スマートフォンで数百万人分の個人情報流出の可能性(平成24.5.18)
高機能携帯電話(スマートフォン)の電話帳に登録されている個人情報を勝手に送出するアプリケーションソフト(アプリ)がインターネットで配信されていた事件で、国内のレンタルサーバーに数百万人分の個人情報が残されていたことが判明しました。
警視庁では個人情報を抜き取る目的でアプリが作成されたとみて、流出の経路などについて調査しています。
事件の概要
平成24年5月17日、警視庁は東京都内のIT関連会社など関係先数か所を不正指令電磁的記録供用の容疑で家宅捜索しました。
その結果、基本ソフトである「アンドロイド」を搭載したスマートフォンの利用者約30万人分のアドレス帳の情報が国内のレンタルサーバーに記録されていることが判明しました。流出したのは「the Movie」などのタイトルが付いた28種類の無料のアプリをダウンロードした利用者の情報でした。
スマートフォンのメーカーや携帯電話会社などでつくる「日本スマートフォン協会」が平成24年5月24日に都内で開かれた会合で報告したところによると、利用者の個人情報を外部に流出させるなどの不正な動作をするアプリが急増しており、昨年1年間でおよそ4000件の不正アプリが確認されたとのことです。
不正アプリは、「アンドロイド」タイプのスマートフォンを対象としたものがほとんどで、最近は、利用者の電話番号とメールアドレスを盗み取ったうえで高額の利用料金を請求するなど、手口がさらに悪質になっているとのことです。
日本スマートフォンセキュリティ協会では、「アプリの開発者に向けたガイドラインを作ったり、アプリの審査体制を強化したりするなどの取組が必要だ」として、今年7月をめどに問題のあるアプリへの対策をまとめるとしています。
スマートフォンから個人情報が流出する事件が急増する中で、総務省でも何らかの規制を設けることを検討し始めています。
当面、個人が行い得るリスクマネジメントとしては、アプリをダウンロードする際は、携帯電話会社の公式アプリなど、一定の審査を通ったもののみに限定し、むやみに無料のアプリをダウンロードしないことが挙げられます。メールや通話は携帯電話で、インターネットへの接続はスマートフォンでと、携帯電話とスマートフォンを併用して使い分けることでリスクヘッジを図ることも考えられます。
特に、ビジネスとプライベートとの両方の目的で1つのスマートフォンを使用している場合は、顧客情報の流出や会社情報の流出の可能性があるため、より一層の注意が必要とされます。
ベクター、カード情報を含む最大約26万件の個人情報流出の可能性
オンラインソフトウェア流通サイトを運営する株式会社ベクター(JASDAQ上場)は、平成24年3月22日に「不正アクセスによるお客様情報流出の可能性に関するお知らせ」を自社サイトに掲載しました。
事件の概要
3月21日午前2時30分ごろ、同社のサーバーに異常が発生し、システム担当者が対応したところ、3月19日午後8時55分ごろから3月21日午前0時01分ごろまでにかけて、計4回の不正アクセスと思われる痕跡があることが発見されました。
調査の結果、同社のお客様情報を保持するサーバーについても不正アクセスされたと思われる痕跡がみつかり、個人情報が外部へ流出した可能性があることが判明しました。
不正アクセスされた個人情報を保持するサーバーには、当時、最大で26万1161件の個人情報が蓄積されており、その一部にはクレジットカードの情報も含まれていました。最悪の場合、この全情報が流出した可能性があるとのことです。
同社では、3月21日以降、調査対策委員会を設置し、外部調査機関2社と連携して、原因究明および被害実態の継続的な調査を行い、調査結果に基づく対策を実施しています。調査完了は6月中となる見込みで、この結果を受けて最終結果の報告をする予定とのことです。
なお、今回の事件を受けて、同社がセキュリティ強化のために実施した対策は、
- アクセス制限の強化
- 社内業務用として保持する個人情報の大幅な削減および暗号化
- 通信を監視・制限する専用機器の設置および専門会社によるモニタリングの開始
