『SEOマーケティングの未来を読む vol.145』
流出する個人情報とその原因とは
【1】 大阪マラソン参戦決定(2年連続2回目)
4年連続落ち続けた大阪マラソン、なぜだか今年当選して、2年連続2回目参戦決定しました。
ありがとうございます、ありがとうございます。
気付いたら大会まで150日切ってたりして、少しずつまた走り込みを開始。
■ 大阪マラソン
http://www.osaka-marathon.com/
頑張ろうと思った矢先、神戸マラソンは落ちていました。
何かを得れば何かを失う、去年はIPS細胞の山中教授が40kmあたりで並走する状態になって興奮したランでしたが、今年は勝手にコブクロさんに勝てるよう頑張ろうかと思います。
去年コブクロの小渕さん「3時間41分3秒」・・。
早い!
【2】 WEBマーケティング4コマ漫画
第204話
返3秒アイキャッチ
呉くんが訴求力の重要性について考えております。
第203話
訴求力のあるアップの顔
商品広告の魅力を出す方法を呉くんが悩んでいるようです。
第202話
ペルソナ
サイト作成するにあたって、押さえておきたいペルソナってなに?
第201話
ファビコン
ファビコン?呉くんは聞きなれているような、そうでないような…
第200話
返報性の法則
呉くんが試飲を行ったそうです。あれ…その手に持っているものはいったい?
第199話
アンカリング効果
呉くんがとても嬉しそうに涼んでいます。いったい何があったのでしょうか。
【3】 流出する個人情報とその原因
クレアネットではプライバシーマークの今年更新がありまして、いろんな審査や監査が終了したところ。
結局啓蒙活動とか仕組みとか、日頃の意識の部分にこういった問題は関わってくるような気がします。
いくらやってもきりはないけど、漏洩ミス、が起きてしまったらそれは一瞬、覆水盆に返らず。
今回はそんな話です。
最近、サイバー攻撃に不正ログイン、不正ウイルスにマルウェア、内部の者の犯行、そしてPCの紛失……様々な理由で企業から個人情報が流出し、世間を騒がせています。
つい最近もベネッセから個人情報が流出し、問題となりましたね。個人情報はなぜ流出してしまうのか。
今回のメルマガでは、最近起こった様々な個人情報流出事件を取り上げ、それがどのように起こったのかを見ていき、感想を述べてみたいと思います。
ベネッセの情報漏洩はなぜ起こったのか
ベネッセコーポレーションで発生した、推定で約3000万件もの大量の個人情報が流出した事件は、世間でも大きな関心を集めました。
「お詫びとしてベネッセから500円をもらった」なんて人が身近に一人や二人いると思います。
この事件は、まず顧客の問い合わせで情報漏洩の可能性が認識されたところから始まります。
そうして社内調査を経て情報漏洩の事実が確認され、警視庁に刑事告訴されることになり、その結果、警視庁によって不正競争防止法違反容疑で逮捕されたのは、
情報システム子会社シンフォームの業務委託先の元社員でした。
言わば内部の者の犯行だったのです。
調査報告によって明らかになった不正な個人情報領得の手口
シンフォーム内部の被疑者は不正に領得した顧客などの個人情報を名簿業者に売却していました。
個人情報を手に入れたその手口とは、一体どのようなものだったのでしょうか。
調査報告によって明らかにされた被疑者の手口を解りやすく説明すると、次のような流れになります。
・データベース内に保管されていた顧客などの個人情報を抽出
・その情報を業務で使用していたPCに保存
・PCに保存された個人情報をUSBケーブルで自身のスマートフォンの内蔵メモリに転送
手口を見ていると、どこかで発覚しそうなやり方のように思われます。にも関わらず、どうして個人情報をむざむざと盗まれてしまったのでしょうか。
手口から明らかになったシステム上の3つの問題点
調査の結果、システムに以下の3つの問題点があったことがわかったそうです。
・定期的に見直されることのなかったアクセス制限
・機能しなかったアラート
・スマートフォンに対して無防備だった書き出し制御
