京セラ子会社、顧客情報1090万件の外部記録媒体を紛失
京セラ子会社の京セラコミュニケーションシステム(京都市中京区)が、最大1090万件の顧客情報(電力契約の件数)を保存した外部記録媒体を紛失した問題で、保存されていたデータには暗号化やパスワード保護のいずれも施されていなかったことが、取材で分かった。紛失した記録媒体は外部SSDだという。
同社によると、暗号化やパスワード保護を施さなかった理由について、「サーバ室は多重的な入退室管理が行われており、限られた人しか立ち入れないため、セキュリティは担保されているとの認識だった」と説明。「該当データはサーバから直接抽出した文字列のデータであり、データの仕様などが分からないと読み解くのは難しい」とも回答している。
保管方法の課題と今後の見直し
また保管方法については、外部記録媒体を鍵付きキャビネットで保管する運用を始める際、京セラコミュニケーションシステムの社員と委託先社員が現場で口頭合意していたとしている。ただ、「キャビネットの施錠証まで明確に指示できていなかった」という。
社内ルールでは、業務やデータの重要度に応じて対策を施す必要があるとしており、今回のケースについては「多重的な入退室管理が施されているサーバ室内に保管することで、持ち出しや盗難を防ぐ対策は妥当と判断していた」と説明。ただ、今回の事態を受け、管理方法を見直す方針だ。
最終所在確認から所在不明判明までの経緯
最終所在確認の4月27日から所在不明が判明した5月26日までの間に、サーバ室に入退室した人物は57人。全員が委託先の社員で、京セラコミュニケーションシステムの社員は含まれていない。委託先は10社にわたるという。
悪用の可能性についても質問したところ、関係各所の取材や関係者への聞き取りに加え、誤って廃棄された可能性も調査したが、現時点では発見に至っていないと回答した。
京セラコミュニケーションシステムは6月8日、最大1090万件の顧客情報を保存した外部記録媒体が、社内サーバ室のキャビネットから所在不明になっていると発表した。現時点で契約者情報の流出は確認されていないとしている。