などであり、さらに、今後の計画として、クレジット業界におけるグローバルセキュリティ基準であるPCIDSS(Payment Card Industry Data Security Standards)の取得が挙げられています。
不正アクセスによるお客様情報流出の可能性に関するお知らせ
不正アクセスに関する最新状況のご報告
最近の個人情報漏えい事件は、従前よく見られた人為的なミスによるものより、外部からの不正アクセスによるものが目立ってきています。顧客の信頼を維持するために、企業としては、情報セキュリティ対策の徹底を今後ますます求められることになるものと思われます。
また、今回の個人情報漏えい事件では、会社が個人情報漏えいの可能性をいち早く開示したにとどまらず、その後の調査結果や会社の事後対応についても、継続的かつ詳細に公表するなど、顧客に配慮した対応が取られており、企業のクライシスマネジメントのあり方として評価できるものと思われます。
慶應義塾大学で学生・卒業生6172人の個人情報流出
慶応義塾大学は2011年1月23日、同大理工学部と大学院理工学研究科の学生、卒業生計6172人の個人情報がインターネット上で一時閲覧可能な状態になり、第三者に閲覧されていたと発表しました。
閲覧可能になっていたのは、2007年度を除く03〜11年度の理工学部設置科目履修者名簿や学籍番号、試験の得点や評価が記録されたファイル44種類で、一部には履修者の自宅住所や電話番号も含まれていました。
同学科の40代男性准教授が2011年5月に外部からインターネットを通じて同大のサーバーにアクセス可能にしようとした際、誤って認証なしで閲覧できる状態に設定したとのことで、同年12月から検索サイトで検索可能となり、同大大学院生が2012年1月5日になって気付きました。
同大で調査したところ、2011年12月26日から2012年1月6日までの間に39件の閲覧があったとのことです。これまでのところ(2012年1月24日時点)、2次被害の報告はないとのことです。
なお、同大では、約半年前の2011年6月27日にも、病院スポーツ医学総合センターにおいて患者の個人情報が記録されたUSBメモリが所在不明となり、病院長名のお詫びが発表されています。
一般的に、大学では未成年者の情報も含め、膨大な数の学生の個人情報を取り扱うことから、情報管理には細心の注意を払うことが求められます。
特に今回の事故では、試験の得点や評価など、本人にとって他人に知られたくないと思われる情報が含まれていることから、情報を閲覧された可能性のある方々の精神的なショックが大きいケースではないかと思われます。
個人情報の漏えいは多くの場合、人為的ミスによるものであるため、発生可能性をゼロにすることはできませんが、同大には今後の再発防止対策の徹底が望まれるところです。
シティカードジャパンから9万2400人分の個人情報が流出
シティカードジャパン株式会社は、平成23年8月5日に、約9万2400人分の顧客情報が外部流出した可能性が高いと発表しました。
情報漏れに気づいた顧客からの問合せがあったことから、本件事実が発覚したとのことで、同社の説明によると、同社のカード事業の一部の委託を受けている会社の関係者が不正に顧客情報を取得して第三者に売却したとのことです。
同社では当該事実が明らかになった時点で警察に届け出て、捜査に協力しているとのことです。
なお、流出した個人情報には、暗証番号などのセキュリティー情報が含まれていないことから、これまでのところ、カードの不正使用は確認されていないとのことですが、仮にクレジットカードの不正使用が起きた場合でも、顧客には支払い義務がないとの説明がなされています。
同社では、本件について、特設ダイヤルを設けて対応しています。
個人情報取扱事業者は、「個人データの取扱いの全部または一部を委託する場合には、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督をおこなわなければならない」とされています(個人情報保護法第22条)。
具体的には、
- 委託先の選定
- 委託契約の締結
- 委託先における個人データ取扱状況の把握
などについて適切に行うことが求められています。
