福島第一原発で２度目のWinny情報流出

　原発からのファイル共有ソフト（Winny＝ウィニー）による情報流出がまた発生した。東京電力・福島第一原発で発生した委託先企業からの情報流出だ。幸いなことに重要な情報は漏れなかったが、大きな問題がある。それは福島第一原発でのWinnyによる情報流出が、二度目になることだ。（テクニカルライター・三上洋）

東電子会社・東京レコードマネジメント社による流出

東京レコードマネジメント社のサイト（http://www.tepco-trm.co.jp/）。Winny流出についてのお詫びが掲載されている

　情報を流出させたのは、文書管理や総務のアウトソーシングを委託されている東京レコードマネジメントの社員。同社は東京電力のグループ会社で、福島第一原発の管理棟で工事などの記録文書管理を担当している。

　同社の社員が私物パソコンでファイル共有ソフト・Winnyを使い、暴露ウイルスに感染したことが原因のようだ。暴露ウイルスに感染したのは2007年12月ごろのようで、2008年1月中旬にWinnyでの流出が発見されている。

　流出した文書は、福島第一原発での文書管理サーバーのIDとパスワード、文書の集計表データ、東京レコードマネジメントの勤務表、原発の計器仕様表の未記入フォーマットなど。主に2年ほど前のデータで、原発の安全性にかかわる文書はなく、パスワードが流出したサーバーも現在使われていない（東京レコードマネジメントによる）。流出が起きてしまったものの、幸いにも大きなトラブルにはならず、ほっとしたというのが正直なところだろう。

2006年5月にもWinnyでの情報流出。これが二度目

　ところが大きな問題点がある。それは福島第一原発からのWinnyによる情報流出が、二度目であることだ。一年半前の2006年5月に、福島第一原発のプラント運転管理のための研修用資料が流出している。流出させたのは原発の職員で、研修用資料を自宅のパソコンに保存しており、Winnyの暴露ウイルスによって流出している。

　この事件では、経済産業省の原子力安全・保安院から厳重注意を受けており、東京電力は当時「早急に個人所有のパソコン内に業務情報が含まれていないことの再確認を実施するとともに、ウィニーを利用することの危険性を社員に認識させ、業務での個人所有パソコンの使用厳禁を改めて再徹底し、今後の再発防止に向け、さらなる情報の厳重・適正管理を進めてまいります」というコメントを出している。

　このほかにも、2005年11月に原発の補修報告書が流出しているほか、2006年12月には東京電力のシステム開発に関する技術資料が流出するなど、東京電力でのWinnyによる情報流出が何度も発生している。その度に「今後は厳重に管理する」というコメントを出しているのだが、事件は繰り返し起きてしまっている。今回は委託先による流出だが、東京電力のグループ会社であり、原発の施設内で勤務しているのだから東京電力にも責任があるだろう。

「文書管理のプロ」のはずなのに‥

　では流出させた東京レコードマネジメントとは、どんな会社なのだろうか。同社のサイトを見ると、まず目に入るのは「文書管理のプロフェッショナル」というコピーだ。同社は東京電力の発電所での文書管理が主な業務であり、さらに文書保管サービス、機密文書の溶解サービスなども提供している。

　いわば「文書管理・情報管理のプロ」であり、ここに任せておけば安心だろうと企業側は思うはずだ。それなのに社員が文書を自宅のパソコンに持ち帰り、Winnyで流出させているのだからお話にならない。どちらかというと、Winny流出よりも「仕事を自宅へ持ち帰る」ことに大きな問題がある。

　この会社は、財団法人日本情報処理開発協会による「プライバシーマーク」を取得している。さらに同社は情報セキュリティーマネジメントシステム（ISMS）の標準規格である「ISO/IEC27001:2005」の認証を、会社全体で取得している。ISMSとは情報漏えいなどを防ぐために、組織全体でセキュリティーを高めようとするシステムのこと。「ISO/IEC27001:2005」を取得していることで、「我が社はきちんとセキュリティー対策をしていますよ」というお墨付きをもらっていることになる。

　しかしお墨付きをいくらもらっていても、結果としてWinnyでの情報流出が起きているのだから、何のための情報セキュリティーマネジメントシステムなのかと思ってしまう。

　これについて東京レコードマネジメント社の担当者は「弊社では『仕事を自宅へ持ち帰らない』『私生活でもファイル共有ソフトを使わない』ことを社員に徹底させ、誓約書も出させていました。しかしファイルの消し忘れがあったこと、社員がWinnyを使っていたことで、このような事件を起こしてしまいました。皆様に多大なるご迷惑をおかけしたことにつきましては誠に申し訳なく深くお詫び申し上げます。」とコメントしている。

　詳細については調査中とのことだが、流出したデータが2年近く前のものだったことから、ファイルの消し忘れが原因の一つのようだ。まだ仕事の持ち帰りが許されていたころのファイルがそのまま残っており、それが流出してしまったのかもしれない。

社員の意識向上とアウトソーシングの再検討が必要

　Winnyによる情報流出は、セキュリティーの認定マークや対策システム導入だけでは防げない。Winnyを使ってしまうのは人間であり、その人間の意識が低いことに原因があるからだ。「ファイルを自宅に持ち帰らない」「自宅でもWinny、Share（シェア）などのファイル共有ソフトを使わない」ということを徹底させることが重要だ。何よりも社員の意識を向上させることを最優先すべきである。

　もう一つ、企業の経営者に考えてほしいことがある。それはアウトソーシングの再検討だ。今回のように委託先の企業から情報が流出する例が近年増えている。以前の記事「警察ファイル流出でネット騒然」でも取り上げたが、委託先や孫請け業者による情報流出事件は跡を絶たない。

　いくら社員の意識を向上させても、委託先から流出してしまうのではどうにもならない。委託先の社員の行動までは、とてもカバーできないからだ。孫請け会社がアルバイトを使ってしまう場合もあるだろう。またここ数年で、総務や事務作業の海外への委託（中国など）も増えている。

　そのため、常に「委託先で流出する可能性がある」と最悪の場合を考えたほうがいい。万が一流出したとしても、命取りにならないものだけをアウトソーシングするべきだ。コストのために外注するのはやむを得ないとしても、企業の根幹に関わる部分だけは信頼できる自社の社員にやらせるべきだろう。

　今回の事件について東京レコードマネジメントは「今回の件を重く受け止めまして、今後は再びこのような事象を発生させることがないように、さらなる情報セキュリティ対策を徹底してまいります。お客さまをはじめ皆様に多大なるご迷惑をおかけしたことにつきましては誠に申し訳なく深くお詫び申し上げます。」とのコメントを出している。