元従業員による情報の持ち出しについて
このたび、弊社の元従業員が、弊社が提供する「MakeShop」サービスを利用してネットショップを開設しているお客様(以下「店舗様」といいます)の情報を含む32,800件および営業関連データ(サービス販売代理店の管理業務に関連するデータ)を無断で社外に持ち出していたことが判明いたしました。
このような事態を起こし、店舗様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
弊社は今回の事態を厳粛に受け止め、関係者の処分を行う予定です。また再発防止に努め、店舗様の信頼を回復できるよう、全社を挙げて取り組んでまいります。
■事態発覚の経緯と対応
弊社退職後、元従業員が個人で業務を請け負っていた会社(以下「A社」といいます)関係者から、元従業員が弊社で知り得たお客様情報および営業関連データ(以下「お客様情報など」といいます)を持ち込んでいる可能性があるとの通報を受けました。直ちに調査を行ったところ、元従業員はお客様情報などを自らが保有する外部記録媒体(HDD)に記録し、元従業員がA社から貸与を受けていたノートパソコン(以下「A社ノートパソコン」といいます)に保存していたことが判明いたしました。弊社は、A社よりお客様情報などが保存されていたA社ノートパソコンの貸与を受け、お客様情報などを確認し、その場で削除いたしました。また、元従業員が持ち出しに使用したHDDは、現在弊社にて管理しております。
■持ち出されたお客様情報などの内容と件数
総件数:32,800件
①店舗様の運営者情報 28,001件(ショップID、企業名、住所、電話番号、運営者名、メールアドレス)
うち、13,495件の店舗様で、売上に関する情報(ショップID、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数)が持ち出されていました。
②弊社代理店様の担当者情報 4,579件(企業名、住所、電話番号、担当者名)
③弊社主催のセミナー参加者情報 220件(企業名、住所、電話番号、氏名)
※クレジットカード情報は弊社では一切保有しておりません。
※当該元従業員は、店舗様の購入者に関する情報(購入者の個人情報、購買履歴およびその他の購入者を容易に特定し得る情報)にアクセスする権限は持っておりませんでしたので、これらの情報は持ち出されておりません。
※本件数は、A社ノートパソコンに残されていたファイルと元社員への事情聴取を元に記載しておりますが、後述いたしますHDDのフォレンジック調査の結果によって変動する可能性もあります。変動がある場合は、改めて速やかにご報告させていただきます。
■本件に関し弊社が実施した調査及び対応の概要
平成28年12月26日:
A社の関係者から通報を受けて事実関係の調査を開始。
平成28年12月27日:
通報してきたA社を訪問。A社ノートパソコンを確認したところ、ファイル名、データの構造および内容から、弊社お客様情報などが保存されている可能性が高いこと認識。詳細な調査のため、A社にA社ノートパソコンの貸与を依頼。
平成28年12月28日:
元従業員と面会し事情聴取。弊社退職以前に無断でHDDにお客様情報などを保存していたこと、既にHDDの情報は削除していること、当該情報は電子メール及びインターネット上でやりとりしたことはないこと、並びにA社と元従業員との業務委託契約が近々終了すると説明を受ける。その際に、元従業員から持出データの不使用及び拡散禁止の誓約書を取得。
平成29年1月4日:
A社よりA社ノートパソコンの貸与を受け、持ち出されたお客様情報などの精査を開始。
平成29年1月10日:
元従業員と面会し二度目の事情聴取を行う。A社の業務委託契約が終了し、現在新たに就業している会社(以下「B社」といいます)のノートパソコン(以下「B社ノートパソコン」といいます)には、自らが持ち出したデータが保存されていないと述べる。その際に、元従業員の利用するオンラインストレージサービスの内容を確認。
さらに、元従業員宅を訪問し、情報を持ち出したHDD以外に自宅にて所有する電磁的記録媒体には、お客様情報などが保存されていないことを確認し、元従業員から誓約書を取得。
平成29年1月18日
A社ノートパソコンに保存されていたお客様情報などを削除。
平成29年1月23日
A社を訪問し、A社が管理または所有する媒体にお客様情報などが保存されていないことを確認。
平成29年1月24日~2月2日
原因の究明、情報が拡散していないことの確認、再発防止策の検討、専門家への相談などを実施。
平成29年2月3日:
