株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

当社より流出した過去の情報について

2022年1月14日 | プレス

株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、2021年11月2日、フリーマーケットで販売されていたハードディスクに当社内のビジネス文書が含まれていたことを、社外からの通報により確認いたしました。その後の通報者とのやり取りの結果、12月17日にハードディスクを回収し、流出経路、流出情報の調査並びに情報の拡散が無いことの確認が完了しましたのでお知らせいたします。

なお、この件につきまして、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしますことを、深くお詫び申しあげます。

1.情報流出の経緯と概要について

2021年10月31日、フリーマーケットで購入したハードディスクに、当社のビジネス文書が入っていたという匿名の通報があり、その根拠として提供された一部のビジネス文書のスクリーンキャプチャ画像を元に調査を進めた結果、11月2日、当社からの情報流出があったものと判断しました。

その後、通報者とのやり取りの結果、12月17日にハードディスクを回収し、12月19日に流出データ内容の調査を終えました。また並行して、情報の流出元についての社内調査を行った結果、当社の元社員が業務上のビジネス文書を個人所有のハードディスクに保管し、その後ハードディスクをフリーマーケットで売却していたことが判明しました。通報者から回収したハードディスクと、元社員がフリーマーケットで販売したハードディスクの機種、シリアル番号が一致したため、情報流出経路も明らかとなりました。最終的に、流出元となった元社員および通報者の手元にあった流出情報は、第三者へ渡っておらず、全て破棄されたことを確認しました。

2.流出した情報について

今回流出したハードディスクは1台であり、そこから流出が確認できた情報は以下のとおりです。なお、確認されたファイルは、2003年~2017年の間に作成されたものでした。

復元されたビジネス文書   2,069件
うち取引先のビジネス文書 628件
対象となるお取引先へは個別に報告済です
個人情報          最大1,000件
当社社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号
左記以外の個人情報は含まれていません

3.情報流出の原因

原因は、当社の元社員が業務用PCの入れ替え時に、ルールに反し業務データのバックアップを個人所有PCハードディスク上に保存したことです。そのハードディスクを売却したところ、データ消去が不完全であったことから情報流出に至りました。そのほかプロジェクト終了時のデータ消去が万全に行われなかったことも、情報流出につながる原因となりました。2016年以降、情報セキュリティポリシーの適用を順次強化しておりましたが、その当時、許可されない業務データの複製を防止するための技術的対策が不十分であったと考えております。

4.公表の経緯について

2021年10月31日通報を受けて以降、流出情報の拡散防止および回収のためにハードディスクの譲受に向け通報者との手続きを進め、12月17日にハードディスクと流出情報の回収を終え、流出情報の詳細調査と関係する取引先との確認が完了したため、この度の公表に至りました。

経緯詳細

2021年
10月31日 メールにてハードディスクの流出の通報を受け、事実確認を開始。
11月2日 通報者より流出したビジネス文書の一部のスクリーンショット画像を入手し、初期調査を開始。
画像中にラック社内のビジネス文書を確認し情報流出を確認。
11月5日 緊急対策本部設置、通報者とのハードディスク譲渡手続きと社内の情報流出元についての調査開始。
11月8日 情報流出の影響が考えられる取引先への報告を開始。
11月30日 データ流出元となった元社員を特定し、ハードディスクをフリーマーケットで売却した事実を確認。
12月17日 通報者よりハードディスクの回収完了。売却されたハードディスクと同一であることが確認される。
12月19日 ハードディスクおよび、流出情報の調査。
復元されたビジネス文書2,069件、うち取引先のビジネス文書628件
個人情報最大1,000件
12月20日 流出情報について関係する取引先企業へ確認開始。
2022年
1月12日 関係する取引先企業との確認が完了。
1月14日 調査結果の公表。

5.今後の対応と再発防止策について

流出した機器と情報

通報者とは、ハードディスク回収と同時に、復元時に発生した流出情報のデータをすべて削除し、かつ情報を拡散しない旨の契約を、弁護士を通じて取り交わしました。また、元社員の所有する他の機器にも、流出情報が残っていないことを調査し、過去に業務で知りえた情報も退職時の誓約書に沿って一切外部へ出さないことを確認いたしました。

回収したハードディスクと記録されていた情報については、当事案に関わる対応がすべて完了した後、復旧できないようにハードディスクを記録情報含め完全に破壊する予定です。

再発防止策

このたびの事態を厳粛に受け止め、社外への情報流出を防止するために、業務データの複製の制限と監視の技術的対策の強化、および社員の異動や退職時等の機器の回収や情報廃棄など社内プロセスの強化により再発防止を図ってまいります。

本件に関する報道機関向け専用窓口

電話番号: 03-6757-7983
受付期間: 2022年1月14日(金)~ 1月31日(月) 10:00~16:00(土日祝除く)
※ 但し1月15日(土)、1月16日(日)は、13:00~17:00にて電話受付いたします。
メール: pr@lac.co.jp