人材業界の情報漏洩事件まとめ

近年デジタル化の普及に伴って、情報漏洩の件数も年々増加しています。個人情報を多く取り扱う人材業界は、より一層このリスクに備えなければいけません。本記事は、人材業界の方向けに実際におきた事例をもとに、情報漏洩が起きる原因と対策する際のポイントをご紹介いたします。

人材業界では多くの人々の個人情報を取り扱う

人材業界は主に、人材紹介・人材派遣・人材コンサルティング・人材広告の4つに分類されています。個人が、人材紹介や人材派遣などを利用するためには、人材会社への登録が必要であり、人材会社では様々な人の個人情報を適切に管理しなければなりません。

一方、人材業界では重大な情報漏洩事件が過去に発生しており、何万人もの個人情報が漏洩してしまうケースがあります。ここからは、近年起きた人材業界の情報漏洩事件を3つ紹介します。いずれの事件も何万人単位での個人情報が漏洩したため、大きな話題となりました。

2015年：リクルートキャリア(人材紹介)

はじめに紹介するのは、2015年にリクルートキャリアの社員が、個人情報を誤送信した事件です。リクルートキャリアは人材紹介事業に加えて、学生向けの新卒採用メディアや社会人向けの中途採用メディア、会員制のハイクラス転職サイトなどを運営しています。

参照：2015年発生、リクルートキャリアによる個人情報約3万7千件誤送信事件｜サイバーセキュリティ.com

概要

2015年12月1日にリクルートキャリアの社員が、外部委託先の企業宛にハイクラス転職サイト「CAREER CARVER（キャリアカーバー）」に登録した約3万7千件の情報をメールに添付した上で誤送信しました。この個人情報には氏名や住所、現在勤めている仕事先、年収、希望の年収など多くの情報が含まれていたといわれています。外部企業からこれらの個人情報が流出した形跡はなかったため、特に大きな被害は発生せず、登録者に具体的な損害は発生しなかったとのことです。

なぜ事件が起きてしまったのか？

この事件が起きた原因は、前述した通り内部社員によるメールの誤送信です。事件後にリクルートは即座に個人情報を誤送信してしまった外部委託先の企業に対して連絡・報告を行いました。リクルートの社員が現場に立ち会った上で誤送信した情報が記録されているサーバー内のデータの削除を実施し、外部委託先のメールを受け取った社員の端末内のデータ消去も併せて実施しました。

この事件はメールの誤送信といういわゆる「ヒューマンエラー(人が起こしたミス)」が主な原因ですが、個人情報をリスト化したエクセルファイルをそのままの状態で送信したことも問題視されています。一般的にこのような個人情報が多く含まれているファイルは送信する前に暗号化したり、不要な箇所を削除したりなど、万が一外部に情報が流出したときのリスクに備えておく必要があります。これらの作業を適切に実施していれば、ここまでの被害拡大にはならなかったでしょう。加えて、誤送信を防ぐためには送信前のダブルチェックも必須だといえます。ヒューマンエラーはどの現場でも起きる可能性が高いものです。そのため、重要なファイルを扱う作業に関しては複数人での確認体制の下で行う必要があります。

リクルートキャリアは事件発生から2日後には個人情報を漏洩した経緯と謝罪を実施したため、対応の早さに関して評価されました。再発防止策として「情報管理の強化・徹底及び運用業務のフローの見直しを行い、再発防止に努めます。」と発表もあったため、その後社内での教育・研修等を実施したと考えられます。仮に事件後の対応に遅れが生じていれば、勤務先の企業に転職サイトに登録したことがバレてしまったりなど、登録した人々に対して大きな被害をもたらしていた可能性があったでしょう。

2017年：スタッフサービス(人材派遣)

続いて紹介する事例は、ヒューマンエラーによる個人情報漏洩ではなく、元従業員による不正により個人情報が漏洩した事例です。

概要

大手人材会社の「スタッフサービス」では、約1万5千人分の個人情報が従業員によって持ち出されていたことが判明しました。持ち出したのは退職した元従業員であり、流出した個人情報には登録者の名前や住所、電話番号などが含まれていました。

参照：従業員が個人情報1.5万人分持ち出し　スタッフサービス: 日本経済新聞

なぜ事件が起きてしまったのか？

この不正持ち出しが発覚したのは、登録者からの問い合わせがきっかけです。調査を進める中で前月に退職した元従業員が社内のパソコンから私物のパソコンに個人情報をメールで送っていたり、データを印刷していたりしていたことが発覚しました。

元従業員はこの不正を認め、自分で立ち上げた人材派遣会社で利用するためであったことを説明しています。その後、元従業員のパソコン内のデータ消去は済ませ、警視庁への被害相談を行いました。

