2021年8月5日付けの共同通信社が、
「村田製作所の情報を不正持ち出し 再委託先の中国企業社員」
という見出し記事を報じていました。
記事によれば、(※筆者が一部編集)
◆村田製作所は、従業員や取引先企業の情報約7万件が不正に持ち出されたと発表した
◆データは、取引先企業の電話番号や銀行口座(約3.1万件)と個人情報約4.2万件
◆村田製作所は、会計システム更新に当たり、日本IBMにデータ管理を委託した
◆日本IBMから再委託された中国企業の社員が情報を許可なくダウンロードした
◆無許可でDLした情報は、外部クラウドサービスの個人アカウントに送信していた
◆現在、第三者が情報を引き出したり、悪用したりする被害は確認されていない
◆再委託された中国企業の社内監視システムが6月末に異常を検知して発覚した
ということだそうです。
多くの人の感覚的な感想としては、
・村田製作所は、災難に遭った
・日本IBMが中国企業に再委託するからダメなんだ
・日本IBMは、ピンハネしているだけで、再委託先の管理がずさんだ
・・・
といった声が多いでしょう。
ただ、逆説的に言えば、
『再委託先の中国企業に社内監視システムがあり、検知システムが機能していた』
と言えるでしょう。
つまり、日本IBMの肩を持つつもりは、毛頭ありませんが、一応、再委託企業の選定基準に「情報管理及び社内監視システムが確立し、機能している組織」を評価する仕組みがあったわけで、その点は評価できます。
しかし、「情報流出による被害」は、例えば、特許情報や製品開発、デザイン企画など、オリジナリティあふれる情報なら、「うちから漏れた」とわかりますが、電話番号、銀行口座といった情報は、今の時代、巷にあふれているので、「村田製作所のサーバーに保管されていた情報か否か」は、なかなかわかりにくいと思います。
ちなみに、村田製作所は、本件に関して、日本IBMに損害賠償や慰謝料は、どのぐらい請求可能なのでしょうか。
以前、情報システム系企業に勤務する知人に聞いた話しでは、この手の「システム更新に関連する情報漏洩による損害賠償(慰謝料)」は、一般的には、「業務委託金額の上限とする」と契約に謳われているそうです。
つまり、システム更新の委託金額がどのぐらいかわかりませんが、損害賠償請求できても「たかがしれている額」のようです。
「中国企業=情報セキュリティが脆弱」とは決めつけたくないですが、村田製作所は、日本IBMとのシステム更新の業務委託契約において「再委託先には、中国企業を選定してはならない」などの条項を契約に盛り込むかなどして、情報漏洩リスクを低減することが、今後、同種の契約をする上で、取るべき再発防止策だと思います。
(※ 自分を変える“気づき”ロジカル・シンキングのススメ メルマガ762号より)
【好評発売中!】
『事例で学ぶコンプライアンスⅠ』
(トータルEメディア出版)
事例で学ぶコンプライアンス Ⅰ | TEM出版書店 (total-e-media.jp)
事例で学ぶコンプライアンス | 有賀正彦 |本 | 通販 | Amazon
『できるビジネスマンのマネジメント本』
(玄武書房)
https://www.amazon.co.jp/dp/4909566066/
【よかったらメルマガ読者登録お願いします♪】↓
(パソコンでアクセスしている方)
http://www.mag2.com/m/0000218071.html
(携帯でアクセスしている方)
http://mobile.mag2.com/mm/0000218071.html
Twitter:https://twitter.com/ariga9001