渋谷警察署に今回の事件について相談を開始。元従業員にお客様情報などの持ち出しに使用したHDDの提出を要請。
平成29年2月6日:
外部専門機関に依頼し、HDDのフォレンジック調査を開始。
■再発防止策について
弊社では事態を厳粛に受け止め、従業員教育の徹底、より一層の個人情報の管理の強化、個人情報マネジメントシステム運用の見直しなど、以下の通りセキュリティ強化を図り、信頼の回復に努めてまいります。
1.技術的安全管理措置(平成29年4月までに実施)
社内のすべてのパソコンにおけるファイル操作、ウェブアクセスなどの監視を可能とし、外部記録媒体を接続不可能とする不正対策ソフトを導入いたします。
2.人的安全管理措置
全従業員を対象に臨時で2月末までに「社内コンプライアンス研修」と「情報セキュリティ研修」とを実施いたします。以降、「個人情報保護教育」に加え、上記2つの研修を毎年実施し、全従業員の個人情報保護および情報セキュリティに対する更なる意識レベルの向上を図ります。
3.組織的安全管理措置
情報セキュリティ支援を専門とする第三者機関に支援を依頼して、弊社の個人情報保護関連規程の改善・整備等について見直しを行い、組織として更なるガバナンス強化に努めます。
4.物理的安全管理措置
私物の携帯端末および外部記録媒体の執務区画への持ち込みを例外なく禁止し、所定の場所で集中管理する方法に変更いたしました。また、重要な情報を取り扱う場合、専用区画に独立した端末を設け、複数台の防犯カメラにて監視いたします。
5.その他
今後、原因究明の進捗や第三者機関による指摘に応じて、随時、必要な施策を追加してまいります。
■お客様への対応
・持ち出されたお客様情報に個人情報が含まれているお客様には、個別にメールでご連絡を差し上げております。(件名:元従業員による情報の持ち出しについて)
・本件専用のフリーダイヤルを設け、お客様からのお問い合わせをお受けしております。
■関係者に対する処分
外部の第三者を加えた懲罰委員会を組織し、懲罰委員会の決定に基づいて処分を行う予定です。
このような事態を未然に防げなかったことは、誠に申し訳なくお詫びの言葉もございません。弊社は今回の事態を厳粛に受け止め、再発防止に努めると共に店舗様の信頼を回復するため、全社を挙げて取り組んでまいります。
改めまして、店舗様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、衷心よりお詫び申し上げます。
このような事態を起こし、店舗様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
弊社は今回の事態を厳粛に受け止め、関係者の処分を行う予定です。また再発防止に努め、店舗様の信頼を回復できるよう、全社を挙げて取り組んでまいります。
■事態発覚の経緯と対応
弊社退職後、元従業員が個人で業務を請け負っていた会社(以下「A社」といいます)関係者から、元従業員が弊社で知り得たお客様情報および営業関連データ(以下「お客様情報など」といいます)を持ち込んでいる可能性があるとの通報を受けました。直ちに調査を行ったところ、元従業員はお客様情報などを自らが保有する外部記録媒体(HDD)に記録し、元従業員がA社から貸与を受けていたノートパソコン(以下「A社ノートパソコン」といいます)に保存していたことが判明いたしました。弊社は、A社よりお客様情報などが保存されていたA社ノートパソコンの貸与を受け、お客様情報などを確認し、その場で削除いたしました。また、元従業員が持ち出しに使用したHDDは、現在弊社にて管理しております。
■持ち出されたお客様情報などの内容と件数
総件数:32,800件
①店舗様の運営者情報 28,001件(ショップID、企業名、住所、電話番号、運営者名、メールアドレス)
うち、13,495件の店舗様で、売上に関する情報(ショップID、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数)が持ち出されていました。
②弊社代理店様の担当者情報 4,579件(企業名、住所、電話番号、担当者名)
③弊社主催のセミナー参加者情報 220件(企業名、住所、電話番号、氏名)
※クレジットカード情報は弊社では一切保有しておりません。
※当該元従業員は、店舗様の購入者に関する情報(購入者の個人情報、購買履歴およびその他の購入者を容易に特定し得る情報)にアクセスする権限は持っておりませんでしたので、これらの情報は持ち出されておりません。
