■今日の事例　：常駐委託先による情報の持出し

Ｃ社は常駐型の委託先社員Ｍに、顧客データベースからの個人情報の抽出作業を委託しており、抽出情報はサーバー内に保管している。

 

当該作業は夜遅くまでかかることがあり、日によっては社員は退社し、委託先社員Ｍのみが事務所に残っていることもあった。

 

夜間一人で作業していた委託先社員Ｍは、常時持込んでいる自分のスマートフォンを作業用のPCに接続し、サーバーに保管している大量の個人情報をスマートフォンにダウンロードし、その翌日に、外部の名簿屋に売ってしまった。

 

この情報漏えいは社内では検知されず、顧客からのクレームにより発覚した。

 

 

■今日の事例　：常駐委託先による情報の持出し

Ｃ社は常駐型の委託先社員Ｍに、顧客データベースからの個人情報の抽出作業を委託しており、抽出情報はサーバー内に保管している。

 

当該作業は夜遅くまでかかることがあり、日によっては社員は退社し、委託先社員Ｍのみが事務所に残っていることもあった。

 

夜間一人で作業していた委託先社員Ｍは、常時持込んでいる自分のスマートフォンを作業用のPCに接続し、サーバーに保管している大量の個人情報をスマートフォンにダウンロードし、その翌日に、外部の名簿屋に売ってしまった。

 

この情報漏えいは社内では検知されず、顧客からのクレームにより発覚した。

 

 

■考察　：何がいけなかったのか考えてみましょう！

「今日の事例」は常駐委託がテーマです。

 

社員だけでは仕事を賄えない場合、常駐型の委託をお願いすることは多々あると思います。

常駐委託の場合は即戦力である為、初めから重要な情報の取扱いを任せるケースや委託が長期化するケースも散見されます。

社員同等以上の働きをする反面、知識レベルの高さや帰属意識がやや希薄になるケースもあり、事故に繋がる事例も多数報告されています。

 

まず、問題となるポイントについて見てみます。

 

　①常駐委託先社員の管理不十分

・夜間や休日に一人で作業させず、社員の帯同を必須とする

 

　②スマホの常時持込み許可

 ・個人情報等機密情報を取扱う執務エリアではスマホの持込みを制限する

 

　③スマホのPC接続が可能

・スマホなど会社で登録していない情報機器のPC接続はシステム的に制御

 

　④ログの取得がない

　　・個人情報等の情報へのアクセスやUSB接続などの端末操作ログの取得や

　　　当該ログの検証が必要

 

 

■対処　：持ち出し事故向けた対応

今回の事例のように、特に一人で作業する環境（衆目監視が無い環境）はできるだけ避けましょう。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。

 

 

■結果　：紛失事故によって発生すること

今回の事例で、個人情報が持ち出された結果はどうなるしょうか？

・個人情報保護法違反

・個人情報流出による　

　　＞顧客離れ

　　＞損害が発生した場合の損害賠償責任

　　＞会社の信用の失墜

 

今回の事例は、常駐型の作業委託をお願いする際に注意する事柄がテーマです。普段の研修や啓蒙活動に関わっていない常駐委託先社員の管理方法について今一度考えてみて下さい。

また、スマホの持込みなどは必ずしも常駐委託先に限った話ではありませんので、この機会に「スマホ」というテーマでもリスクの検討をしてみましょう。