65万件の情報漏えい東建コーポ事例に学ぶ危機管理と弁護士の役割

2005年4月1日に個人情報保護法が全面施行され、個人情報を取り扱う事業者は安全管理措置義務を講じているのですが個人情報の漏洩事件は後を絶ちません。

情報漏洩インシデントが発生した場合に特に重要となるのはその対処手順とスピードです。特に情報セキュリティ専門のスタッフがいない中小企業では、どのように対応すべきかすぐに判断できないケースも考えられます。

そこで、今回は東建コーポレーションの情報漏洩事件における同社の対応を基に、情報漏洩における危機管理体制を解説します。

情報漏洩の概要

東建コーポレーションに発生した、不正アクセスによる情報漏洩に関する主な内容は次の通りです。

• 発生：2020年8月20日から9月12日にかけての24日間
• 発覚：2020年10月20日
• 原因：グループのホームページから、各種ユーザーの情報を保管していたサーバーに第三者による不正アクセスを受けたことが原因
• 対象：グループ会社のサイトへの問合者、会員、各種キャンペーンへの応募者
• 情報：「メールアドレス」「氏名」「住所」「電話番号」「パスワード」「性別」「生年月日」等
• 件数：情報漏洩の可能性があるのは計657,096 件の個人情報

不正アクセスの発覚と初動対応

2020年10月20日、東建コーポレーションがWebサイトの定期検査を行っている際に自社の運営サイト「ナスラックKitchen」への不正アクセスを発見し、次の初動対応を講じました。

• 緊急セキュリティ対応として「ナスラック Kitchen」を閉鎖、同サイトからのサービス提供等も停止。
• 「情報セキュリティ対策本部」を設置し外部の第三者機関へ相談。
• 11月11日までかけてグループ全体のwebサイトを調査し、暫定的な脆弱性の修正対応を図るとともに、最大漏洩件数・項目を確定。

初動対応のポイント

不正アクセスによる情報漏洩の危険性が確認された場合は、直ちに次の対応を実施し被害の拡大、二次被害の発生、再発を防止しなければなりません。

• 事実関係の確認(不正アクセスの原因、経路など)
• 不正アクセスを受けた機器やサイトの停止
• 不正アクセスを受けた機器やサイトのネットワークからの切り離し

この際に注意しなければならないのは、不用意な操作をせずシステム上に残された証拠を消さないよう証拠保全の措置を講じることです。

情報漏洩発覚後のプレスリリース

最初の公表は2020年11月17日に東建コーポレーションのホームページ上で行われました。

公表内容は不正アクセスの概要や今後の対策などの他に、「不正アクセスによる情報漏洩事件に関するQ&A」という形で必要とされる情報がかなり細かく記載されたものでした。

東建コーポレーション株式会社ならびに弊社グループ会社(以下、弊社グループ)は、弊社グループのネットワークが第三者による不正アクセスを受け、弊社グループが運営するホームメイトへのお問合せ、グループ会社の会員情報や各種キャンペーンへの応募者情報などの個人情報が外部に流出した可能性があることを2020年10月20日に確認致しました。

不正アクセスによる個人情報の流出について

上記のwebページにリンクされた、「不正アクセスによる情報漏洩事件に関するQ&A」では次のような内容が盛り込まれています。

漏洩情報の内容について

Q 今回漏洩した情報は何ですか?
A 弊社が運営するグループ会社を含む全サイトにおいて、「名前」、「住所」、「電話番号」、「メールアドレス」、及び「パスワード」が漏洩したと考えられます。

Q クレジットカードの情報は、漏洩しましたか?
A グループ会社を含む弊社が運営しているサイトでは、クレジットカードのカード番号やマイナンバーなど個人識別番号のような情報は一切保持しておりませんので、漏洩の恐れはございません。

漏洩情報に関する説明では、①漏洩可能性のある情報と②漏洩の恐れがない情報に分けて具体的に明記することで、不要な不安・混乱を回避することができます。

今後の対策について

Q 東建のグループ会社を含めたサイトを、今後も利用し続けて大丈夫ですか?
A グループ会社を含む弊社が運営する全サイトについて、現在、同様の不正アクセスに対するセキュリティ強化は完了しております。

Q 今後はどのような情報管理をされる予定ですか?
A今後は、必要に応じて第三者の調査機関によるチェックを受けると共に、万が一サイトに脆弱性などが見つかった場合は直ちに是正し、より厳格な情報管理に努めて参ります。

今後の対策では、ユーザーが利用していたサイトのセキュリティ対応、再利用の可否、及び今後の情報管理体制について丁寧に説明することが大切です。

損害賠償などのQ&A

Q 情報漏洩の被害を受けた人に対して、謝罪金や迷惑料などは支払われるのですか?
Aこの度の不正アクセスにより漏洩した情報から判断し、謝罪金や迷惑料などはお支払いの予定がございません。但し、この度の情報漏洩によりお客様に金銭的な被害等が発生しており、具体的な証拠を提示される場合につきましては、弊社の「個人情報相談窓口」までご相談ください。