特に、クレジットカード情報などの漏えいした場合に二次被害が発生する可能性が高い個人データの取扱いを委託する場合には、より高い水準で「必要かつ適切な監督」を行うことが求められます。しかし、実際には、外部の事業者を適切に監督することは、自社の従業員等を監督する以上に難しいものと思われます。
個人情報取扱事業者としては、個人データを外部の事業者に委託するにあたっては、委託する情報を必要最小限の範囲に留めるなど、個人情報の外部流出などの万一の事態が発生しうることを前提として、かかる事態に備えた対応を常日頃から心掛けることが必要とされるものと思われます。
慶應義塾大学病院スポーツ医学総合センターUSBメモリ紛失
平成23年6月17日、慶應義塾大学病院スポーツ医学総合センターにおいて24,459人分の患者個人情報が記録されたUSBメモリの所在が不明であることが判明しました。
USBに記載されていた個人情報
| 対象 | 1991年9月〜2011年4月に同センターに受診した患者データ | ||
|---|---|---|---|
| 件数 | 24,459人分 | ||
| 内容 |
|
なお、USBメモリに記録されていた個人情報は、データベースソフトで管理されており、このソフトにはIDパスワードによるセキュリティがかけられているとのことです。
同大学病院では、再発防止対策として、
- 病院内のすべての端末について特殊USBのみを使用する
- 慶應義塾大学信濃町キャンパスに勤務する全教職員(非常勤を含む)に改めて「医療個人情報に関する誓約書」の提出を求める
ことを行うとのことです。
医療情報は、個人にとっては特にセンシティブな情報であるとの意識が高いものであることから、医療機関にとって情報セキュリティは、信用を維持するうえで非常に重要な事項であるものと思われます。この事件を機会に、他の医療機関においても情報セキュリティの見直しや管理体制のさらなる強化が図られることが期待されます。
ソニー個人情報流出問題
ソニーの複数の米国子会社のシステムにハッカーが不正アクセスし、同社のインターネット配信サービス利用者の個人情報計1億件超が流出する問題が発生しました。
2011年4月19日、ソニーの米国子会社のサーバが突然再起動したことから、異常を察した同社はこのサーバで運営する「プレイステーション・ネットワーク」と「キュリオシティ」のサービスを停止しました。
4月26日、ソニーは不正アクセスにより7万7000件の個人情報が流出した可能性があることを発表し、さらに、5月2日にも不正アクセスにより2460万件の個人情報流出の可能性があることを発表しました。
サービス停止から個人情報が流出した可能性があることが発表されるまで約1週間を要したこと、個人情報の流出可能性が複数回にわたって公表されたこと、1億件を超える個人情報が流出したことが確認されたことなどから、ソニーの情報管理体制や消費者に対する情報開示の姿勢に対して批判が集まりました。
これに対して、ソニーのCEO(最高経営責任者)であるストリンガー氏は、5月17日に記者団に対して「今回のような攻撃は前例がない」としたうえで、「こうした情報流出の多くは、企業による報告がないままとなっており、43%は被害者に通知するのに1ヶ月を要している。当社が1週間で対応したことは、十分速くなかったというのだろうか。」と訴え、個人情報流出問題について、対応が遅かったとする批判に対して反論しました。
今回のハッカーによる攻撃は、ソニーが米国の有名なハッカーをプレイステーション3のセキュリティーを破ったことを理由として著作権侵害で提訴したことに端を発したものと見られており、ソニーはハッカー対策を誤ったのではないかとの指摘がなされています。
これについて、ストリンガー氏は、「ソニーおよびプレイステーションにとって危険な行為が行われた。我々は犯罪行為だと認識し自分たちを守らなければならなかった。」として提訴の正当性を主張しています。
なお、今回の問題によりソニーに発生する補償やセキュリティー強化などにかかる費用は、1000億円とも1600億円とも言われており、さらに、今後のビジネスに関しても、ネットワーク端末の伸び悩みなどが懸念されています。
ネットビジネスにかかわるすべての企業にとってハッカーによるサイバー攻撃は大きなリスクとなっていますが、ハッカーによる攻撃は、近時増加する傾向にあり、また巧妙化してきています。