それぞれを詳しく説明していきます。
定期的に行われていなかったアクセス権限の見直し
業務担当者のPCからデータベースへのアクセスには、「管理者の証人を得て業務担当者がアクセスの付与を申請」した上で、「申請受付部門が承認してアクセス権限を付与」するという流れになっていたそうです。
しかしシンフォームでは、付与されたアクセス権限の見直しが定期的に行われていない状況だったそうです。
機能しなかったアラート
個人情報を保有するサーバに業務担当者のPCからアクセスした場合、アクセスログと通信ログが自動的に記録されるようになっていました。
また、その通信量が一定の値を超えると、データベース管理者へメールでアラートが送信される仕組みになっていました。
しかしベネッセのケースでは、このアラートシステムの対象範囲が明確に設定されていなかったのです。
つまり、被疑者が個人情報を保有するサーバに不正にアクセスし、ずっと通信していたにも関わらず、被疑者が対象から外れていたためにシステムが機能しなかったのです。
スマートフォンに対して無防備だった書き出し制御
「業務上の必要性が明確であること」
「その他の方法がない場合」
「責任者の許可を得ている」
上記の3つを満たした場合においてのみ、データを移すための外部メディアの使用許可が降りる規定になっていたそうです。
しかし、このシステムのバージョンアップ時では、「ある特定のスマートフォンや外部メディアへの書き出しについては機能しない状態」にあったそうです。
これらの3つの問題点を見ていると、不正アクセスを防ぐための規定やシステムを作っていたとしても、それが適切に運営されていなければ、絵に描いた餅でしかないということがわかります。
スマートフォンの持ち込みだけでも禁止していれば、この事件は防げたのではないでしょうか。
「対策せず」営業秘密を漏洩した企業の3割の回答
このベネッセグループの個人情報流出事件を受け帝国データバンクが行った「営業秘密に関する企業の意識調査」における1万1023社の回答の結果が発表されました。
その結果、企業の多くが、「営業上の秘密の重要性を認識しながら、漏洩対策に取り組んでいない」
ということが分かったそうです。
事実、漏洩を起こした企業の3割は対策すらしていなかったそうです。
漏洩対策への意識の低さと防ぎにくい「退職者による漏洩」
詳しくデータを見ていくと、
「漏洩対策について取り組んでいる企業」:51.6%
「取り組んでいない企業」:35.2%
となっています。
過去5年間で営業秘密の漏洩があった、もしくは疑われる事例があったにも関わらず、
「対策に取り組んでいない企業」:31.5%
と、驚くほど高い数値になっています。
漏洩に対する意識の低さが見えてきます。
気になったのが、そういった企業から「退職者が再就職先に情報を持ち出すのは防げない」といった声が挙げられていることです。
確かに、個人情報を管理していた管理者や責任者本人の手でそれが持ち出されてしまった場合などでは、防ぐのは難しいと言わざるをえないのかもしれません。
この場合は、最後は個人の問題に行き着くため、漏洩を防ぐために重要なのは社内での円滑な人間関係の構築だと言われているようです。
様々な漏洩や流出の原因
こうした内部の者や退職者による漏洩以外にも、個人情報の流出には様々な原因があります。
「サイバー攻撃」
「不正ログイン」
「不正ウイルスやマルウェア」
「PCの紛失」
などです。
ベネッセコーポレーション以外で発生した個人情報の流出事件を取り上げていき ます。
サイバー攻撃で約4万7000人の情報が流出したソニー
アメリカの映画製作大手ソニー・ピクチャーズ エンタテインメントがサイバー攻撃を受け、著名人を含む個人情報約4万7000人分が盗み出されるという事件が起こりました。
氏名、誕生日、住所の個人情報の中でも特に社会保障番号が狙われており、非常に多く流出したそうです。
これはなりすまし犯罪に利用するためだと言われています。
不正ログインされたNTTドコモとヤマト運輸
