こんにちは。弁護士の浅見隆行です。
製薬会社サノフィは、2024年8月28日、海外の業務委託コンサルタントの個人用ノートパソコンがマルウエアに感染し、それによって、日本の医療従事者約73万人の個人情報が漏えいしたことを公表しました。
業務委託先コンサルタントの個人用ノートパソコンがマルウエアに感染
従業員の業務用パソコンがウイルスに感染したことをきっかけに社内で管理している個人情報が漏えいするケースはよくあります。
今回のケースは、サノフィの海外の業務委託コンサルタントの個人用ノートパソコンがマルウエアに感染したことで、サノフィが管理している医療従事者や従業員の個人情報が漏えいしました。
業務委託先の従業員がウイルスに感染したことをきっかけに個人情報が漏えいしたケースとしてはLINEヤフーの個人情報(通信情報)の漏えいがありますが、それ以外はちょっと思い浮かばないくらい、漏えいルートとしては珍しいと思います。
しかも、サノフィの件がLINEヤフーの件と異なるのは、業務委託コンサルタントの個人用ノートパソコンがマルウエアに感染し、かつ、個人用ノートパソコンにサノフィのデータベースへのアクセスID等の権限を一部保存したままにしていたために、この個人用ノートパソコンを踏み台にして外部からサノフィのデータベースに侵入することができた点です。
社外の人間に与えるアクセス権限
アクセス権限は不用意に与えない/権限抹消を確認する
こうした事態が発生することを防ぐには、会社側の努力だけではどうにもならないことがあります。
もちろん、会社は、業務委託コンサルタントなどに社内のシステムへのアクセス権限を与えないなど、外部からセキュリティを突破される事態を防ぐように努力することは必要です。
しかし、そうはいっても、例えば、社内のシステムやデータベースの保守のために、外部のコンサルタントや業者に社内のシステムやデータベースへのアクセス権限(ID、パスワード等)を与えることもないわけではないでしょう。
ただ、その場合でも、会社は、外部のコンサルタントや業者が保守業務を終えたらアクセス権限のデータを抹消しているかを確認することはできるはずです。
例えば、面倒かもしれませんが、ブラウザにアクセス権限を自動保存させたままになっていないかを確認し、保存させていれば保守業務が終わった後に消してもらうようにはできるはずです。
また、外部のコンサルタントや業者が保守業務を行う際にパソコンやタブレットを使用する必要があるなら、委託する会社がパソコンやタブレットを用意して貸与することもあっていいはずです。
少なくとも、コンサルタントや業者の個人用ノートパソコンやタブレットではなく、委託先の会社の業務用ノートパソコンやタブレットを使用してもらうようにして下さい(個人事業主の場合は、悩ましいですが・・)。
クラウド/SaaSの場合
特に、会社がクラウド/SaaSのデータベースを利用し、外部のコンサルタントや業者がオンラインでアクセスできる場合には、外部のコンサルタントや業者に与えたアクセス権限が消去されているかを確実に確認することが不可避です。
アクセス権限をそのままにしていれば、業務委託契約が終了した後も、オンライン経由でアクセスできてしまうからです。
2021年には、村田製作所が会計システムの更新のために日本IBMに業務を委託したところ、業務委託契約期間中に、再委託先の中国法人IBMの社員が村田製作所の取引先情報約3万円と個人情報(従業員情報約4万1000件)を含むプロジェクト管理データを許可なくダウンロードして、かつ、中国国内のクラウドサービスにアップロードして保存していたことがありました。
契約期間中にすら違法な情報取得が行われるのですから、契約終了後はなおさら情報へのアクセス権限の管理に気をつける必要があります。
過去には、業務委託ではないものの、退職者が退職後に自己のアクセス権現がそのままになっていたことを利用して、会社のデータベース内のデータを削除するなどして刑事責任(不正アクセス禁止法違反や電子計算機損壊等業務妨害)が認められたケースもあります。
また、転職を予定していた者が、退職前に、自社が利用する名刺データベースへのアクセス権限を転職先に与えて、自社のデータベースにログインさせようとして、個人情報保護法違反(個人情報データベース提供罪)が認められたケースもあります。
委託先の人間の情報セキュリティに対する意識も不可欠
そもそもの話しでいえば、外部の人間に業務を委託する場合には、情報セキュリティに対する意識が高いかどうか、昨今の情報セキュリティの問題をフォローアップして対処できているかも確認することが不可欠ではないかと思います。
情報セキュリティ対策は、パソコンやタブレットにパスワードをかけて、ウイルス対策ソフトを入れておけば良いんだろうくらいの古い意識のままの社外の人間には、社内へのシステムやデータベースへのアクセス権限を与えない方いいように思います。
私自身の話しをすると、私も社内の役員研修や従業員研修の講師の仕事のためにあちこちの会社にお伺いして、図や写真を示すプレゼンのためにパソコンを使用します。
その際には、会社が用意しているプロジェクター/モニターを使用するのですが、会社によっては、社外の人間である私のノートパソコンはセキュリティの観点から接続することができないとして、会社があらかじめパソコンを準備してくれている場合もあります。
もちろん、プロジェクター/モニターが社内のシステムとは繋がっていない場合には、私のノートパソコンをプロジェクター/モニターに接続することを認めてくれる会社も少なくありません。
外部の人間として多くの会社とお付き合いしていると、お伺いする会社の情報セキュリティレベルが様々であることを実感させられますし、各社のセキュリティレベルに合った対応をしなければならないと身につまされます。
そのため、私の場合は、Windowsよりは相対的に安全(絶対的に安全ではない)と言われているMacを使い、かつ、安全性の高いGoogleWorkSpaceを組み合わせるなどして(それだけではありませんが)、外部からの感染や進入を可能な限り避ける努力もしています。
サノフィのリリースでは、ITセキュリティポリシーに違反していたと書かれています。
外部の人間が社内のシステムやデータベースへのアクセスを求める場合には、
- 会社は、あらかじめ、ITセキュリティポリシーなどの情報セキュリティの自社の要求水準を示して、その水準を充たしていることが必要であると伝える
- その水準に達していないときには、社内のシステムやデータベースへのアクセスを認めない
- 仮に認めるとしても、会社が用意したパソコンやタブレットからしかアクセスできないようにする
などの方策を講じるべきでしょう。