今回のソニーの問題はどの企業にとっても決して対岸の火事ではなく、セキュリティリスクを軽減するための措置を改めて見直す必要性を感じている企業も少なくないものと思われます。
大手スポーツ用品メーカー社員が契約選手の来店情報を流出
平成23年5月19日にアディダスジャパン株式会社の社員が同社の銀座店を訪れたスポーツ選手とその家族に対する中傷的な内容の書込みをTwitterに行い、その後、この選手が同社の契約選手であることが判明したことから、書込みを行った社員に対する批判が相次ぎ、社員の過去の書込みや、社員本人やその家族の写真がネット上でさらされるなどして、いわゆる「祭り」状態となりました。
同社は、同日、選手とその家族および所属チームに謝罪し、また、HP上に「お詫びとご報告」を掲載し、「スポーツブランドとしてあるまじき事であり、この事態を厳粛に受け止め、このようなことが繰り返されないよう、社を挙げて再発防止を徹底してまいります。」などとしました。
スポーツ選手に関する情報流出については、今年の1月にも、ホテルのテナントのアルバイト店員が有名選手の来店情報をTwitterに書込みホテルが謝罪するという騒動が起きていますが、今回は、スポーツ用品メーカーの社員が自社の契約選手やその家族について来店情報を流出させただけでなく、契約選手やその家族を中傷する内容の書込みを行ったものであり、まさに「スポーツブランドとしてあるまじき事」が行われたといえます。
同社では全社員に対し入社時に、スポーツブランドとしての行動規範をはじめ、お客様情報の守秘義務等に関する研修を行っていることが「お詫びと報告」に記載されています。
そうした対応がなされているにもかかわらず、今回のような騒動を発生させてしまったことに鑑みますと、社員のソーシャルメディアの利用にかかる企業のリスクマネジメントの難しさを改めて考えさせられます。
ホテル従業員が有名人の来店情報を漏えい
ウェスティンホテル東京のホテル内の飲食店のアルバイト店員が、平成23年1月11日夜に、有名スポーツ選手が女性タレントと来店したことを個人のtwitterアカウントでつぶやき、「今夜は2人で泊まるらしいよ」などと書き込みました。
かかる事態を受けて、同月12日夜、同ホテルでは、総支配人名で同ホテルのホームページ上において「[総支配人より]お詫びとご報告」として、本件について謝罪し、経緯及び今後の対応について公表しました。
公表された謝罪文によれば、同ホテルでは社員・アルバイトにかかわらず全ての従業員に対し、入社時にお客様情報の守秘義務等に関する研修を行ったうえで、契約書に署名させているとのことです。
それにもかかわらず、今回問題となった従業員は、特定のお客様の来店について情報発信していたとのことであり、同ホテルでは、問題となった従業員に対して厳しい処分を下すと共に、全従業員へのお客様情報の守秘義務等に関する教育を再度徹底し、再発防止に全力を挙げて取り組むとのことです。
ホテルの場合、お客様の来店情報が外部に漏れるという事態は、即そのホテルの信用問題に繋がるものであることから、お客様情報については厳重に管理し、漏えい等の問題が生じないようにすることが重要となります。
今回の事態は、ウェスティンホテルの信用を毀損し、レピュテーションを低下させかねないものといえます。
ただ、問題が発生した翌日には謝罪文が公表されており、また、お客様情報を秘密に管理するために、テナントの従業員まで含めたすべてのホテル従業員に対して守秘義務研修等を行って誓約書に署名させていることなど、秘密情報の保護のために同ホテルがとっている安全管理体制について言及することにより、迅速かつ有効なレピュテーションマネジメント対応が行われており、この点において評価しうるものと思われます。
ヤマト運輸 iPhoneで個人情報閲覧可能
ヤマト運輸の携帯サイト「携帯版クロネコメンバーズのWebサービス」にiPhoneを使用してアクセスした利用者に、他人の氏名、住所、電話番号、メールアドレスなどが閲覧可能な状態になっていたことが判明しました。この携帯サイトでは、集配や再配送を依頼できるサービスを提供しており、9月末現在の登録者は約560万人となっています。