NTTドコモでは約225万件の不正ログインが試みられ、実際に6072件のIDで被害が確認されました。
これは、動画や音楽などの自社のネットサービスを利用するために必要な「docomo ID」を使ったもので、管理サーバが外部から侵入された形跡がないことから、何者かによって利用者のIDとパスワードが盗まれたためだと見られています。
同様の不正ログイン事件は、ヤマト運輸でも起こっています。
こちらでは個人向け会員サービス「クロネコメンバーズ」のサイトが不正ログイン被害に遭い、悪用された報告はないものの、利用者1万589人分の氏名や住所、電話番号などが第三者によって盗み見られた可能性があるそうです。
「クロネコメンバーズ」以外のサービスのIDやパスワードの入力が多かったそうですから、様々なサービスで同じIDとパスワードを使いまわしているユーザーを狙ったものだと考えられます。
このNTTドコモとヤマト運輸のケースでは、
「IDとパスワードの管理を徹底する」
「IDとパスワードを色んなサービスに使いまわさない」
ことがユーザーにとって重要だということがわかります。
マルウェアに感染したPCで情報が漏洩したJAL
日本航空(JAL)では最大75万件の顧客情報が漏洩しました。
原因は、2800万件の顧客情報を管理する顧客情報システムにアクセスできる自社のPCの一部に、外部にシステムのデータを送信するマルウェアが仕掛けられていたためだそうです。
PCの紛失により1321人分の利用者情報紛失したワイモバイル
携帯電話会社のワイモバイル(旧イー・モバイル)では、1321人分の個人情報が含まれたPCを紛失する事件が起こりました。
2013年1月から2014年1月まで提供していたコミュニティーサイト「つながるマップ」の運営を委託されている企業の社員が、業務で使用しているユーザーの住所や氏名、生年月日、メールアドレスが含まれているPCを紛失したのです。
PCは発見されていないそうですが、パスワードが設定されていることもあり、個人情報が悪用された事実は確認されていないそうです。
iPhoneやAndroidスマートフォンの危険性
個人情報の漏洩は、企業からだけではありません。
ユーザーの個人情報が詰まっているiPhoneやAndroidスマートフォンも、個人情報の漏洩の危険性が指摘されています。
iOSのアプリ内ブラウザでキーボード入力すると、アプリ側は入力した文字を抽出できてしまうという欠陥を指摘されています。
Androidスマートフォンではインストールしたアプリがバックグラウンドで立ち上がり、個人情報を不正送信するという事例もあるそうです。
よくわからないアプリを次々とインストールする人や、スマートフォンのバッテリーの持ちが妙に悪い人は特に気をつけた方がよいそうです。
通販サイトで入力したパスワードやクレジットカードの番号が盗み見られたり、勝手に個人情報を送信されたりしたのでは、たまったものではありませんよね。
スマートフォンの管理も重要だということがわかります。
まとめ
簡単に企業の個人情報にアクセスできないようにする、IDやパスワードをきちんと管理し使いまわさない、ウイルス対策をする、個人情報を記録したPCを外部に持ち出さない。
当たり前のようですが、これらの事件はそれが徹底されていなかったために起こってしまったのかもしれません。
また、自身の使うスマートフォンにも気をつけなければならないようです。
こうした事件のニュースを見るたびに、企業のセキュリティはどれだけ気をつけても気をつけすぎることはない、ということを再確認させられます。
会社ではプライバシーマークの今年更新がありまして、いろんな審査や監査が終了したところ。
結局啓蒙活動とか仕組みとか、日頃の意識の部分にこういった問題は関わってくるような気がします。
更新のためにもさまざまな体制を整えたり、書類まとめ、時間もコストもかかるのですが結果として理解が深まったり、体制を整えるきっかけになるので、いいかと今は感じてます。
個人情報=お金 と同じような価値観を持たねば。
です。
(記載 谷 美輝)
