情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業

退職後のクラウド共有/SNS映り込み…内部起因の漏えい事例2選 -セキュリティ通信-

セキュリティ通信
情報システム部門
この記事の内容
●退職者がクラウド外部連携機能を悪用し取引先情報を持ち出し|ユナイテッドアローズ
●行員のSNS投稿による情報漏えい|西日本シティ銀行
  • エスカ
  • レン
  • エスカ&レン:
    今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
  • エスカ
  • エスカ:
    5月になり、新しい環境にも慣れてきた頃ではないでしょうか?暖かい日も増えてきて、お出かけやリフレッシュにもぴったりな季節ですね。
  • レン:
    ゴールデンウィークもあって、少しひと息つけた人も多そうだよね。新しいことを続けるには、しっかり休むことも大切!
  • レン
  • エスカ
  • エスカ:
    季節の変わり目でもあるので、体調に気をつけながら元気に過ごしていきましょう!
    さて、今回ご紹介するトピックスはこちらです!

●退職者がクラウド外部連携機能を悪用し取引先情報を持ち出し|ユナイテッドアローズ

  • エスカ
  • エスカ:
    まずは、退職直後にクラウド上の共有リンクからデータがダウンロードされた情報持ち出し事例をご紹介します。
個人情報漏えいに関するお知らせ

ユナイテッドアローズは3月16日、昨年12月末に退職した元従業員による情報持ち出し事案を公表しました。

元従業員は在職中、同社が利用するクラウドサーバーシステムの外部連携機能を使い、個人情報を含む取引先リストなどをアップロードし、そのリンクを自身の個人メールアドレスへ送信していました。退職後、そのリンクへアクセスし、外部PCへデータをダウンロードしていたことが判明しています。持ち出されていたデータには、約1万人分の個人情報が含まれていたとされています。

同社は1月6日に事実を把握し、翌日に元従業員へ事情聴取を実施しました。その後、外部機関による会社貸与PCおよび個人PCの解析を進めたところ、2月27日に、該当PCにおいて持ち出したデータが使用された形跡や第三者による閲覧の可能性がないことが確認されました。なお、3月9日には個人情報保護委員会への報告を完了しています。

同社は本事案の原因として、元従業員の情報管理意識の不足に加え、社内の情報持ち出し防止策が不十分だったことを挙げています。
今後は再発防止に向け、システムのセキュリティや監視体制の強化、社員教育の徹底に努める方針です。

出典:ユナイテッドアローズ(https://www.united-arrows.co.jp/news/15175/)

■推奨する対応策

  • 退職・異動時のアカウント・アクセス権限・共有リンク等を速やかに停止する
  • 外部共有時は共有先を必要最小限に設定し、リンクには有効期限を設ける
  • 個人メールアドレスへの転送・送信など、情報持ち出しにつながる行為は原則禁止する

■関連サービス

・セキュリティ教育:従業員のセキュリティ意識の向上
SCSmart セキュリティ評価 :自組織のセキュリティ対策の現状把握、対策方針の策定
Security FREE for Microsoft 365 :Entra ID アカウントの不審な挙動および外部へのメール転送を常時監視

  • そふくリス
  • そふくリス:
    クラウドの外部連携って便利だけど、リンクを個人メールに送られたら退職後でも持ち出せてしまう危険があるね。
  • エスカ
  • エスカ:
    今回、外部への流出は確認されなかったけど、権限管理やログ監視、退職時のアクセス遮断をもっと徹底していきたいね。
  • レン:
    社員教育や仕組みの整備で「持ち出せない状態」を作ることも大切だよ。
  • レン

●行員のSNS投稿による情報漏えい|西日本シティ銀行

  • エスカ
  • エスカ:
    続いて、SNSへの投稿画像への映り込みから個人情報が外部に流出した事例をご紹介します。
お詫びとお知らせ

西日本シティ銀行は4月30日、行員が銀行内部を撮影した動画や写真をSNSに投稿し、個人情報が外部から閲覧できる状態になっていたことを発表しました。

問題となった投稿は昨年1月から10月にかけて行われおり、これまでに9件の写真・動画投稿が確認されています。投稿された映像には、支店内のホワイトボードや書類、パソコン画面などが映り込んでいました。当初は7人の顧客の氏名が確認されたと公表されていましたが、その後の調査で、新たに1人分の氏名と住所に加え、法人19社の名称も閲覧可能な状態だったことが判明しました。

この問題を受け、同行は謝罪会見を行い、再発防止と信頼回復に取り組むと発表しました。再発防止策として、顧客情報を扱う場所への私用スマートフォンの持ち込みを全面禁止としています。

出典:西日本シティ銀行(https://www.ncbank.co.jp/assets/a5d6dd906a3c43e5bbf96d8adc3d2a13/8d0eab990c95489db41bcd1b4185802e/osirase260430-01.pdf)

■推奨する対応策

  • 写真・動画への映り込み事例を活用したセキュリティ教育を実施する
  • 業務フロアでの撮影を禁止など、ルールの強化・周知を徹底する行う
  • クリアデスクやホワイトボード運用の見直しなど、情報が写りこまない環境づくりを進める

■関連サービス

・セキュリティ教育:従業員のセキュリティ意識の向上
SCSmart セキュリティ評価 :自組織のセキュリティ対策の現状把握、対策方針の策定

  • エスカ
  • エスカ:
    何気ない撮影でも、背景に個人情報が映りこむだけで大きな問題になるんだね。
  • レン:
    一度SNSに投稿したら一気に拡散されるおそれがあるし、後から削除しても完全には止められない。本当に気を付けないと。
  • レン
  • そふくリス
  • そふくリス:
    再発防止として私用スマートフォンの持ち込みを全面禁止するのはわかりやすい対策だけど、そもそも「撮らない・載せない」を当たり前にしていこう。
  • エスカ
  • エスカ:
    ということで、今月の「エスカとレンのセキュリティ通信」はここまでです。
    バナーから、セミナーやサービス紹介ページもご覧いただけますので、ぜひチェックしてみてください。

お役立ち資料

ASM (攻撃対象領域管理)の基本的なこと

前回の記事はこちら!

IPA「情報セキュリティ10大脅威 2026」発表!変わらぬ脅威と「生成AI」という新たなリスク -セキュリティ通信-

無料セミナーのご案内

セミナー

関連サービス

記事内でご紹介したサービスは下記からご覧いただけます。

SCSmart ASM
Security FREE
セキュリティ評価
関連キーワード
セキュリティ通信
情報システム部門
ITインフラに関するおすすめ記事
IPA「情報セキュリティ10大脅威 2026」発表!変わらぬ脅威と「生成AI」という新たなリスク -セキュリティ通信-
セキュリティ通信
情報システム部門
【2026年版】4月の新人研修に間に合う!中小企業情シス向け「情報セキュリティ研修資料」完全ガイド -セキュリティ通信-
セキュリティ通信
情報システム部門
【要注意】社長からの LINE 依頼、Apple からのSMS…その連絡、本当に安全ですか? -セキュリティ通信-
セキュリティ通信
情報システム部門
【2026年版】サイバーセキュリティ動向|2025年の国内インシデント事例と注目すべき脅威を解説 -セキュリティ通信-
セキュリティ通信
情報システム部門
たった1台のPCに潜むマルウェアが命取りに。企業の情報漏えいを防ぐには ? -セキュリティ通信-
セキュリティ通信
情報システム部門