本来、スマートフォンから携帯サイトアクセスすることはできませんが、iPhoneの公式サイトで販売されているアプリ「エスブラウザ」を使用すると接続が可能となります。今回のトラブルは、このアプリが複数の利用者に対して同じ識別番号を付与していたことに起因します。
同社は、10月中旬に利用者から指摘を受けて調査を開始し、1名の顧客が2名の顧客から個人情報を見られた可能性があることを確認しました。同社は10月19日にクロックログイン機能を停止しましたが、同月25日、当該機能を再開しました。
携帯からウェブサイトを閲覧する場合、携帯IDが本人認証に使用されていますが、サイトによっては、パスワードを打ち込まなくても会員ページにアクセスできるよう携帯IDだけで本人認証しているサイトがあります。
しかしながら、「エスブラウザ」のような携帯IDを作れるソフトが出てきたため、いわゆる「なりすまし」が容易にできる状況になっています。今後、サイト側の対策の状況によっては、同様の問題が発生することが懸念されます。
任天堂カンファレンス2010来場者名刺紛失事件
任天堂は、平成22年9月29日に開催したイベント、「カンファレンス2010」の来場者から受領した名刺約1200人分を移動中に紛失しました。このイベントへの来場者は、マスコミや証券アナリスト、流通などの業界関係者が中心でした。
同社は、本件は個人情報保護法に基づく告知の義務の対象となるものではないとしたうえで、自社のホームページ上で本件についての報告を行うと共に、関係者に対し、個別の事情説明を行いました。
個人情報保護法第20条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定されています。
この規定に基づき、個人情報取扱事業者が安全管理義務を負っている対象は、「個人データ」です。「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいいます。
つまり、来場者から受け取ったばかりで、まだ全く整理されていない名刺の束は、個人情報保護法で保護される個人データには該当しないということです。
このような理由から、同社は、本件は個人情報保護法に基づく告知の義務の対象となるものではないとの断りを入れたうえで、消費者等の反応を考慮したうえで、あえて自社のホームページ上で事件の報告を行っているものと思われます。
同社のかかる対応は、まさに、“レピュテーションマネジメント”を意識した行為として評価に値するものと思われます。
都立福生高校個人情報漏えい事件 (2010年8月)
東京都教育庁は8月3日、都立福生高校の教諭が、同校を受験した中学生の入試結果など延べ2604人分の個人情報が入ったUSBメモリーを7月末に紛失したと発表しました。その後、USBメモリーは福生高校に戻りましたが、個人情報流出の被害は、いまのところ確認されていません。
また、この個人情報漏えい事件により、都立福生高校の校長が、東京都教育庁に対して虚偽の報告を行っていたことが判明しました。
東京都教育庁によると、7月30日までに、千葉県内の男性から「電車内で見つけた」とUSBメモリー2個が福生高校に郵送されましたが、これらは、7月25日に福生高校の教諭が電車内で落とした私物で、09〜10年度に福生高校を受験した生徒の個人情報が入っていました。
私物のUSBメモリーの使用は禁止されていましたが、教諭は「仕事を家でするため持ち帰った。入試の成績はクラス分けに必要だった」などと話しているということです。
この事件に先行して、東京都教育庁は、情報流出を防ぐため、USBメモリーに記録できないよう、特設のサーバ上で成績を管理するシステムに移行するよう求めていましたが、福生高校では期限までに移行していなかったにもかかわらず、「移行は完了した」と虚偽の報告を行っていました。校長は、「あってはならないことで深くお詫びする」と謝罪しました。
ノートパソコンやUSBメモリーを持ち出したことにより発生する個人情報漏えい事件は、決して少なくありません。それ故に、東京都教育庁も特設サーバ上での成績管理システムへの移行を各校に指示していたものと思われます。
