個人情報流出は防げるのか
一時期ばたばたと相次いだ個人情報流出事件。
ちょっと落ち着いたのかなと思ったら、アッカ・ネットワークスから33万9000人分の個人情報が流出したとの発表があった。(「古河建純 インターネットBlog」によると、うち1割くらいがニフティユーザ)
もともとメールマーケの仕事の関係で「顧客情報の管理」は強い関心がある分野なのだが、あまりに多くの企業から膨大な数の個人情報が漏れ、感覚も麻痺してきた。(ちなみに自分はファミマドットコムとソフトバンクBBでひっかかって、図書カードとかもらった)
「なんかさあ、33万人とか聞いても驚かなくなったね」
「うん。まあ数の問題じゃなないんだけど、結局どこが一番多かったのかな」
「ジャパネットたかたも割と多かったでしょ」
「いや、今のところYahoo!BBの記録を抜いたところはなかったはずだよ」
「そっか、450万だもんね。いやー、ほんとYahoo!BBユーザ急増だよね」
「うん、夢物語みたいな目標値って言われてきたけど・・・あれ、何の話だっけ?」
asahi.comを見るとちゃんと各社の流出数一覧があった。
| 2003 | 6 | ローソン | 56万人 |
| 8 | アプラス | 8万人 | |
| 10 | ファミリーマート | 18万人 | |
| 2004 | 1 | 三洋信販 | 116万人 |
| 2 | ソフトバンクBB | 451万人 | |
| シティバンク | 12万人 | ||
| 3 | ジャパネットたかた | 30万人 | |
| アッカ・ネットワークス | 33万9000人 | ||
| 東武鉄道 | 13万2000人 | ||
| サントリー | 7万5000人 | ||
| 4 | コスモ石油 | 92万人 | |
| 日本信販 | 10万人 | ||
| 5 | 三菱マテリアル | 1000人 | |
| ツノダ | 3000人 | ||
| 6 | 阪急交通社 | 62万人 | |
| 良品計画 | 1124人 | ||
| BS-i・P&G | 1万人 |
個人情報流出を起こしてしまった企業の方や、実際に個人情報の管理を担当していて「実は過去のどっかで漏洩しているのでは」という疑念を払拭しきれないでいる人などと話をする機会もあった。
・個人情報の社外流出を完全に防ぐ体制は作れるのか
・過去に情報流出が発生していないか確認をする手段はあるのか
・ところで自分自身は何があっても絶対に魔がささないと言い切れるか
みんなで仲良くID・パスワードを共有していたSBBの性善説(?)体制はかなり特異な事例だと思うけど、特定の立場の人がその気になれば、足跡をほとんど残さずに大量の情報を持ち出せる管理体制の甘さがあった会社は少なくない。実際、上記の事件でも情報漏洩ルートを特定しきれていない企業がかなりあるだろう。
じゃあ、システムや管理体制を改めれば100%守れるのか。
「最後は人が運用するものだから100%と言い切るのは難しいかも。ただ漏洩ルートの特定は100%できるようにする。それが強力な抑止力になるし、監視がしっかりでき異常な動きを早期発見できれば、大事には至らない」
ふむ。
社内のPCに指紋セキュリティシステムを導入するという企業も多いようだ。富士通とか特需だな。
漏れて当然という前提のもと、一般ユーザ側が自衛をもっとしっかり行うというのも重要になってくる。
自分はファミマドットコムの情報漏えいの後、ネット利用に関する架空請求書が届いた。最初に届いた時には、まだ自分の情報がファミマから漏れていたことを知らなかったので、「郵送」で届いたことに対して不気味さを感じたのだが、「そういうことがある」とわかりさえすれば、そんなに困ることでもない(日中にジャンジャンかかってくる教材のセールス電話のほうがよっぽど実害がある)。どの企業でどんな情報漏えいがあったのか、またそれによってどんなトラブルが起きているのかを、ネットなどですぐに調べられるようになっているといい。
情報を登録する際には、住所の中に「どこに登録したものか」特定できる記号を入れるという方法も。これは情報を管理する立場の人が「漏洩した時にいつの時点のデータか判断できるようダミーの情報を定期的に登録する」といって話していたことなのだが、例えば番地や部屋番号の後ろにアルファベットをつけるなど。まあ郵便物が届く範囲なら問題ないのかな。
クレジットカードの明細も毎月きっちりチェックする。カード会社も、もっと啓蒙活動にチカラを入れるべきだろう。まあ、あんまり強調すると、「クレジットカード利用は危険」というメッセージになってしまうので難しいとは思うんだけど・・・。
