ディズニーランドの年間パスポートの個人情報流出の件で、ウチにもお詫び状が来た。
内容はWeb上の報告をそのまま紙にしただけで、社判も押してないし、印刷物を封筒に収めただけのモノで、失礼極まりない。
# つーか、このDM発送のデータも漏れたりせんの!?(笑)

< 調査結果 > 以上、聞き取り調査を中心に、弊社ででき得る限りの調査を実施してまいりましたが、社内ネットワークのログ情報不足などから、最終的に情報の流出元について特定するには至りませんでした。

は、漏れ的にはやはり納得行かない。 そこで「東京ディズニーリゾート ゲストご相談特別窓口」なる電話番号にTELしてみた。

最初に出たオペレータの女性に質問してみた。
俺「社内ネットワークからデータが抜かれた形跡が無いという記述とログが無いから追跡が不可能という文は矛盾しませんか?」
相手「社内ネットワークは限られた人間しか触ることが出来ないのでデータが抜かれる事はありません」
.....(ーー;
質問に対する答えになってない。
そもそも「限られた人間しか触ることが出来ない」という時点でなんだかおかしい(笑)
さらにつっこむと非常に困惑した様子で、別の担当にまわされた。
俺「社内ネットワークにアクセスするパソコンは外部に接続してないと考えていいんですか?」
相手「はい、独立した回線なので。」
俺「では、社内ネットワークに接続しているパソコンや端末ではメールもインターネットも出来ないと考えていいんですね、ですから社外からの不正アクセスでは無いとそういうことなんですよね?」
相手「そのように考えて頂いて間違いありません。外部へ接続を行うパソコンはごく限られた端末しか存在しません。」
いまどきそんな環境があるんでしょうか?
俺「外部アクセスに関する記述はたった2行しか報告が無く、調査内容についての詳細がないんですが、外部へ接続を行っている端末のウイルスチェックや、不正なプログラムの混入が無いかの調査もされたと考えて間違いありませんか?」
相手「.....。私は存知あげませんが、恐らくチェックしたかと.....」

などなどはっきりとしない返事がこの後延々と続きました。
こちらの質問は特に難しい事は聞いてないが、どうやら想定問答には無かった質問だったらしい。

はっきりしたことはこうだ。

顧客データにアクセスできる社内ネットワークは社外と通じておらず、独立したネットワークである。
社外に接続できる端末は限られたものしかない、この端末が社内ネットワークに接続し、データの閲覧や、変更などの作業は一切行わない。
なので、外部からの不正アクセスによりデータが流出したわけではないと判断した。

あれだけの規模の会社で、外部へアクセスできる端末が限られたものしかなく、社員はインターネットもメールも行わない、というのが漏れが聞いた内容だが、いまどきそんな環境はないっしょ。
コレはウソというか、完全に担当の認識違いですね(笑)
前職ではオリエンタルランドの某部署の人と、取引にまでは至らなかったが少しだけ関係があり、しっかりメールによる連絡も頻繁に行えたし、インターネットアクセスが出来ることも確認済みです。
問題は各社員が利用するPCが本当に顧客情報の閲覧などが出来ない状態にあったのかです。
権限の付与などで、閲覧は出来ないにしてもイントラネットの仕組みなどで顧客データベースに接続できる環境にはあったんでしょうね。

社内ネットワークは外部には接続していない

という部分はかなりグレーな答えだとおもうんですが。