最近ではクラウドコンピューティングの技術を利用して、情報を持ち出さなくても自宅で仕事をすることが可能な環境が整いつつありますので、今後は、個人情報の持ち出しによる個人情報漏えい事件が減少することが期待されます。
株式会社NEO BEATクレジットカード情報流出事件(2010年8月)
ネット宅配のシステム会社である株式会社NEO BEATが運営するウェブサイトに、2010年7月24日から26日にかけて日本国内および中国の4つのIPアドレスからの不正アクセスがあり、顧客のクレジットカード情報12,191件が流出する事件が発生しました。
流出した顧客情報は、クレジットカードの番号、名義、および有効期限です。
この事件に関しては、複数の不正利用が確認されていますが金銭的被害の額については、現在調査中とのことです。
同社は、システムの運用を停止し、情報セキュリティ会社と共同して調査を進める一方で、よりセキュリティの高いシステムを導入するとしており、また、クレジット会社各社と協調して、情報流出の対象となった顧客に金銭的被害が発生しないよう対応するとしています。
個人情報の流出事件は、以前は従業員の操作ミスなどの過失によるものが多かったのですが最近は、クレジットカード情報を狙った不正アクセス事件が増えているように思われます。
一休.Com 携帯サイトで顧客情報が誤表示 (2010年7月)
ホテルや旅館の検索および予約が行える一休.comのNTTドコモ向け携帯サイトにおいて、NTTドコモのiMenu検索を経由して同サイトにログインし予約などの操作を行った顧客の氏名、住所、電話番号、メールアドレスなどの個人情報が約5日間にわたり一定時間内において他のユーザから閲覧可能な状態になっていたことがわかりました。
個人情報を閲覧された可能性のある顧客数は最大で122人であることが確認されていますが特定することが困難であるため、株式会社一休は問題が発生した経路で同サイトにログインしたことが確認されたユーザ2814人に対し、個別に連絡をし事実の報告と謝罪をしました。
ベルシステム24社員逮捕!!(2010年7月)
コールセンター最大手の(株)ベルシステムの契約社員が委託元の三菱UFJニコス(株)の顧客情報を不正に入手し今年1月から5月までに間にルイ・ヴィトン社の商品計約100点、約860万円相当を不正に入手した容疑で逮捕されました。
逮捕された契約社員は委託元顧客のクレジットカードの不正利用に関する監視業務に従事していましたが夜間の勤務中に会社の端末からクレジットカード番号やセキュリティーコードなどを不正に取得していたとのことです。
本件については、現在、警察当局が捜査中ですが、ベルシステム24は、今後の再発防止策として、
- 教員教育の強化
- 管理監督・モニタリングの強化
- コンプライアンス意識の向上
を図るとのことです。
やはり、「情報管理は、人の管理」に尽きると感る事件です。
「モンベル」約1万人分の顧客情報盗難 (2010年2月)
アウトドア用品メーカー「モンベル」の通販サイトが中国から不正アクセスを受け約1万人分のクレジットカード情報が盗まれました。内100人以上のカード情報が不正利用されたとのことです。
同社は、今後の情報セキュリティ対策として2010年7月下旬までにサブスクリプション決済(※)を導入する予定とのことです。
企業の情報セキュリティ対策の在り方も変化しているようです。
※サブスクリプション決済:クレジットカード情報の保持管理の必要のない継続型・オンデマンド型決済サービス
2009年情報セキュリティインシデントに関する調査報告書(2010年7月)
2009年の個人情報漏えいインシデントの分析結果によると漏えい件数は過去最高の1539件となりこれは、「金融業・保険業」において漏えい件数が増加したことによるものとのことです。
他方、漏えい人数は個人情報保護法施行後最少の約572万人で、これは「漏えい人数が10万人を超える大規模な個人情報漏えいインシデント」が減少したことが影響しているとのことです。
また、想定損害賠償総額は3,890億4,289円(対前年比+1,523億1,769円)と大幅に増加しています。これは、「口座番号」を所有する「金融業・保険業」の漏えいインシデントが増加していることに起因しているとのことです。
なお、漏えい原因の1位は「管理ミス」(昨年の1位は「誤操作」)です。
