GMOメイクショップ 元従業員が顧客情報漏洩

オンラインショップのプラットフォームを提供しているGMOメイクショップによると、同社の元従業員が退社する際、社外秘の情報を持ち出していたことが分りました。

【経緯】

元従業員が個人で業務を請け負っていた会社A(仮)に、元従業員が同社で取得した顧客情報や営業関連データを持ち込んでいました。この持ち込まれた会社AからGMOメイクショップ側に、通報があり発覚しました。

元従業員は自分が所有するHDDにデータを一回、コピーしたあと、持ち込んだ会社Aから貸与を受けていたノートパソコンに再コピーしていました。同社は通報を受け、会社Aからノートパソコンを借り受け、データを確認し削除しました。HDD自体は同社にて保管しているとのこと。


【持ち出された情報】

件数:32,800件

①店舗の運営者情報 28,001件(ショップID、企業名、住所、電話番号、運営者名、メールアドレス)
うち、13,495件の店舗で、売上に関する情報(ショップID、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数)が持ち出されていました。
②同社代理店の担当者情報 4,579件(企業名、住所、電話番号、担当者名)
③同社主催のセミナー参加者情報 220件(企業名、住所、電話番号、氏名)

※クレジットカード情報は一切保有していないとのこと。
※当該元従業員は、店舗の購入者に関する情報(購入者の個人情報、購買履歴およびその他の購入者を容易に特定し得る情報)にアクセスする権限は持っていなかったとのこと。

【再発防止について】

同社では「事態を厳粛に受け止め、従業員教育の徹底、より一層の個人情報の管理の強化、個人情報マネジメントシステム運用の見直しなど、以下の通りセキュリティ強化を図り、信頼の回復に努めてまいります。」とのことです。

【お客様への対応】

持ち出されたお客様情報に個人情報が含まれているお客様には、個別にメールでご連絡をしているとのことです。

※本件専用のフリーダイヤルを開設。

■本件に関するお問い合わせ先MakeShopカスタマーサポート
・専用ダイヤル:0120-180-600(フリーダイヤル)
 設置期間:2017年2月16日(木)~3月3日(金)(平日9:00~18:00)
・Mail:help@makeshop.jp

【サイバーセキュリティソリューションズの見解】

今回の情報漏洩の直接の原因は従業員による持ち出しでした。セキュリティはネットワークやクライアントなどを機械的に守る部分と、従業員にセキュリティポリシーというルールをしっかりと守ってもらう部分の両輪からなります。機械は基本的に外部からの攻撃に対応するものです。今回の事件においては詳細は分かりませんが、BYOD(従業員個人のデバイスの使用を認めるか否か)や、特定のデバイスしか社内パソコンに認証させないなどの事前の対策もできたように思います。しかしこれら対策も従業員自らの犯罪の場合には完全に防ぐことは難しいです。日頃から、社内のセキュリティの体制はこうなっていて、何かあると、すぐに発覚するよと伝えたりポリシーそのものを遵守するように社員教育をしっかりとすることが重要です。

詳細;GMOメイクショップ「元従業員による情報の持ち出しについて」

<