株式会社ロッキング・オン・ジャパンは5月11日、元従業員による個人情報の持ち出しについて発表した。
これは2026年3月末日に退職済の同社の元従業員が、取引先に関する個人情報を社外に持ち出したというもの。
同社では、当該元従業員の最終出勤日である2026年3月19日夜に、同社が業務用アカウントを付与していたクラウドサービスから、職務上の必要性がないにもかかわらず多数のファイルをダウンロードし、それらのファイルを個人所有の外付けデバイスにコピーしていたことを窺わせる操作履歴を検知したため、翌営業日である3月23日に、外部の情報セキュリティに関する専門機関と顧問弁護士から助言を受け、元従業員に貸与していたPCの操作ログを検証した結果、ファイルをダウンロードしたと思しき挙動が確認できたことに加え、対象ファイルの中に、取引先に関する個人情報が含まれていたことを確認している。
同社では当該PCから、同社が使用を許可していないUSBメモリを挿入した履歴が確認されたため、個人所有のUSBメモリにこれらのファイルをコピーして社外に持ち出した可能性が高いと判断し、元従業員に対面での事実確認に協力するよう求め、3月26日に元従業員と面談を行ったところ、職務上の必要性がないファイルを複数ダウンロードし、個人所有のUSBメモリにコピーして持ち帰っていた事実を認めたという。
同社では、元従業員からUSBメモリの提出を受け、内容を解析したところ、上述の各データが保存されていることを確認したため、同日中に回収している。
元従業員により持ち出されたのは、取引先の氏名、勤務先企業名、所属部署、所属部署電話番号、メールアドレス、事業場の住所、事業用電話番号を含む約1,000名分の個人情報。
同社では、持ち出した個人情報が第三者に開示、譲渡等が行われていないこと、持ち出した個人情報を自ら使用していないことを元従業員に確認し、今後もそうした行為に及ばないことを誓約する書面の提出を受けている。
同社では、当該元従業員が取引先の個人情報の持ち出しが重大な影響を及ぼすとの認識が欠如していたこと、同社にて取引先の個人情報が外部に持ち出されることを回避するための対策が十分ではなかったことを原因として挙げている。
同社では今後は、下記の再発防止策を徹底するとのこと。
・業務データへのアクセス権限の厳格化
・外部デバイスへのデータ持ち出し制御の強化
・ログ監視体制の強化および早期検知の仕組み整備
・全従業員に対する情報セキュリティ教育の再徹底
