動かないコンピュータForum

第48回 相次ぐ個人情報漏洩・流出を考える

動かないコンピュータ・フォーラム 主宰者 中村 建助=日経コンピュータ編集

日経コンピュータを読む理由No.1 「動かないコンピュータ」連載が単行本になりました。全国の書店でお求めいただけます。

フォーラムの主旨と参加ルールへフォーラム・トップへ

 今年に入って、毎日のように個人情報の漏洩・流出が新聞等を騒せている。なぜ、こういった問題が相次ぐのか。どこに問題があるのか。今回の動かないコンピュータ・フォーラムでは、この問題について考えてみたい。

 今回も、いつものように皆さんからのご意見をお待ちしています。ご意見を書き込まれる方は、この画面の一番下の方にある「Feed Back!」を使ってお書き込み下さい。「コメントを書く」という文字の部分をクリックしていただければ、ご意見の記入欄が別画面で現れます。

漏洩・流出による悪影響は増大

 昨年から続く大規模な情報漏洩・流出報道のはしりとなったのは、昨年6月のコンビニエンスストア大手のローソンのカード会員約56万人分の個人情報の漏洩だ。その後、8月にはカード会社のアプラスから8万人弱の顧客情報が漏洩したことが発表された。11月にはやはりコンビニ大手のファミリーマートの通信販売の会員の個人情報の漏洩が判明。ローソンとアプラスの情報漏洩については、日経コンピュータ本誌の「動かないコンピュータ」で取り上げている(記事掲載は2003年10月20日号)。関心のある方は参照いただきたい。

 今年に入っても個人情報の漏洩は続いた。今年2月にはADSL事業者のソフトバンクBBから合計で450万人分を超す個人情報が漏洩していたことが明らかになった(関連記事「451万人分の会員情報漏洩を認め、孫社長が深々と頭を下げる」)。同じく2月には三洋信販、3月にはソフトバンクBBと同じADSL事業者のアッカ・ネットワークス、テレビショッピング大手のジャパネットたかた、東武鉄道、サントリーなどから個人情報が漏洩していたことがわかった。

 このほかに、情報を保管した記憶媒体やパソコンをなくしたり盗まれた企業もある。JCB、UFJカード、ららぽーとの3社は、提携して発行しているカードの会員情報を記録したフロッピーを紛失した。大手インターネット接続事業者のパワードコムは、4000人分の顧客情報を記録したパソコンをお客様センターから盗まれた。

 漏洩の原因調査報告やその後の対策発表を含めると、本当に毎日のように情報漏洩関連のニュースが報じられている。記者の経験を振り返っても、これだけ情報漏洩が連続して話題になったことはない。個人情報保護法の成立を受けて、従来なら発表していなかった漏洩などの事実まで公表する企業が増えている側面があるのかもしれないが、それにしても驚くべき数である。情報漏洩・流出は、多くの企業にとって無視できない問題になっている。

 数以上に問題なのは、情報漏洩・流出が企業の経営に大きな影響を与え始めたことだ。たとえば、ADSL事業者のソフトバンクBBは、情報漏洩の対策に40億円を投ずる。本業へのマイナスも無視できない。同社が手がけるADSLサービス「Yahoo!BB」の契約者は依然として増加しているが、そのペースは落ちている。ソフトバンクBBは増加のぺースのダウンについて、積極的な営業を控えたことを理由に挙げているが、ある競合会社幹部は、「情報漏洩が発覚してからソフトバンクBBのADSLサービスであるYahoo!BBを解約して当社のサービスに乗り換えるケースが激増している」と話す。競合会社のコメントの意味は深い。

情報流出にはITが深くかかわる

 顧客情報の漏洩・流出はもちろん多くの企業にとって重要な問題だが、とりわけIT業界やIT関連業務に従事する人間にとっては頭の痛い問題である。現在では、ほとんどの企業が顧客情報を何らかのデジタル・データとして記録して、データベースで管理している。これらのデータやデータべースを管理するうえで、ITベンダーやシステム部門がかかわることが多いからだ。情報漏洩・流出の当事者になる確率が高いのである。

