ネットの話題

F-Secureが元社員の個人情報リスト晒しで調査報告を発表「当該Twitterアカウントが元社員である確証は得られなかった」

[2015/11/13 18:10]

 F-Secure社の日本法人は11月13日(金)、F-Secure元社員がFacebookの個人情報を収集してGoogleスプレッドシートにまとめたリストをTwitterで“晒しあげ”にした件で、調査報告を発表しました。

 報告では、F-Secure内のシステムや情報、社のアカウントが悪用された事実はないこと、F-Secureではユーザーの個人情報を収集することは一切ないこと、SNS上の個人情報を保持することも一切していないことなどを説明。11月6日(金)に発表した内容を、より詳細にひとつずつ説明した形になっています。

 今回の調査報告の主なポイントとしては、以下のような点が上げられます。

・問題のリストをTwitterで晒した「反安部 闇のあざらし隊」アカウントが元社員であるという確証は掴めなかった。
・Googleスプレッドシートで共有する形で公開されたリストの一部は確認したが、F-Secure社内には一致するデータは保存されていないことを確認した。
・F-Secureのシステムやアカウントで不正利用はなかったことを確認した。
・F-Secure社製品にはバックドアはなく、ユーザー個人情報の収集はしていない。
・F-Secure社は政治的には中立であることを宣言。
・当該元社員は、人事採用の権限はなく、部下もいなかったことを明らかにした。
・警察からの協力要請があれば、全面的に協力すると明言。
・マイナンバーの仕組み上、F-Secureが業務上の範囲を超えて個人の情報にアクセスすることはないことを明言。

「当該Twitterアカウントは元社員とは確認できなかった」でコーポレートガバナンスへの批判はかわせるのか

 調査報告には、「弊社は法の執行機関ではないため、公的な機関の協力がなければ、当該の匿名 Twitter アカウントの利用者を確実に特定することはできないことから、当該Twitter アカウントの発言者が元従業員であるとの確証は得られませんでした。」との一文があります。

 これまでの同社の発表で“当該社員は自主退職した”とされていたことから、「反安部 闇のあざらし隊」と名乗るTwitterアカウントがF-Secure社元社員だったことを認めているとネットでは受け止められていましたが、この点については「グレー」に戻した発表となりました。

 「反安部 闇のあざらし隊」が通常の業務時間中にも政治的ツイートを行っていた点について、就業規則などに照らしてどうなのか、コーポレートガバナンスはどうなっているのかという批判もありましたが、こうした批判については、「当該Twitterアカウントは元社員のものだとは確認できなかった」という形で、グレーなまま調査に終止符が打たれたようです。

F-Secureに残党がいるという噂を否定

 「反安部 闇のあざらし」の仲間と見られるTwitterアカウントは11月7日、「幸いなことに、F-Secureを辞めさせられたのは×××氏だけで、その他は全員無事。ほとぼりが覚めるのを待って、残留組が差別主義のネトウヨともを全員しばき倒してくれるはずです。今度は非公開で処刑するでしょうから、炎上どころか話題にもならない可能性が高いですが。」とツイートしたことで、ネット上では「F-Secureに残党がいる」との不安の声があがっていました。(当該ツイートは削除済み。伏せ字は編集部によるもの)

 また、「反安部 闇のあざらし隊」は、外資系のセキュリティ会社に勤め、人事採用面接も行っているとツイートしていたことから、採用した“子分”が残っているのではないか、社内システムについても広報担当である当該社員がF-Secureのシステムに侵入できたとは考えにくいが、他の社員が協力したのではないかなどの推測もネット上で語られていました。

 これに対して、今回の調査報告では「上記の弊社元従業員が他の弊社従業員を操っていることを懸念する書き込みも存在したようですが、同弊社元従業員には、採用の決定権はなく、部下もおりませんでした。」と発表。「反安部 闇のあざらし隊」が退社した元社員だったとしても、当該社員には採用の決定権がなく部下もいなかったと、間接的にではありますが、社内には“手下”や“仲間”がいないことも明らかにしています。

