村田製作所は8月5日、外部委託先企業(日本アイ・ビー・エム)の再委託先(中国法人IBM Dalian Global Delivery/以下、再委託先)社員による情報の不正持出を、7月20日に確認したと発表した。
再委託先の社員は、村田製作所の取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしていたと云う。
村田製作所は、持ち出された情報について、委託先から、再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認めらないとの報告のほか、外部クラウドサービス事業者からも、情報が第三者がコピー・ダウンロードされた事実はないとの報告を受けているが、データ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、今回の発表に至ったとしている。
<発生した事案概要>
村田製作所の会計システム更新プロジェクトに関わる再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされ、中国国内のクラウドストレージサービスの個人アカウントへアップロードされたことを、7月20日に確認した。
なお、アップロードされたデータは、既に業務用パソコンおよび、外部クラウドストレージサービスから削除済。また、同件に関してウィルス感染やサイバー攻撃などは確認されていない。
<対象範囲>
不正に持ち出された情報には、以下72,460件の情報が含まれていた。情報については対象国ごとに異なる。
・ 取引先情報:30,555件(※1)(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)
・ 村田製作所の従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)
※1)取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU。但し、顧客情報の対象となる国は中国、フィリピンのみ。
※2)村田製作所の従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU。
[経緯]
・ 6月28日:再委託先(中国法人IBM Dalian Global Delivery)の社員がプロジェクト管理データを業務用パソコンにダウンロード。
・ 6月30日:再委託先(中国法人IBM Dalian Global Delivery)の社内監視システムによりセキュリティアラートを検知。
・ 7月4日:調査の結果、再委託先(中国法人IBM Dalian Global Delivery)の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。
・ 7月8日:再委託先(中国法人IBM Dalian Global Delivery)の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先(中国法人IBM Dalian Global Delivery)の監視のもと、アップロードされたデータを削除。
・ 7月20日:外部委託先企業(日本アイ・ビー・エム)から村田製作所へ報告。
・ 8月3日:外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。
・ 8月5日:外部委託先企業(日本アイ・ビー・エム)から順次開示される解析データに基づき提供された情報の内容を村田製作所側でも分析・検証し、影響のある範囲の特定やリスクを確認。プレスリリースを実施。
村田製作所グループは、今回の事案発生を厳粛に受けとめ、再び発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図っていくとしている。