大日本印刷、43社の個人情報863万7405件が不正流出と発表
個人情報の流出に関するお詫びとお知らせ
去る2月20日、当社がダイレクトメール(DM)などの印刷物作成のために得意先からお預かりした個人情報の一部が、当社の業務委託先の元社員(容疑者)により不正に持ち出され、インターネット通販詐欺グループに売り渡されていたことを公表いたしました。その後捜査当局の協力をいただき、社内調査をすすめてまいりましたところ、同人によって、すでに公表した以外の個人情報も持ち出されていたことが新たに判明いたしました。
今回の社内調査および得意先における確認の結果、持ち出されたことが明らかになった個人情報の総数は8,637,405 件、その所有会社数は43社です。今回新たに個人情報の流出が明らかになったデータの中には、得意先が過去に個人情報の流出を公表している事案のデータと一致するものが含まれておりました。これらの事案については、すでにそれぞれの得意先により安全対策が完了しております。これに加えて第三者に渡った可能性は確認されておりません。
個人情報の持ち出しの対象となった皆様をはじめ、関係する多くの方々に多大なご迷惑、ご心配をおかけいたしましたことを、ここに謹んで深くお詫び申し上げます。対象となった方々については、得意先と連携しながら、誠意をもって対応させていただきます。
1.経緯
2006年7月31日
・前回公表したインターネット通販詐欺事件が発生したことに関し、捜査当局より極秘裡の捜査協力要請を受ける。
・社内に調査委員会を設置し、調査を開始。
2007年2月1日
・容疑者が逮捕され、当社が業務委託している会社の元社員であることが判明。容疑者は、2001年5月から2006年3月まで主に販促用DMを取り扱う当社電算処理室内(東京都新宿区榎町)で勤務しており、データを不正に記憶媒体に書き出し、密かに持ち出していた模様。
2月20日
・同容疑者が、15万件の個人情報を不正に持ち出していたことを公表。
2月26日
・当社として全容を解明する必要があると考え、捜査当局に対し、押収したデータを貸し出していただくよう要請してきた結果、26日までに、同容疑者宅からの押収物のうち、全ての個人情報のデータのコピーについて受領が完了した。その内容の分析・調査を開始。
3月1日~11日
・当社の調査結果を基に、情報が持ち出されたと推定される全ての得意先に対し、押収物に含まれていたデータが、当該得意先のものであるか否かのご確認を依頼。11日までに得意先による確認が完了した。
2.当社調査および得意先での確認の結果
捜査当局とも連携し、当社内での分析・調査を徹底して行った後、全ての得意先による確認を経て、流出した個人情報の内容を特定し、その結果を別紙の通りまとめました。
今回持ち出されたデータは2001年~2004年に集中しており、その件数は全8,637,405件中7,976,790件(92%)となっております。なお、容疑者によって持ち出されたデータは、捜査の過程ですべて押収されております。
万一、今後新たに個人情報の流出が発見された場合は、速やかに調査を行い、ご報告申し上げます。
3.情報管理体制について
(1)これまでの情報管理体制強化策
情報管理につきましては、以下のような対策を実施し、万全を期してまいりました。
・委託先との個人情報に関する契約締結(2000年8月~)
・個人情報保護に関するマネジメントシステムを構築し、プライバシーマークを取得(2000年9月~)
・電算処理室に監視カメラを設置し、不正な行為を牽制(2003年1月~)
・電算処理室での生体認証による入退室管理を強化し、部外者の侵入を防止(2004年9月~)
・ポケットのない作業服着用によるデータ等の持ち出し防止(2004年10月~)
・アクセスログの取得(2004年12月~)
(2)個人情報流出の原因
上記のように管理体制を強化してまいりましたが、今回のような、悪意を持った内部者による不正な記憶媒体へのデータ書き出し行為を防止する上で、結果として管理に不十分な面がありました。
(3)情報管理体制の強化策
今回の事態発生を受け、全社的に情報管理体制の総点検を実施いたしました。
現在、以下の強化策を講じ、再発防止に全力を挙げて取り組んでおります。
1)データ記憶媒体取扱者の極少化と社員限定
データ記憶媒体に書き出す作業員を現状より更に少数化するとともに、当社および子会社社員に限定しました。また、記憶媒体への書き出しログのチェック頻度を高めるなど、その管理をより強化しました。
2)記憶媒体への書き出し場所の分離
データを取り扱うセキュリティエリア内において、データ記憶媒体に書き出す専用の場所を他と分離し、他の場所での書き出しは一切できない環境を構築します。
3)再発防止策の徹底、教育
再発防止策を教育プログラムに加え、全社に徹底を図っております。
過去に当社の得意先において個人情報の流出が問題となった時点で、原因を究明する機会がありながら、その機会を活かせず、容疑者によるその後の不正行為を許してしまったことについては、重大な問題と認識しております。
今回ご迷惑をおかけいたしました皆様をはじめ、関係の方々には誠に申し訳なく重ねてお詫び申し上げます。今後とも個人情報のセキュリティの確保に関しましては、細心の注意を払い、信頼回復に努めてまいる所存でございます。
なにとぞご理解賜りますようお願い申し上げます。
※《別紙》個人情報流出の対象となった会社一覧は添付資料を参照