Q 身に覚えがない引き落としがありました。賠償してもらえるのですか?
A お客様が保有されている口座から、身に覚えがない引き落としがされていた場合は、お客様ご自身で、引き落としをした会社に直接お問合せ頂きますようお願い致します。また、この度の情報漏洩が原因で、身に覚えがない引き落としに繋がったことが判明した場合には、お手数をお掛けしますが、弊社「個人情報相談窓口」までご一報くださいますようお願致します。

謝罪金・迷惑料に対しては支払わないが、情報漏洩が原因で金銭的な被害が発生した場合の損害賠償については個別相談と、企業の方針を明確にしています。

疑問が残る初回プレスリリースのタイミング

企業の危機管理としては、「被害の拡大」「二次被害の発生」「再発防止」を第一に考えなければなりません。

ですから、情報漏洩が発覚した場合には初動対応を行った上で、できるだけ早く関係者に知らせることが重要となります。

東建コーポレーションのQ&Aは、広範囲に渡り想定される質問に丁寧に回答しており、事前に弁護士などの専門家としっかり打ち合わせて作成したことがうかがえますが、不正アクセスの発覚から約1ヶ月後の公表には疑問が残ります。

確かに企業としては調査や対策を行った上で公表したいところですが、次の4点は第一報としてもっと早期に公表すべきではなかったでしょうか。

• 情報漏洩の発覚と想定される対象者
• 漏洩した個人情報の内容
• カード番号などの信用情報の漏洩可能性はないこと
• 今後の体制及びスケジュール
• 問い合わせ窓口

通知・報告・公表のポイント

情報が漏洩したときには、その原因や情報の内容によってユーザーや取引先などへの通知、監督官庁や警察などへの届出、ホームページ・マスコミなどによる公表を検討する必要があります。

犯罪性がある場合

不正アクセスに関して犯罪の可能性がある場合には事実関係の調査及び証拠保全措置を講じた後、速やかに警察に報告しなければなりません。

東建コーポレーションの場合は、グループ全体のwebサイトの調査が完了した翌日に所轄官庁の国土交通省と愛知県警察本部などに被害報告を行っています。

個人の信用情報の流出可能性がある場合

マイナンバー、クレジットカード番号、銀行口座、ID・パスワードなどの流出可能性がある場合には、速やかに本人に通知しそれらの停止などを促し二次被害を防止する必要があります。

規模や影響範囲が大きい場合、又はすべての関係者への個別通知が困難な場合

ホームページでの情報公開や記者発表などでの公表を行います。ただし、公表によって被害拡大を招く可能性がある場合には、公表の時期や対象者などを考慮の上判断しましょう。

また、公表する際には透明性を確保し可能な限り事実を開示することが、企業の信頼につながると共に被害拡大防止や類似事故の防止にもなります。

2回目のプレスリリースの公表

東建コーポレーションは年が明けた2021年2月9日に個人情報の流出に関する第二報をホームページで公表し、漏洩項目、漏洩件数の修正を行いました。

第三者機関によるフォレンジック調査により漏洩項目の再調査を行った結果、いくつかの差異が確認されましたので改めて別紙1「サイト・サービス毎における項目について」にてご確認頂けます様、お願い申し上げます。(中略)また漏洩した件数は最大657,096件→最大655,488件となります。

内容は、上記の修正以外には迷惑メール・不審メールへの対応方法などが追加された程度で、基本的な内容は初回プレスリリースとほぼ同じで、この公表が最後となりました。

危機対応の中心となる対策本部

東建コーポレーションは不正アクセス発覚後に「情報セキュリティ本部」を設置し外部の第三者機関、警察とも連携を取り再発防止に努めるとしています。

この組織の構成は不明ですが、システムのセキュリティ対策だけでなく、対象ユーザーへの連絡、メディア対応、株主対応、法的責任の検討などを同時進行で行う必要があるので、一般的には次の様な外部の第三者機関や専門家の参加が必要となります。

• 大手ソフトウェア企業
• 大手セキュリティ専門ベンダ
• サイバーセキュリティに造詣の深い外部弁護士

まとめ

今回のように65万件を超える大規模な個人情報の漏洩が発覚した場合は、「初動対応」と対策本部を中心とした「通知・報告・公表」「セキュリティ対策」が重要となります。

特にスピードが求められるのは、初動対応だけではなく警察や関係省庁などへの通知・報告と関係者への公表(プレスリリース)です。

しかし、対処法を間違った場合には損害賠償責任などに問われる可能性もあるので、独自に判断するのではなくサイバーセキュリティに関する知識や経験が豊富な弁護士に事前に相談しながら進めることをおすすめします。

カプコンのマルウエアによる情報漏洩の際の危機管理について興味のある方は、記事にて詳述していますので合わせてご覧ください。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。当事務所では、東証プライム上場企業からベンチャー企業まで、様々な案件に対する契約書の作成・レビューを行っております。もしお困りであれば、下記記事をご参照ください。