さてこの記事、落としどころがわからなくなってきたが、
2005年4月には「個人情報保護法」も完全施行になるということで、ちゃんと勉強をしとかなくっちゃな。
| 個人情報保護法対策セキュリティ実践マニュアル | |
 | 日本ネットワークセキュリティ協会個人情報保護ガイドライン作成ワーキンググループ 発売日 2003/12 売り上げランキング 2,387 おすすめ平均  体系的によくまとまっているAmazonで詳しく見る   |
コメント
Oh!けい
わたしも東武鉄道の漏洩でチケットをもらいました。
情報漏えいでわたしが一番不安なのはお役所です。
某お役所関連のシステムのマニュアル制作をしたとき、マニュアルの中にパスワードの記述があり、「これは初期パスワードで、変更後は変更したものを忘れないように…」といった記述が必要だと思って書いたところ、「このパスワードは担当者が変わったりしても困らないように永遠に使えるものです」と言われて、「印刷物に、永遠に使えるパスワードを書く!?????」と絶句。
実はこのシステム自体は、一般市民が誰でも触れるようになっているものなのです。恐ろしいことですが、わたしやこのマニュアルの制作、印刷に関わったものは全員、いつでもどこかのお役所で、このシステムにパスワードを入力して自由にデータに手を加えたり、本来市民には公開されていない情報も見ることができます。
row
私の場合は、住所のあとの数字を意図的に増やしています。
通常、何丁目何番地何号と
3つの数字を使いますが、
何丁目何番地何号の何と
4つの数字を使います。
実家の住所は、4つの数字を使おうが 3つの数字を
使おうが、郵便物が届くので 逆に利用させてもらってます。
記号だと、逆にバレるかもしれませんね。
わだ
自治体とか、確かにありそうな話ですね。(似たような話を聞いたことがあります)
一般企業みたいに人が頻繁には動かないせいか、あるいはリストラされず定年まで勤め上げることができる職場のためか、単にシステム担当者が少ないためか、悪いこと考える人がいないのか、性善説っぽいですよね。
ちなみに、自分も企業からの受託で調査・コンサル業務をする立場として「下請けの自衛」が必要になってきています。アンケート結果の集計・解析を行う場合には、名前・メールアドレスを削除したデータをもらう。こっちが最初に生データを触らないといけない場合には、速やかに必要業務を終えて個人情報部分は抹消。クライアントにもその状態で納品。自分のところでは漏洩がなくても、クライアントに渡してそこで漏洩すれば、まず疑われるのは自分なので。
「1000件以上の個人情報データを保持し続けるのは重荷ですよ。ちゃんと鍵のかかる保管庫をお持ちですか?」などと説明し、できるだけそうさせてもらうようにしています。もちろんそれで漏れれば確実にこちらが漏洩源ということになるので、「自分は責任を持ってデータを抹消した」という身の証にもなるかなと思っています。
rowさん、確かに部屋番号につけるとかじゃないと、記号は変ですよね。昔、証券会社のデータがリスト業者に漏れたとクレームを入れた人が、その根拠として「だってこの名前は熊のぬいぐるみなんですから!」と書いていたのを何かで読みました。・・・熊のぬいぐるみ名で口座開けたのか?と思いつつ、そういえば銀行員時代に「えっ、本人確認の書類?あるわけないじゃない。猫の名前だったんだから・・・」という人の口座解約手続きをした記憶があります。昔はできちゃったんですね。
k-tanaka
SBBはいまや、顧客情報は無菌室みたいな部屋に入ってて、そこ入るのにわざわざポケットのない服に着替えるとか聞きます。ドモホルンリンクルのCMか!?(^^;)
うちの会社も個人情報取扱事業者として、法施行を前に対策に追われてますが、高性能な漏洩防止システムを入れる金もなければ、専属スタッフを割く人的リソースもないクソ零細では、もはやヤル気のある人間が知恵と工夫で仕組みづくりをする他はなく、かなり泣きそうです。
しかし個人情報漏洩防止は、「プライバシー保護」が至上命題であることは言うまでもないことながら、実は生かされずに溜まるがままになっている情報資産をきちんと見直し効率化する機会でもあったりして、どんなに小さい会社で目先が忙しかろうと真摯に立ち向かうべきテーマなんですよね…って自分に言い聞かせながら日々取り組んでます(^^;)。
わだ
> SBBはいまや、顧客情報は無菌室みたいな部屋に入ってて、
> そこ入るのにわざわざポケットのない服に着替えるとか聞き
> ます。ドモホルンリンクルのCMか!?(^^;)
わお!見てみたい!