このような内部不正によるデータ持ち出しは外部からの問い合わせなどによって発覚するケースが多く見受けられます。企業側でできる対策としては、機密情報や顧客の個人情報を保管しているフォルダに対して決められた人しか利用できないようにアクセス権限を付与したり、端末の利用制限等を行ったりすることなどが挙げられます。

2020年：アスカ(人材派遣)

最後に紹介するのは、人材派遣会社「アスカ」の事例です。最大3万件もの個人情報を流出したにも関わらず、1ヶ月以上周知しなかったことで大きな問題となりました。

概要

人材派遣会社である「アスカ」では、社内の約3万件ほどの個人情報が流出したと発表しました。流出した主な情報はホームページにて派遣の仮登録を行ったユーザーの情報であり、氏名や生年月日、住所などの情報が含まれていました。

参照：人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず 弁護士は行政処分の可能性を指摘 | PRESIDENT Online

個人情報が漏洩した原因は過去に受けたサイバー攻撃がきっかけであり、アスカは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高いと発表しました。SQLインジェクションとは、不正な操作・指令などをデータベース内に注入して、データベース内の情報を盗んだり、端末にウイルスを感染させたりする手口のことです。 このサイバー攻撃によって、漏洩した個人情報がインターネット上の掲示板に転載されてしまったり、ホームページ内の情報も不正に書き換えられるなど、様々な被害へと繋がりました。

なぜ事件が起きてしまったのか？

さらに事件発覚後のアスカの対応の遅れも問題になりました。このサイバー攻撃の被害を受けたのが2020年の5月下旬でしたが、7月上旬の段階で個人情報が漏洩した可能性が高いユーザーに対しての連絡や掲示板の削除要請などは行っていない状況でした。個人情報保護法の観点からも、個人情報漏洩を認識したら即座に被害者本人への連絡や個人情報保護委員会への報告等を行わなくてはいけません。本件では、1ヶ月以上もアスカ側からの公表はなかったことになります。

アスカ側の見解は、「大騒ぎすることでサイバー攻撃を実行した加害者が喜び、さらに被害が拡大する」「調査がある程度終わった段階で連絡を考えていた」とのことでしたが、1ヶ月以上も公表しませんでした。当時、城南中央法律事務所の弁護士が、人材派遣業関連の法令等によって行政上の指導や処分を受ける可能性があると指摘をしました。

登録者情報の管理、対策のポイント

人材業界に限らず、登録者情報の管理はどの業界においても適切に実施しなければいけません。企業内で管理するべき登録者情報が漏洩してしまうと第三者に悪用される可能性が高くなり、大きな損害を受けてしまいます。また、情報漏洩を引き起こした企業も多額な賠償金を支払ったり、社会的な信頼が大きく低下したりなど、企業の存続に関わるほどの大きなダメージを負うことになるでしょう。

企業で行うべき登録者情報の管理、対策のポイントは下記の2つです。

アクセス権の付与・設定を行う

登録者情報に関しては、社内で決められた目的以外での使用は基本的にできません。ただし、個人情報である登録者情報を社員全員が自由に加工や操作ができる状態は不正持ち出しに繋がるリスクもあり、非常に危険です。したがって社員ごとにアクセス権を詳細に設定する必要があります。例えば、1部の社員は閲覧だけできるが印刷やコピー等の操作はできないように設定することで、社員の不正持ち出しを防ぎ、登録者情報のセキュリティも高められるでしょう。

個人情報が含まれているデータの取扱いルールを明確に規定する

業務の中で個人情報が含まれているファイルを取り扱わなくてはいけないケースは必ずあります。例えば、顧客に登録者情報をまとめた表を送信するケースなどが挙げられます。情報漏洩に繋がる可能性を考慮し、これらの個人情報を扱う際のルールを詳細に規定することが情報漏洩対策となるでしょう。例えば、ファイルを送信する際には暗号化して送る、自社とやり取りする顧客との間で暗号を連携しておく、定期的に暗号の変更を行う等のルールを決めた上でデータを扱うようにしましょう。

参考：法令･ガイドライン等 ｜個人情報保護委員会

まとめ

人材業界では、人材紹介や人材派遣などのサービスを利用したい人が自身の個人情報を登録します。今回紹介した大手の人材業界では、何万人もの個人情報を管理するため、これらの情報が漏洩した場合の被害や損害はとてつもなく大きなものになります。人材業界に限らず個人情報を取り扱う企業は、企業内で登録者情報の取扱いルールを詳細に規定した上で適切な対策を講じていきましょう。

▼関連記事
個人情報漏洩はなぜ起こるのか？事例と対策を徹底解説！
製造業界の情報漏洩事件まとめ

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy：https://watchy.biz/
運営会社：株式会社スタメン（東証グロース市場4019）