Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

日新火災社員の不正個人情報漏えい事件

12月22日の日経新聞日新火災の社員が顧客情報を不正漏えい(内部犯罪)していた記事が載っていました。この件について少しつぶやいてみます。

 

www.nikkei.com

■公式発表 お客さま情報の漏えいについてのお詫びとご説明

 

インシデントタイムライン

日時 出来事
2017年1月~8月 男性社員が複数回、鹿児島県の建築会社の従業員に契約者情報を書類で渡す
2017年11月1日 社外から「社員が個人情報漏えいを行っている」と通報を受ける
  (社内調査)
2017年12月13日 男性社員が個人情報漏えいの事実を認める
2017年12月22日 事件を公表
事件の状況
  • 社員(50代男性)が契約者の了解を取らずに第三者(鹿児島県の建築関連会社の従業員)に書類で渡した
  • 漏えいした個人情報 
    • 火災保険の満期を迎えた契約者情報 最大905契約分

対策

  • 905件の契約者に対しては郵送で謝罪
  • 個人情報の管理について社員にさらなる周知徹底(教育・啓蒙)

◆キタきつねの所感

何のために個人情報を欲しがったのか、火災保険満期情報を建築関連会社がどう使うのかが・・・実は想像つきません。建築関連会社が火災保険の(別)代理店登録をしていれば、その情報を使って火災保険の新規契約の成約率を狙ったくらいでしょうか。。。

内部犯行事件としては、そう珍しい手口という訳でない気がします。この事件が何故発覚したかと考えると、やはり個人情報保護法の影響ではないかと思います。数年前まででしたら、この事件は公表されずに内々に処理されていた・・そんな気がします。

漏えいした書類の形態が分かりませんが、契約書のコピーという嵩張るものではなく、社内で作成した契約者リスト(Excelリスト等々)を不正に渡したのだろうと推測します。営業用でも使うものであれば、そのリストのコピーがどう使われるか、、までは技術的な対策を講じるのは難しいかと思いますので、社員教育、、と当該社員に対する民事訴訟(見せしめ)程度しか有効な策はないかも知れませんね。

 

 保険の代理店のイラスト

 

更新履歴

  • 2017年12月23日AM (予約投稿)