SBBセキュリティ強化特需は、ほんとに大きそうですね。
(お金もあるし、スピード優先だし・・・)
個人情報保護は、真面目にやろうとすると大変なんですよね、本当に。自分の前職のメールマーケ会社は、割と早い段階でプライバシーマークを取得したのですが、そんなに特別広いわけでもないオフィスの一角に特別な小部屋をしつらえて、入り口には指紋認証のセキュリティを設置してました。
設置当初は、他社から見学もあったと聞いています。
まあメールマーケ会社にとっては、古河社長のいうところの「まさに企業の生命線」なので当然なのかもしれないけど、そうでない場合には、分かっていても忙しすぎてそれどころじゃないっていう状況、ありますよね。
ホントに誰か意識の高い人が、「面倒くさいルールを作りやがって」とか回りから多少煙たがられながらも、孤軍奮闘しながら管理体制の見直しを推進していかないといけないのでしょうね。
頑張ってくださ~い!
他人事ながら応援してます!\(^o^)/
でぃえら
僕は特に個人情報流出でどうこうというのはないですが,
架空請求や,海外宝くじなどなど来たことはあります.
その他アポイントメント商法,デート商法等の悪徳業者を始め,先物取引などなどの電話勧誘なんかもありますね^^;A
いずれも被害にあったことはありませんが,実際どこからもれてるのやら?
さて,どんな完璧なシステムを作っても最終的には扱う人間次第ってことは,最終的には自己防衛せざる終えないということですか?
となると突き詰めればどこか無人島で自給自足しながらくらすのが一番?^^;A
ほんでもってたまにいい魚がつれたら近くの町で売って,
「あいつはぁ,あの無人島で暮らしてる変わりモンですたい」みたいなことを噂される漫画の脇役ようなキャラになる?^^;A
もしくは個人情報をとことんさらしてしまって,
もはや流出して困るような個人情報がなくなるようにするっていうのも,究極の自己防衛にもなるか?
でも両方とも実践したくはないな^^;A
わだ
それで思い出したんですが、
今年の4月1日には知人から
アホー・バッカBBご利用者各位
お客様情報流出問題に関する、現時点までの調査結果と今後の対策について
という、1時間くらい大受けしまくったエイプリルフールメールが届きました。WEBへの転載不可なので書けないのですが、情報漏えいしちゃったユーザへの状況説明と謝罪のメールという形態をとり、「※ブログで自ら個人情報バンバン垂れ流しているくせに。」「※おまけにソーシャルネットワーキングでは顔写真まで。怖くないんですかあんたは。」とか織り込まれたもの(あとででぃえらさんに転送します♪)。
うーん確かに、ブログで「聞いてないよ」ってほどのプライベート情報をだしまくり、ソーシャルネットワーキングでは下手するとなぜか過去にまで遡って顔写真公開(少しでも若い頃の写真をだしたいってのもあるんかな)。
今更「メールアドレスが流出した」って騒ぐのも、
露出狂が「スカートめくられた」って言うのに似てるかも。
個人的には、クレジットカード情報が変なところに流れちゃわなきゃ、まっいいな。フリーランスの身で、今から新規にカード作り直すの、ちょいきついんで。
でぃえら
メール拝受いたしました
文面もさることながら,
私の知らない和田さん情報満載で,
大変楽しませていただきました^^;A
来年のエイプリールフールを楽しみにしております