2025年9月、公益財団法人堺市文化振興財団で衝撃的な内部不正事件が明るみに出ました。元職員が在職中から退職後にわたって、会員サイト「sacayメイト」の個人情報3万7164名分を含む大量のデータを不正に持ち出し、SNS上で晒していたのです。
現役のCSIRT(Computer Security Incident Response Team)として数多くの情報漏洩インシデントを調査してきた私が、この事件の手口と、あなたの組織を守るための具体的な対策について詳しく解説します。
事件の全貌:巧妙な内部不正の手口
今回の事件で特に注目すべきは、その手口の巧妙さです。元職員は以下のような段階的なアプローチで犯行を重ねていました。
第1段階:在職中のデータ持ち出し(2020年3月)
元職員は在職中に財団の情報システムから会員情報3万7164名分(氏名、住所、生年月日、性別、電話番号、メールアドレス)を不正に持ち出しました。この時点では、個人データにパスワード等の保護が施されておらず、外部記録媒体の使用制限も甘い状況だったことが判明しています。
第2段階:退職後の継続的な不正アクセス(2020年4月〜2022年4月)
さらに深刻なのは、退職後も約2年間にわたって不正アクセスを継続していた点です。財団が委託先に貸与していた端末を経由してシステムに不正ログインし、財団職員82名分、堺市職員59名分、堺市議会議員48名分の個人情報を追加で窃取していました。
第3段階:SNSでの個人情報晒し(2022年3月〜)
最終的に、XとGmailを使って計203名分の個人情報を晒し、総投稿数は4187件に及びました。単なるデータ持ち出しではなく、組織的な嫌がらせや脅迫の意図が明確に見て取れます。
内部不正を防ぐために必要な技術的対策
フォレンジック調査の現場で見てきた経験から、内部不正を防ぐには以下の技術的対策が不可欠です。
1. データ保護とアクセス制御
個人情報や機密データは必ず暗号化し、アクセス権限を細かく設定する必要があります。今回の事件では、データが無防備な状態で保存されていたことが被害を拡大させました。
- データベースの暗号化
- ロールベースアクセス制御(RBAC)の実装
- 最小権限の原則に基づくアクセス権設定
2. 外部媒体制御とデータ持ち出し防止
USBメモリやクラウドストレージへのデータアップロードを制御するDLP(Data Loss Prevention)ソリューションの導入が重要です。
3. ログ監視とアクセス追跡
すべてのシステムアクセスを記録し、異常なアクセスパターンを検知できる仕組みが必要です。今回の事件でも、業務外時間帯の大量データアクセスが検知されていれば、早期発見が可能だったでしょう。
退職者管理の重要性
今回の事件で最も深刻だったのは、退職後も2年間にわたって不正アクセスが継続していた点です。これは多くの組織で見落とされがちな問題です。
即座に実施すべき退職者対策
- 退職日当日のアカウント無効化
- 貸与端末・機器の完全回収と初期化
- VPN接続権限の即座削除
- 委託先経由のアクセス権限の見直し
特に委託先経由のアクセスについては、契約終了時の手続きが曖昧になりがちです。今回も委託先に貸与していた端末が不正アクセスの踏み台になっていました。
個人でもできるセキュリティ対策
組織の一員として、また個人としても、以下の対策を心がけましょう。
個人情報を守るための基本対策
自宅のPCやスマートフォンにもアンチウイルスソフト
を導入し、個人情報を狙うマルウェアから身を守ることが大切です。また、外出先でのインターネット利用時はVPN
を使用して通信を暗号化しましょう。
企業のWebサイトセキュリティ
自社のWebサイトが適切にセキュリティ対策されているか定期的にチェックすることも重要です。Webサイト脆弱性診断サービス
を活用して、脆弱性がないか確認することをおすすめします。
類似事件から学ぶ教訓
私がこれまで調査してきた内部不正事件には共通点があります。
ケース1:中小企業での元社員による顧客データ持ち出し
システム開発会社で、退職した元プログラマーが顧客の個人情報約5000件を持ち出し、競合他社に売却しようとしていた事件がありました。この会社では退職時のアカウント削除が手作業で行われており、削除漏れが発生していました。
ケース2:病院での医療従事者による患者情報流出
地方の総合病院で、看護師が著名人の患者情報をSNSに投稿していた事件では、電子カルテシステムのアクセスログが適切に監視されていませんでした。異常なアクセスパターンの検知が遅れ、被害が拡大しました。
これらの事例からも、技術的対策と組織的対策の両輪が重要であることがわかります。
組織が今すぐ実施すべきチェックリスト
今回の事件を受けて、以下の項目を緊急点検することをおすすめします。
技術面のチェック項目
- 退職者・委託先を含む全アカウントの棚卸し
- 基幹データストアのアクセスログ調査
- 外部記録媒体の使用制限設定確認
- データの暗号化状況確認
- VPN接続ログの精査
運用面のチェック項目
- 退職手続きマニュアルの見直し
- 委託先との契約書における情報管理条項の確認
- 定期的な情報セキュリティ研修の実施状況
- 内部通報制度の整備
被害を最小限に抑える事後対応
万が一、内部不正による情報漏洩が発生した場合の対応も重要です。
初動対応の重要性
- 被害範囲の特定と証拠保全
- 二次被害防止のための緊急措置
- 関係機関への報告
- 被害者への適切な通知
- 再発防止策の策定と実施
今回の堺市文化振興財団の事例では、発信者特定の手続きを進め、通信記録や発信場所の特定により証拠を積み上げていました。このような組織的な対応が功を奏し、データの回収とSNSアカウントの削除に成功しています。
まとめ:内部不正は「人」の問題だけではない
今回の事件は、内部不正が単なる「人」の問題ではなく、技術的統制と人的統制の複合的な問題であることを如実に示しています。
特に重要なのは以下の3点です:
- 予防的対策:データ暗号化、アクセス制御、監視システムの導入
- 検知対策:異常アクセスの早期発見、ログ分析の自動化
- 対応力強化:インシデント発生時の迅速な初動対応体制
組織の規模に関わらず、内部不正のリスクは常に存在します。今回の事件を教訓に、あなたの組織でも今すぐセキュリティ対策の見直しを始めることをおすすめします。
個人レベルでも、アンチウイルスソフト
やVPN
を活用した基本的なセキュリティ対策から始め、企業であればWebサイト脆弱性診断サービス
で定期的な脆弱性チェックを行うことが、被害を未然に防ぐ第一歩となります。
