ダイレクトメール(DM)を取り扱う大日本印刷の電算処理室に勤務しており、データを記憶媒体に書き出し、密かに持ち出していた疑いがもたれている。

2006年7月31日、ジャックスのJACCSカード会員の個人情報を悪用したインターネット通販詐欺事件が発生。捜査当局から極秘裏に捜査協力の要請を受けた大日本印刷は、社内に調査委員会を設置、調査を開始したという。2007年2月1日、容疑者は詐欺幇助の疑いで逮捕された。

捜査当局のその後の調べによると、容疑者はJACCSカード会員情報15万件を自宅に持ち出し、その一部を詐欺グループに売却したという。売却の時期は「不明」(大日本印刷)。ジャックスではそれまでに、49会員に6672,989円の被害が発生したとしている。大日本印刷は本事案を2月20日に公表していた。

また、容疑者は2月21日に窃盗の疑いで再逮捕されており、「捜査当局によると詐欺グループの者も逮捕されたと聞いている」(大日本印刷)という。同社では「(持ち出した)容疑者は(個人情報を)売り渡しただけであり、詐欺グループの一味ではなかったと(捜査当局から)聞いている」としている。

大日本印刷は「全容を解明する必要がある」と考え、捜査当局に押収データの貸し出しを要請。2月26日までに、容疑者の自宅からの押収物のうち、全個人情報のコピーを受領した。続いて同社は個人情報の分析・調査を開始する。

3月1日以降は調査結果をもとに、情報の持ち出しが推定される全ての顧客について、押収物に含まれているデータが確かに顧客のものであるかの確認を依頼。11日までに顧客の確認が完了し、本日の発表となった。

情報管理体制を強化するも、内部者の不正を防げず

同社によると、不正に持ち出されていた時期は2001～2004年に集中しており、その件数は全件数中の92%となる7,976,790件。「なお、容疑者によって持ち出されたデータは、捜査の過程ですべて押収されている」(同社)という。

同社はこれまで、委託先との個人情報に関わる契約の締結、東京都新宿区榎町の電算処理室におけるプライバシーマークの取得、電算処理室への監視カメラ設置、電算処理室での生体認証による入退室管理、データなどの持ち出し防止を目的とするポケットのない作業服の着用、アクセスログの取得などを実施し、情報管理体制の強化を実施してきたという。

同社は「今回のような、悪意を持った内部者による不正な記憶媒体へのデータ書き出し行為を防止する上で、結果として管理に不十分な面がありました」と原因を分析している。

今後は、(1)データ記憶媒体取扱者の極少化と社員限定、(2)記憶媒体への書き出し場所の分離、(3)再発防止策の徹底、教育、以上3点を中心に、管理体制強化に取り組む。

下記に本事案に関わる同社の取引先企業のうち、現在判明している企業名と流出件数をまとめた。

ジャックス以外の企業で発生した被害について、同社は「捜査当局によると、ないとのこと」としている。