宅ふぁいる便の情報漏洩から考える情報管理
2019/2/2
こんにちは。
Tカードの会員情報が捜査機関に提供されていたことが世間の注目を集めてから数日、今度は、「宅ふぁいる便」が約480万件の個人情報を漏洩したことが世間の注目を集めています。
前回の「Tカード事件の何が問題なのか」に引き続き、事務局のFさんが「これがあかんのはわかるけど、何があかんかったん?」と疑問に思っていたそうなので、今回も私が問題点と対策を解説させていただきます。
1 宅ふぁいる便の情報管理
さて、今回の情報漏洩がここまで注目を集めた理由はどこにあるのでしょうか。
宅ふぁいる便を提供している株式会社オージス総研に問題があった点はどこだったのでしょうか。
(1)不正アクセス
株式会社オージス総研は、今回の情報漏洩の原因を、「外部からの不正アクセス」と発表しています。企業が最新のウイルスソフトやファイアウォールを備えていても、ハッキング技術もめまぐるしい速さで向上しているため、不正アクセス自体を完全に防ぐのは難しいです。
これだけであれば、外部からの不正アクセスがあったというだけで、そこまで大きなニュースにはなっていないでしょう。
(2)されてなかった暗号化
今回の事件がここまで話題になった理由は、オージス総研の情報管理の方法があまりにもずさんだったからだと思われます。
企業は、情報漏洩防止のため、保管している個人情報を暗号化して管理しなければなりません(個人情報保護法20条、個人情報保護ガイドライン98頁参照)。
しかし、オージス総研が公表している通り、今回は、パスワードなどの個人情報が暗号化されないまま管理されていました。
出典:https://www.fnn.jp/posts/00417790HDK
暗号化されていれば、情報が流出したとしても、その暗号を解読しなければ、名前やパスワード等を特定できません。
実際、この暗号を解読する作業が非常に大変で、以下の図のように、情報が漏洩しても裸の情報まで暴かれることは少ないです。
出典:http://www.atmarkit.co.jp/ait/articles/1504/27/news032.html
しかし、今回は、暗号化されていないので、名前やパスワード、果ては住所まで、裸の情報が全て筒抜けになってしまったのです。
オージス総研の情報管理がいかにずさんだったかお分かりいただけたのではないでしょうか。
事実、今回のオージス総研の情報管理は、「世のエンジニア卒倒レベル」「この2019年に起こるレベルの問題ではない」等と酷評されています。
このずさんな情報管理の結果、宅ふぁいる便を利用していた人々の個人情報が漏洩し、不審なメール、郵便物等が来ることになってしまったのです。
数年前にベネッセが受講生の個人情報を漏洩したときと同様に、オージス総研の利用者からの多額の損害賠償を請求される、信用を失いサービスを利用されなくなる等、大幅な赤字になってしまうのもそう遠くはないでしょう。
2 最後に
今回の事件をきっかけに、情報管理体制の見直しが求められることになるでしょう。
しかし、個人情報の管理体制を構築し直すのは大変ですよね。
弊所には、個人情報などのデータの取り扱いに対して、豊富な知識を有している弁護士も在籍しております。
「うちの会社はどうなのだろうか」「今回の事件をみて、うちの会社の個人情報の取り扱いを見直したい」等がございましたら、一度、弊所までご相談にいらしてください。
会社の業種、状況などから予想されるリスクの種類の大きさを一緒に考えていきましょう。その上で、費用対効果の観点から望ましい、企業ごとにカスタマイズした個人情報の取り扱いをご提案させていただきます。
執筆者:弁護士 森本 禎