セキュリティインシデントに対するその後の対応について
2017年01月13日

セキュリティインシデントに対するその後の対応について

当社は昨年5月27日(金)、外付けハードディスク(以下、HDD)を紛失するという重大な情報セキュリティインシデントを発生させてしまいました。お客様および関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたことに対し、改めて深くお詫び申し上げます。
本インシデントに対する再発防止策等のその後の対応状況につきましてお知らせいたします。
当社といたしましては、このような事態を二度と起こさないよう、お客様からの信頼回復に全力を挙げてまいります。

1. 再発防止への取組み

当社は今回のようなインシデントを二度と起こさないため、社長を最高責任者とする情報セキュリティ推進体制を編成し、全社を挙げてガバナンスの強化、緊急的再発防止策ならびに抜本的再発防止策に取り組んでまいりました。

(1) 緊急的再発防止策(実施済み)

  • サーバ室への監視カメラの増設、入退室生体認証装置の機能追加等による入退室者監視の徹底
  • サーバ室の入退室管理強化・持ち込み物品禁止の一層の厳密化
  • HDD、USBメモリ等の可搬媒体利用規程を含むルール面の見直し(登録管理、ワイヤ等での固定、暗号化等)と実践

(2) 抜本的再発防止策

①社員等が不正行為や社内ルール違反をしても情報流出を起こさない、物理的、システム的な仕組み作りの徹底、②情報の整理および不要な情報の廃棄の徹底、常時情報の中身が特定できる仕組み作り、③セキュリティ管理者層および全社員向けセキュリティ教育の徹底の三つの観点から、下記に示す対策等を講じております。

  • 情報管理要領を策定し、全社統一ファイルサーバと文書管理システムを設置し、集約設置、集中管理によるセキュリティ向上
  • お客様情報の運用管理規程の見直しと実践
  • ファイル安全技術(ファイル自動暗号化や持出し管理等)の導入
  • 情報整理月間を設け、不要資産廃棄実施、組織間の情報セキュリティのクロスチェック、内部監査強化
  • より一層のセキュリティ向上のためPC のシンクライアント化
  • 業務用PC へのUSB 等接続禁止、操作ログ収集ツール導入
  • HDD、USB メモリ等の可搬媒体利用の原則廃止
  • 全社員の自宅PC の情報調査実施
  • セキュリティ管理者層および全社員向けセキュリティ教育の徹底

また、CISO(Chief Information Security Officer)室を設置し、情報セキュリティに関する施策の企画と全社推進を中心に活動してまいりましたが、セキュリティマネジメント体制をより一層強化するため、本社スタッフ組織として12月1日付で「情報セキュリティ推進部」を設置しました。(11月30日付、当社ニュースリリース参考)

2. お客様対応

インシデント発生後、関連するお客様に対しお詫びを申し上げるとともに、事実関係全般やお客様個別の状況等のご説明を行ってまいりました。また、前述の当社の「再発防止への取組み」につきましてもご説明やお客様による現地での監査などを通して、ご了解をいただいてきているところです。
引き続き、真摯なお客様対応に努めてまいります。

3. 紛失物品の捜索

紛失物品の捜索は継続しておりますが、発見には至っておりません。また、当該HDD 格納情報のインターネット等への情報流出の常時モニタリングを実施しておりますが、現時点では、情報流出等の事実は確認されておりません。紛失物品の捜索および常時モニタリングにつきましても、今後も継続してまいります。
なお、現在のところ、本件に関する外部からの照会や、お客様情報の不正利用など、問題となる事実は確認されておりません。

4. 役員報酬の一部返上

今般の事態を極めて厳粛かつ真摯に受け止め、経営陣の責任を明確にするため、以下のとおり、代表取締役社長および関係取締役等の報酬を一部返上します。また、関係社員につきましても、社内規程に従って、厳正な処分をいたします。

  • 報酬返上の内容
      代表取締役社長 月額報酬の20%(3 か月)を返上
      その他の関係取締役等3名 月額報酬の15%(1 か月~2 か月)を返上


【参考】 本インシデントの概要(経緯)

  • 2016年5月27日(金)17時ころ、NTT-AT 本社(ミューザ川崎セントラルタワー)サーバ室に保管していたHDD 2台の紛失が判明しました。当該サーバ室内の捜索を行うとともに、入居全エリアを対象とした一斉捜索等を実施しましたが、発見には至りませんでした。当社独自の捜索を行うとともに、6月6日(月)に神奈川県幸警察署に被害届を提出・受理されました。
  • 紛失したHDD には、当社の一部組織が受注したお客様のご担当者連絡先情報等の個人情報等を含む個別プロジェクト案件に関する情報が格納されていたことから、情報の内容解明に全力を挙げるとともに、関連するお客様に対し、事実関係やお客様個別の状況等のご説明を行いました。
  • 紛失物品が発見に至らないことから、6月28日(火)、当社は報道発表を行い、経緯/格納情報の内容/被害状況/再発防止策/お客様への対応について公表いたしました。
  • その後も紛失物品の捜索と情報内容の解明、お客様対応を実施するとともに、緊急および抜本的な再発防止策に取り組んでおります。
  • 本インシデントに関し、2016年8月1日(月)に国立研究開発法人 情報通信研究機構様より、契約違反に該当する行為があったとして、同日から2か月間の指名停止処分を受けました。


このニュースへのお問い合わせ先

TEL : 044-280-8823


Twitterでシェア Facebookでシェア