村田製作所は、外部委託先企業(委託先:日本アイ・ビー・エム)の再委託先(中国法人IBM Dalian Global Delivery)社員が同社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを7月20日に確認したことを発表した。
委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実や、その情報が悪用された事実は認められていない。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けているが、データ対象範囲の広さと取引先情報および個人情報が含まれているという事実を鑑み、本件の発表に至ったという。
同社は、「お客様をはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます」とコメントしている。
本件の概要
同社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロード。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認された。アップロードされたデータは既に業務用パソコンおよび、外部クラウドストレージサービスから削除されているという。なお、本件に関してウィルス感染やサイバー攻撃などは確認されていないとしている。
経緯
- 6月28日 再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード
- 6月30日 再委託先の社内監視システムによりセキュリティアラートを検知
- 7月4日 調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認
- 7月8日 再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除
- 7月20日 外部委託先企業から当社へ報告
- 8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認
- 8月5日 外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施
対象範囲
以下72,460件の情報が含まれていた。情報については対象国ごとに異なるという。
- 取引先情報:30,555件※1(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)
- 当社従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)
※1 取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU。ただし、顧客情報の対象となる国は中国、フィリピンのみとなる。
※2 同社従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU。
同社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図っていくとしている。
【関連記事】
・インシデントの主要因はデジタルアイデンティティに【SailPoint調査】
・法人の約4割がセキュリティ重大被害を経験――トレンドマイクロが2019年版実態調査を発表
・攻撃トラフィックは前年比32%増、企業側のインシデント検出はより困難に――エフセキュアが最新の脅威リサーチ発表