4日、監査法人であるトーマツは、職員保有の個人PCから監査関与先24社の資料がWinnyによって流出していたことを確認したと、お詫びとともに発表した。 発表によれば、監査法人トーマツの職員が、自宅で個人所有のPCに監査関与先の業務資料にコピーされ、そのPCのWinnyによってインターネットに流出したことを8月29日に確認したという。流出した情報は、トーマツが監査で関与している企業24社の業務に係る資料とそのうち一部の関与先の取引先の個人情報も含まれているという。当該24社にはすでに状況を連絡済みであり、現在のところ直接の被害は確認されていない。 トーマツは、資本を出資し経営の関わる「社員」(400名以上)のほかにパートナーとして公認会計士やその試験合格者、論文合格者などで構成される「職員」(3700名以上)がいる。今回はこの職員のひとりのPCから情報が流出した。関与先の業務情報という重要なデータが、どのように個人のPCにコピーされたのか、その経緯については調査中でもあり同社としては現段階では公表できないそうだ。同関与先24社の詳細や、流出した情報の種類なども関与先との守秘義務もあるので、同様に公表はされていない。 今後の対策についてトーマツは、「社内のシステムやサーバー、クライアントPCについては、以前からセキュアな環境で稼動している。個人PCへのデータコピーも禁止していたが、今回、それが徹底していなかった。まずは、この部分の再確認、徹底と、社員、職員に誓約書を提出させる。」としている。 社内システムの情報が職員の個人PCにコピーできた経緯について、詳細を聞くことができなかったが、メールにしろCDやメモリ媒体にしろ、重要な業務データがコピーできてしまうことは問題である。職員の教育も重要だが、社内システムはインターネットから隔離した純粋なイントラで構成するなど物理的な対策も必要と思われる。媒体経由のコピーについては、アカウント制御や操作ログ管理の強化なども考えられる。検疫システムの導入もある。これらはすでに対策済みなのかもしれないが、現実問題として個人PCにコピーが存在したわけなので、この「穴」は早急にふさぐ必要があるだろう。 本来監査法人は、企業の財務情報などトップシークレットを扱う。しかもそれを客観的に評価しなければならない。今回のトラブルによって、その公正さが損なわれたり、関与先企業との馴れ合いの口実にされても、投資家や株主の利益にならない。厳正な監査を続けてもらう意味でも、監査法人は、それだけ重要な情報にアクセスできるという権利と責任を認識し、自分自身に向けて客観的な原因究明と対策を期待したい。
ぴあが個人情報流出を発表!クレジットカード情報など流出、被害額は現時点で630万円に
