piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

MRTで発生した顧客情報の不正取得をまとめてみた

内部不正

人材紹介会社「MRT」の元従業員男性が同社の顧客情報を不正に取得したとして2014年10月14日に逮捕されたことが報じられました。ここではその関連情報をまとめます。

公式発表

概要イメージ


(1) インシデントタイムライン

日時 出来事
2012年1月 MRTに元従業員男性が勤務を始める。
2012年3月〜4月 元従業員男性が社長ら宛のメールを転送する設定を行った疑い。
2012年5月30日頃 元従業員男性がMRTのサーバーから顧客情報を不正に取得した疑い。
2012年7月 元従業員男性がMRTを退職
2012年9月 MRTが新宿署へ被害相談。
2012年9月18日 iDoctorが設立
2013年12月 元従業員男性宅、iDoctorを家宅捜索。
2014年10月14日 MRTの顧客情報を不正に取得したとして元従業員男性が逮捕
  MRTが元従業員が逮捕されたことについてコメントを発表。
2014年11月4日 元従業員が処分保留で釈放された。
  元従業員男性が私電磁的記録不正作出・供用の容疑で再逮捕。
2014年11月5日 MRTが元従業員が再逮捕されたことを発表。
2014年11月25日 東京地検が元従業員を私電磁記録不正作出・同供用で起訴。
2014年12月18日 東京地検が元従業員を不正競争防止法違反の容疑について不起訴処分。
2015年1月8日 東京地裁で元従業員の初公判

(2) 被害

  • MRTに登録された以下医師、看護師の情報等約1万7000件
    • 押収されたPCから確認された件数であり、MRTが発表したものではない。
MRTとは
  • URL http://medrt.com/
  • 同社の説明によると「医師による医師のためのアルバイト・転職紹介サービス」
  • 紹介実績は2014年10月13日掲載されている情報で655,260件(掲載求人8,345件)
  • 旧名称 メディカルリサーチ&テクノロジー
不正に取得された情報
  • 氏名
  • 生年月日
  • メールアドレス
  • 住所
  • 勤務先医療機関
  • 出身大学
  • 卒業年

報道では取り上げられていないが、同社のサービスではこの他に登録時に次の情報を入力する。

  • 性別
  • 携帯電話番号
  • 電話番号(任意登録)
  • 役職名
  • 勤務可能ジャンル
  • 紹介者名
  • MRTを知ったキッカケ
  • 希望勤務形態(任意登録)
  • バイト希望時間帯(任意登録)
  • 要望(勤務時間帯、勤務希望地、給与等) (任意登録)
  • FAX番号(任意登録)
  • 賞罰の有無

(3) 発端

  • MRTの内部調査で情報の流出が発覚したため。*1

(4) 原因

  • 元従業員男性がMRTのサーバーから個人情報を不正に取得、複製したことによる。
  • 元従業員男性が設立に関わったiDoctorでMRTから不正に取得されたとみられる個人情報の一部が家宅捜索で見つかった。

(5) 対応・対策

  • 新宿署へ被害相談
  • 元従業員男性逮捕後にコメントを発表

(6) 元従業員男性に関する情報

容疑・起訴
  • 不起訴処分:不正競争防止法違反(営業秘密の複製)
    • 元従業員男性は弁護士が来るまで話せないと供述。
    • 業務PCを用いてサーバーへアクセスした。
    • インターネット上のデータ保管サービスに当該データを移した。
    • その後私物のHDDに保存して持ち出しを行った。*2
    • 2014年12月18日に東京地検が当該容疑について証拠不十分として不起訴処分とした。*3
  • 起訴・公判中:私電磁的記録不正作出・同供用
    • MRT社長、役員宛のメールを自分のプライベートアドレスへ自動転送させた疑い。
    • メールサーバーへのアクセス権限を保持していた。
    • 2012年9月までに約50万通を盗み見ていた疑い。
    • メールでは登録医師のリストや業務報告等が記載されていた。
    • 元従業員男性は容疑を認めていると報道。*4
    • 2014年11月25日に起訴。
    • 2015年1月8日に初公判。元従業員は起訴内容について認めた。*5
捜査担当
  • 警視庁生活安全部サイバー犯罪対策課、新宿警察署 共同捜査本部
  • 事件名「不正競争防止法違反被疑事件」
元従業員男性が設立に関与した人材紹介会社
MRTとの関係
  • 2012年1月〜7月の間勤務していた。
  • SEとしてシステムの保守管理を担当していた。*8

更新履歴

  • 2014/10/13 PM 新規作成
  • 2014/10/28 PM プレス発表を追記
  • 2014/11/07 PM 続報を追記
  • 2015/01/18 AM 続報を追記

*1:医師などの情報持ち出した疑い,NHK,2014/10/14アクセス:魚拓

*2:医師ら1万7千人個人情報持ち出し…元SE逮捕,読売新聞,2014/10/14アクセス:魚拓

*3:医師情報複製、元SE不起訴 東京地検,日本経済新聞,2015/01/18アクセス:魚拓

*4:社長らあてメール50万通盗み見か 不正に転送した疑い,朝日新聞,2014/11/07アクセス:魚拓

*5:役員宛てのメールを自分へ 元SEが不正転送認める 東京地裁公判,産経新聞,2015/01/18アクセス:魚拓

*6:医師情報 持ち出し容疑 求人サイト 元従業員を逮捕 1万7000件か,東京新聞,2014/10/14アクセス:魚拓

*7:医師1万7千人の個人情報持ち出し容疑 元会社員を逮捕,朝日新聞,2014/10/14アクセス:魚拓

*8:医師情報1万7000人分持ち出した疑い 警視庁、元SEを逮捕,日本経済新聞,2014/10/14アクセス:魚拓