元システム担当者が1万1210人の医師の個人情報を不正に取得した容疑で有罪となった。再発防止に取り組むMRTは、社内の全てのパソコンを常時監視するなどの対策を取った。

 東京地方裁判所で今年3月4日、医療人材の紹介サービス会社MRTの元従業員に「私電磁的記録不正作出・同供用」で懲役1年、執行猶予3年の一審判決が下った。MRT社長や役員あてのメールを自分のプライベートなアドレスに不正に転送し、メールに添付されていた1万1210人の医師の氏名、住所、専門分野、勤務地といった個人情報を勝手に取得した容疑だ。

内部犯をいかに防止するか

 MRTは東大病院に勤務する医師たちが互いに外勤の仕事を紹介しあう互助会のような組織として始まった。設立は2000年。インターネットを使った医師と医療機関のマッチングサービスで成功し、2014年末に東証マザーズに上場した成長企業だ。

 不正行為の兆候が発覚した2012年9月以降、MRT(当時の社名はメディカルリサーチアンドテクノロジー)はセキュリティ対策に危機感を持って取り組んだ。2013年1月、米オラクルに勤務していた鷲尾州一郎氏を最高技術責任者(CTO)・取締役テクノロジー本部長として招聘し、セキュリティのレベルを高めてきた。その取り組みは内部犯対策を考える企業にとって参考になる。

 今から振り返ってみれば、2012年のMRTには内部犯への対策でやはり甘さがあったのだろう。根本的な問題は「システム作業者と監査をする人間が同じだった」(鷲尾CTO)こと。元従業員はシステム部の責任者ではなかったが、リーダー的な役割を担っていた。ルート(最も強い管理者権限)のパスワードを知っていたので、誰にも気づかれることなくシステムに細工できた。元従業員の作業を別の人が監査する仕組みがなかった。

 鷲尾CTOはこのような管理体制を改め、承認のプロセスなしにデータやプログラムを変更できないようにした。データやプログラムのファイルを変更した時は差分と履歴を必ず残す。1年に2回、システム監査の結果を監査法人に報告する。

携帯電話のネット接続を禁止

 「全ての記録を残し、監査可能にする」(鷲尾CTO)ということが事件後にMRTが取ったセキュリティ対策の基本的な考え方だ。表に示したように、ICカードと監視カメラによる従業員の入退室の記録、私用パソコンの持ち込み禁止、USBメモリーの禁止、社内での携帯電話のネットワーク接続の禁止、「Dropbox」のようなクラウド型ストレージサービスの利用禁止、会社のパソコンの社外持ち出しへの厳格な制限といった対策を取った。

 2014年3月には情報漏えい対策のため、Sky(大阪市淀川区)のクライアントPC管理ソフト「SKYSEA Client View」を社内のパソコン全てに導入し、パソコンでの操作履歴を蓄積している。パソコンのネットワークトラフィックやインストールされたアプリケーションの起動状況も常時監視し、許可されていないプログラムを勝手にインストールできないようにした。

 SKYSEAの導入にあたり、全社員を対象にした説明会を開いた。クライアントPC管理ソフトの趣旨を説明し、社員のセキュリティ意識の向上に努めた。「社員からセキュリティ対策強化へのアレルギー反応のようなものはなかった。セキュリティに関する社員の意識改革が進んでいる」(鷲尾CTO)と言う。

 メールのセキュリティレベルを高める目的でZenLok(東京都港区)のメールアーカイブサービスを導入。添付ファイルを含めて全てのメールのやりとりを監査可能な形で蓄積している。2015年2月には添付ファイルを自動暗号化する仕組みも導入した。

 外部からのサイト攻撃にも対策を講じた。2013年から2014年にかけてMRTが医療人材向けのサービスサイトを「アマゾンウェブサービス(AWS)」に移行したのは、米国のHIPAA法(医療保険の携行性と責任に関する法律)が医療情報に求める世界最高水準のセキュリティ基準を満たすようにするためだ。

 2015年1月には情報セキュリティマネジメントシステムの国際規格ISO27001の導入準備を始めた。2015年10月頃の認証取得を目指している。

リーダー的なSEの犯行

 今回の事件のあらましは次の通り。元従業員は2012年1月から同年7月まで、情報システムのインフラまわりの担当者としてMRTに勤務。元従業員が退職後の2012年9月、会社のメールサーバーの管理者のパスワードが変更されていることに社員が気づいた。調べてみると、会社としては全く覚えのない外部のメールアドレスにMRTの社長や役員あてのメールを自動転送する設定になっていた。不正な自動転送が仕掛けられたとみられる日付は2012年3月21日と4月11日だ。

 MRTが新宿警察署に被害を報告した時から、警察による捜査が始まった。MRTは捜査に全面的に協力。警察の捜査の中から、同じ元従業員による別の情報流出の疑いが浮かび上がった。

 この事案は昨年10月に新聞やテレビで報道されたので、覚えている方もいるだろう。元従業員がMRTのデータベースから1万7000人の医師や看護師の個人情報を勝手に抽出して、元従業員の個人用のDropboxにデータを転送した疑いだ。この事案が起きたとされる日付は2012年5月30日。

 MRTが被害を警察に相談してから元従業員が逮捕されるまでに2年以上経過している。立件できるところまで証拠を集めるにはそれだけの時間が必要だったのだろう。

 不正に転送されたメールに添付された医師の個人情報が第3者の手に渡っていれば、MRTのサービスの利用者に被害が広がってもおかしくなかった。今回は幸いにしてそれはなかったようだ。「利用者から被害の連絡はない」(工藤郁哉管理本部長)と言う。

 2014年10月14日、警視庁サイバー犯罪対策課がデータベースから1万7000人の個人情報を勝手に持ち出した不正競争防止法の疑いで元従業員を逮捕。11月4日、今度は社長や役員あてのメールを不正に自動転送した私電磁的記録不正作出・同供用の容疑で再逮捕。

 11月25日、東京地方検察庁が私電磁的記録不正作出・同供用の容疑で元従業員を起訴。12月18日、不正競争防止法違反の疑いに関しては東京地検が「立件するに足る証拠が十分でない」として不起訴処分を決めた。

 メールの不正な転送については、2015年1月から公判が始まり、3月に一審判決。被告人側と検察側のいずれも控訴せず、刑が確定した。

事件の経緯(背景色が白い枠はMRTによるセキュリティ向上策)
事件の経緯(背景色が白い枠はMRTによるセキュリティ向上策)
この記事をいいね!する