GMOメイクショップの元従業員、導入企業や営業関連の情報3.2万件を無断持ち出し

GMOインターネットグループのGMOメイクショップは2月16日、ECサイト構築・運用サービス「MakeShop」を導入している店舗、サービス販売代理店の管理業務関連データを含む3万2800件の営業関連データを、元従業員が無断で社外に持ち出していたことがわかったと発表した。

無断で持ち出された情報は次の通り。

• 店舗の運営者情報 2万8001件（ショップID、企業名、住所、電話番号、運営者名、メールアドレス）
  その内、1万3495件の店舗で、売り上げに関する情報（ショップID、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数）が持ち出されていた
• 代理店の担当者情報 4579件（企業名、住所、電話番号、担当者名）
• 主催セミナーの参加者情報 220件（企業名、住所、電話番号、氏名）

なお、元従業員は、店舗の購入者に関する情報（購入者の個人情報、購買履歴およびその他の購入者を容易に特定し得る情報）にアクセスする権限は持っていなかった。

営業関連データを社外に持ち出した元従業員は、GMOメイクショップを退職後、個人で業務を請け負う仕事に従事。請負先の企業（以下「A社」）関係者から、元従業員がGMOメイクショップで知り得た顧客情報などを持ち込んでいる可能性があるとの通報がGMOメイクショップに寄せられ、直ちに調査を開始した。

元従業員は、顧客情報などを自らが保有する外部記録媒体（HDD）に記録。A社から貸与を受けていたノートパソコンに保存していたという。

GMOメイクショップは、A社から顧客情報などが保存されていたノートパソコンの貸与を受け調査を実施。顧客情報などが記録されていたことを確認し、その場で削除した。なお、元従業員が持ち出しに使用したHDDは現在、GMOメイクショップが管理している。

GMOメイクショップは原因の究明、情報が拡散していないことの確認、再発防止策の検討、専門家への相談などをすでに実施。渋谷警察署に今回の事件について相談し、元従業員に持ち出しに使用したHDDの提出を要請した。

また、外部専門機関に依頼し、HDDのフォレンジック調査を始めている。

GMOメイクショップは再発防止に向けて、次の施策を行うとした。

• 技術的安全管理措置（2017年4月までに実施）
  社内のすべてのパソコンにおけるファイル操作、ウェブアクセスなどの監視を可能とし、外部記録媒体を接続不可能とする不正対策ソフトを導入
• 人的安全管理措置
  全従業員を対象に臨時で2月末までに「社内コンプライアンス研修」「情報セキュリティ研修」を実施。「個人情報保護教育」に加え、上記2つの研修を毎年実施
• 組織的安全管理措置
  情報セキュリティ支援を専門とする第三者機関に支援を依頼し、個人情報保護関連規程の改善・整備などについて見直しを実施。組織としてのガバナンスを強化
• 物理的安全管理措置
  私物の携帯端末および外部記録媒体の執務区画への持ち込みを例外なく禁止。所定の場所で集中管理する方法に変更する。重要な情報を取り扱う場合、専用区画に独立した端末を設け、複数台の防犯カメラにて監視
• その他
  原因究明の進捗や第三者機関による指摘に応じて、随時、必要な施策を追加