政治的中立を宣言。また、マイナンバーへの不安を否定

 発表文では、「弊社は、従来も、そして今後も、いずれの政治団体とも特別な関係を持たず、政治的中立を保ちます。」と名言。ネットではF-Secure社自体が政治的に偏っているのでないかという書き込みを明示的に否定したものと見られます。

 また、「弊社が、業務上必要な範囲(給与や報酬の支払い等)を超えて、弊社のユーザを含む無関係な第三者のマイナンバーを取り扱うことは、マイナンバーの仕組み上一切ございません。」として、F-Secure社がマイナンバーに関わる業務で、目的外の情報を収集したり、目的外の利用をすることは一切ないと明言。これは、F-Secure社がマイナンバーに関わることについての不安の声に答えたものと思われます。

人間版「トロイの木馬」リスクにどう対処すべき?

 今回の“ネット炎上”では、社員のプライベートな活動によるリスクが露呈した形になりました。業務上のアカウントで不適切なツイートをして炎上する例はこれまでにもありましたが、社員のプライベートな政治活動によって企業までが批判に晒された例としては、おそらく今回が初の事例となります。

 組織の中にいて、ある日突然爆発炎上して企業までが火だるまになるという意味では、こうした従業員は「トロイの木馬」そのもの。とはいえ、プライベートな活動で企業まで炎上する今回のようなケースでは、企業側でできる予防策には限りがありそうです。

 F-Secure社は今回の調査報告で、「弊社としては、皆様にご迷惑、ご心配をおかけ致しましたことを心からお詫び申し上げますとともに、従業員のプライベートな活動についてまでも、弊社が逐一管理監督することは、また別の問題を生じさせる行為であることをご理解いただけますようお願いする次第です。」と弁明しています。

 セクハラについて厳しい企業では、部下などに「日曜日はどこか出かけたの?」と聞くことすらセクハラとなる可能性があるとして戒めています。こうした従業員のプライバシーや人権を尊重が重視される一方で、企業が従業員のプライベート活動まで逐次監視するというのは実際上不可能と思われ、企業のリスクマネジメントにおいて、大きな課題を投げかけたと言えそうです。


F-Secure社発表全文

お客様、お取引先様 各位
2015 年 11 月 13 日

弊社元従業員による個人的なソーシャルメディアの不適切利用があったとされている件について

エフセキュア株式会社
代表取締役:イングヴァー・フロイランド
カントリーマネージャー:キース・マーティン

平素よりエフセキュア製品ならびにサービスをご利用、お取扱いいただき、誠にありがとうございます。

このたびはお客様、お取引先様の皆様に多大なるご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。

以下に、本件についての経緯、弊社による調査結果、ならびに今後の対応について、ご報告をさせていただきます。

1. 経緯
11 月 3 日(火曜日・祝日)に、とある Twitter アカウントが SNS 等で公開されている情報をリスト化して公表したという情報がインターネット上で流れました。このアカウントの持ち主が弊社の従業員であるという書き込み等もあったことから、弊社へのお問い合わせを多数いただいておりました。

このリストは Facebook の特定のページに「いいね」を押した方の公開されている個人情報をまとめたものとされております。また、Facebook の非公開設定の情報も掲載されているとの憶測もありますが、事実としては確認されていません。

しかしながら、当該 Twitter アカウントの発言として、他人に抑圧的な発言や、セキュリティ業界の立場を利用して意見の異なる立場の人々に圧力をかけることを示唆するものが含まれていたことから、弊社といたしましても事態を重く見て、エフセキュア日本法人を中心に、顧問弁護士やフィンランド本社の関係部署とも連携して対応してまいりました。