※本件数は、A社ノートパソコンに残されていたファイルと元社員への事情聴取を元に記載しておりますが、後述いたしますHDDのフォレンジック調査の結果によって変動する可能性もあります。変動がある場合は、改めて速やかにご報告させていただきます。
■本件に関し弊社が実施した調査及び対応の概要
平成28年12月26日:
A社の関係者から通報を受けて事実関係の調査を開始。
平成28年12月27日:
通報してきたA社を訪問。A社ノートパソコンを確認したところ、ファイル名、データの構造および内容から、弊社お客様情報などが保存されている可能性が高いこと認識。詳細な調査のため、A社にA社ノートパソコンの貸与を依頼。
平成28年12月28日:
元従業員と面会し事情聴取。弊社退職以前に無断でHDDにお客様情報などを保存していたこと、既にHDDの情報は削除していること、当該情報は電子メール及びインターネット上でやりとりしたことはないこと、並びにA社と元従業員との業務委託契約が近々終了すると説明を受ける。その際に、元従業員から持出データの不使用及び拡散禁止の誓約書を取得。
平成29年1月4日:
A社よりA社ノートパソコンの貸与を受け、持ち出されたお客様情報などの精査を開始。
平成29年1月10日:
元従業員と面会し二度目の事情聴取を行う。A社の業務委託契約が終了し、現在新たに就業している会社(以下「B社」といいます)のノートパソコン(以下「B社ノートパソコン」といいます)には、自らが持ち出したデータが保存されていないと述べる。その際に、元従業員の利用するオンラインストレージサービスの内容を確認。
さらに、元従業員宅を訪問し、情報を持ち出したHDD以外に自宅にて所有する電磁的記録媒体には、お客様情報などが保存されていないことを確認し、元従業員から誓約書を取得。
平成29年1月18日
A社ノートパソコンに保存されていたお客様情報などを削除。
平成29年1月23日
A社を訪問し、A社が管理または所有する媒体にお客様情報などが保存されていないことを確認。
平成29年1月24日~2月2日
原因の究明、情報が拡散していないことの確認、再発防止策の検討、専門家への相談などを実施。
平成29年2月3日:
渋谷警察署に今回の事件について相談を開始。元従業員にお客様情報などの持ち出しに使用したHDDの提出を要請。
平成29年2月6日:
外部専門機関に依頼し、HDDのフォレンジック調査を開始。
■再発防止策について
弊社では事態を厳粛に受け止め、従業員教育の徹底、より一層の個人情報の管理の強化、個人情報マネジメントシステム運用の見直しなど、以下の通りセキュリティ強化を図り、信頼の回復に努めてまいります。
1.技術的安全管理措置(平成29年4月までに実施)
社内のすべてのパソコンにおけるファイル操作、ウェブアクセスなどの監視を可能とし、外部記録媒体を接続不可能とする不正対策ソフトを導入いたします。
2.人的安全管理措置
全従業員を対象に臨時で2月末までに「社内コンプライアンス研修」と「情報セキュリティ研修」とを実施いたします。以降、「個人情報保護教育」に加え、上記2つの研修を毎年実施し、全従業員の個人情報保護および情報セキュリティに対する更なる意識レベルの向上を図ります。
3.組織的安全管理措置
情報セキュリティ支援を専門とする第三者機関に支援を依頼して、弊社の個人情報保護関連規程の改善・整備等について見直しを行い、組織として更なるガバナンス強化に努めます。
4.物理的安全管理措置
私物の携帯端末および外部記録媒体の執務区画への持ち込みを例外なく禁止し、所定の場所で集中管理する方法に変更いたしました。また、重要な情報を取り扱う場合、専用区画に独立した端末を設け、複数台の防犯カメラにて監視いたします。
5.その他
今後、原因究明の進捗や第三者機関による指摘に応じて、随時、必要な施策を追加してまいります。
■お客様への対応
・持ち出されたお客様情報に個人情報が含まれているお客様には、個別にメールでご連絡を差し上げております。(件名:元従業員による情報の持ち出しについて)
・本件専用のフリーダイヤルを設け、お客様からのお問い合わせをお受けしております。
■関係者に対する処分
外部の第三者を加えた懲罰委員会を組織し、懲罰委員会の決定に基づいて処分を行う予定です。
このような事態を未然に防げなかったことは、誠に申し訳なくお詫びの言葉もございません。弊社は今回の事態を厳粛に受け止め、再発防止に努めると共に店舗様の信頼を回復するため、全社を挙げて取り組んでまいります。
改めまして、店舗様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、衷心よりお詫び申し上げます。
