年収300万の艦これユーザーさぶれ、SMCBのコードをGithubに公開し負債700万を背負う
三井住友銀行はソースコードが漏洩していることを明らかにして、今後対応していく姿勢を2021年の1月に明らかにしています。
公開されたコードは銀行内のシステムのみに使用されているもので、顧客情報の流出やセキュリティ上のリスクに繋がる事はないとのこと。
その後の発表では、艦これユーザーさんが投稿したGithubのコードではNTTデータ子会社のNTTデータジェトロニクスを示唆する文字列があったとのこと。
そのことから、NTTデータジェトロニクスが受託したシステム開発案件におけるコードであったことが発覚。
公開されたコードはNTTデータジェトロニクス製の銀行決済ネットワーク向けのパッケージソフトをカスタマイズして納入した案件のコードの一部です。
また、Githubに公開されたデータの中にはNECの文字も確認されており、その経緯も調べられているようです。その後のさぶれさんの反応で判明したことですが、どうやらSMBCのコード流出をしてしまったことによって、賠償金が発生した様子。
その金額については700万円としれっとツイッターで公開されています。
また、「早く食いぶち探さないと」ということなので、懲戒解雇されたことも間違いなさそうです。
引用:https://tsumego.org/sabure-smbc/
─ YODOQの見方───────────────────────────
今回のようにセキュリティ上のトラブルを減らす施策としては大きく分けて2つ対策が検討できる。
1.仕組み上の制限としてツールの利用制限
2.個人のリテラシーを高める
1の対策について、今回は「Github」の使用禁止といったものになるが、「Github」自身を禁止にしたところで、その他類似ツールによっての流出が起こる可能性がある。
つまりは2の対策になることがほとんどかと思う。
個人のリテラシーの低さによる「自覚の無い情報漏洩」がやはり一番の問題点となる。
ちなみに法律に抵触する可能性としては下記になる。
・窃盗罪
一般的に刑法が定める窃盗罪の対象には、情報は財物にはなりにくい。
情報が記載された書類や会社のUSBメモリーで持って帰った場合は「書類」や「USBメモリー」を窃盗したという罪となり得る。
・不正競争防止法違反
営業秘密に当たる情報や社内データを持ち出した場合は、不正競争防止違反に当たる場合がある。
・損害賠償責任
社内データを持ち出した場合は、営業秘密ではなくとも、民法で損害賠償請求を受ける場合がある。雇用契約書などには、秘密保持条項が含まれているケースが多く、違反した場合や損害がでた場合は該当するケースがある。
会社は人材を派遣するときには、このような問題に発展する可能性がある為、それぞれの個人に教育を促し、最低限のリテラシーを身に着けさせた上で派遣をしないと派遣する会社にとってもリスクがある。
制度としてセキュリティ面において社内でセキュリティの教育といった時間を設けるなどをして、問題が起こりにくい体制づくりが必要となってくる。