2. 調査結果と現在までの対応について

本件について弊社にて調査をした結果は以下の通りです。

・弊社は法の執行機関ではないため、公的な機関の協力がなければ、当該の匿名 Twitter アカウントの利用者を確実に特定することはできないことから、当該 Twitter アカウントの発言者が元従業員であるとの確証は得られませんでした。
 なお、11 月 6 日の発表のとおり、不適切な SNS 利用があったとされている元従業員は、本人の意思により既に弊社を依願退職いたしております。

・弊社システムのアクセスログ等を調査した結果、アカウントの持ち主であると言われている弊社元従業員による弊社重要データ等へのアクセスは行われておらず、お客様にご提供する弊社のサービスやお客様に関するデータには、本件による影響は一切ございません。

・アカウントの持ち主であると言われている弊社元従業員による弊社の商用システム、商用サービス、製品の悪用は一切ございません。

・弊社内のお客様情報や業務関連情報が外部に漏えいしたという事実はございません。また、現時点では弊社お取引先様からも、本件に関して弊社製品に関連する情報漏洩があったというご連絡はいただいておりません。
 万一、弊社内からの情報流出の事実を確認された方は誠に恐れ入りますが、具体的な情報をご提供いただけますようお願い申し上げます。直ちにしかるべき対応をいたします。

・弊社はフェイスブックやその他 SNS に登録されている個人情報を保持いたしておりませんので、弊社を介して、SNS 上で一般公開に設定されていない個人情報を取得することはできません。

・個別に弊社内のシステムに、ご自身の個人情報が無いかお問い合わせいただいた方がおられますが、いずれも弊社内のシステムに情報が無いことを確認いたしました。

・弊社製品が、弊社製品をご利用のお客様の個人情報を収集することは、いかなるご利用形態においても一切ございません。

・弊社の業務に関連する SNS アカウントが不正利用されたという事実はございません。

・弊社では、今回公開されたとされるリストは所持していませんので、同リストの全ての詳細を確認することはできませんが、インターネット上でその一部の存在を確認し、確認した同一部の情報が、弊社のデータに含まれているかを徹底調査したところ、同一部の情報は弊社の保持するデータには含まれていないことを確認いたしました。

・弊社製品には、いわゆるバックドアは一切組み込まれていません。弊社製品、サービス、システムを利用して意見の異なる立場の人々に圧力をかけることができるかのような書き込みが存在したようですが、当然のことながら、弊社、あるいはいずれの第三者も含め、何人においても弊社ソフトウェアのバックドアを介したアクセスを行うことはできません。

・上記の弊社元従業員が他の弊社従業員を操っていることを懸念する書き込みも存在したようですが、同弊社元従業員には、採用の決定権はなく、部下もおりませんでした。

・弊社としては、皆様にご迷惑、ご心配をおかけ致しましたことを心からお詫び申し上げますとともに、従業員のプライベートな活動についてまでも、弊社が逐一管理監督することは、また別の問題を生じさせる行為であることをご理解いただけますようお願いする次第です。

3. 対応状況ならびに今後の対応

・今後、警察等のしかるべき機関の協力要請があれば全面的に協力をさせていただく所存でございます。

・今後も安全な製品、サービスを提供すべく、個人情報の取り扱いについてのポリシー遵守につき弊社内にて改めて、かつ継続的に周知徹底教育していく所存です。

4. その他、補足事項

・弊社は、従来も、そして今後も、いずれの政治団体とも特別な関係を持たず、政治的中立を保ちます。

・弊社が、業務上必要な範囲(給与や報酬の支払い等)を超えて、弊社のユーザを含む無関係な第三者のマイナンバーを取り扱うことは、マイナンバーの仕組み上一切ございません。



本件について、お客様、お取引先様の皆様に多大なるご迷惑、ご心配をおかけしいたしましたこと、重ね重ね深くお詫び申し上げます。

本件は、弊社の製品、サービスが濫用、悪用されたのではないかとの懸念を生じさせるものですが、事実無根であり、弊社製品の安全性に関する問題もございません。

今後とも是非、引き続き弊社製品をお引き立ていただけますようお願い申し上げます。

[工藤ひろえ]