 実際に、ローソンの情報流出では、流出したのと同じデータは、同社のシステムを開発するアイ・ティ・フロンティアのサーバーにしか存在しなかった。アプラスから漏洩した情報は、同社のシステムを運用するTISが保有するパソコンから、流出したデータを含むデータベースへの不審なアクセスが見つかっている。具体的なデータの漏洩の過程は現在も分かっていないが、2社の大手システム・インテグレータのデータの管理に問題があった可能性は否定できない。

 可能性の問題だけでなく、ITベンダーの管理の甘さから情報の漏洩・流出が起きたと、はっきり認められたケースもある。個人情報ではないが、2年前に起きた防衛庁のネットワーク構築に関するデータが流出した事件では、富士通の下請け会社に参加したエンジニアが流出源だった(関連記事「防衛庁のデータ流出で露呈---IT業界の下請け構造の危うさ(上)」「防衛庁のデータ流出で露呈---IT業界の下請け構造の危うさ(下)」)。

 宮城県仙台市役所は昨年3月、同市に住む給与所得者に関する個人情報を記載した給与支払報告書を紛失したことを発表した。データ入力を請け負った業者が、本来禁止されているはずの再委託を実施し、データを移送している間に紛失してしまったのである。この問題については、2003年4月21日号の「動かないコンピュータ」で取り上げている。

 また、この二つの例に関連した話題については、すでにフォーラムで議論したこともある。「防衛庁データ流出事件裁判で残った謎を考える」と「『下請けは不可欠』に甘えてはいけない」である。

情報流出には三つのパターンがある

 こういった情報漏洩・流出が起きる場合、ITベンダーやシステム部門のかかわり方には三つのパターンが想定できる。いずれのパターンも、情報の管理に甘さがあった点では共通している。

 一つ目は、管理していたデータを故意に持ち出されてしまう場合である。ソフトバンクBBやアッカ・ネットワークス、ファミリーマート、ローソン、アプラスなど例は、このパターンに当てはまると思われる。故意に情報を持ち出す以上、このパターンは、外部に流出した情報を使って架空の請求書が送りつけたりする、といった問題につながりやすい。

 二つ目は、アクシデントでデータを紛失してしまうもの。JCBなど3社が個人情報の入ったフロッピーを紛失したケースなどが、これに当てはまるだろう。フロッピーに限らず、最近ではノート・パソコンに必要な情報を記録して、家や外部で仕事をする人間が増えている。データの紛失の危険性は高まっている。

 三つ目は、インターネットから自由に情報にアクセスできる状態にあり、ここから個人情報の流出・漏洩が起きる例である。システムの不具合を修整していなかったり、設定に問題があったために、情報漏洩・流出するわけだ。実際に外部に情報が流出して何らかの用途で利用されたかどうかは別として、国土地理院の例が最近ではこのパターンに当てはまる。国土地理院は、収集したGPS(全地球測位システム)データを国土地理院のWebサイトからダウンロードする場合に、個人情報を登録させる仕組みを取っていたが、個人情報を集めたファイルが外部から自由に閲覧できるようになっていたのである。

情報は金になるが持ち出しても罪にならない

 こういった情報漏洩・流出が相次ぐのはなぜなのか。理由はいくつか考えられる。

 まず、情報を持ち出す側にとっては、個人情報が金になることだろう。記者はこのことを実感したことがある。ある電子商取引業者がはっきりと、「まとまった電子メールのアドレスだけでも、質のいいものなら10万円以上で取引されている。今はまだビジネスの規模が小さくてそれだけの費用がまず工面できないが、入手したいと思うことはある」と話すのを聞いたのである。

 持ち出す側でいえばもう一つ、情報を不正に持ち出しても、今の日本では法律に違反しないという事実がある。情報は財物に当たらない、と判断されているからだ。法は、不正に情報を持ち出そうとした人間に対する抑止力にならないのである。

 こういった現実があるにもかかわらず、多くの企業でまだ情報の漏洩・流出に対する備えが十分でない、という問題も当然ある。

 ソフトバンクBBでは、個人情報を格納したデータベースへのアクセス履歴を1週間しか保存していなかった。アッカ・ネットワークスでは、個人情報の流出源である顧客データべースへのアクセス・ログを不完全な形でしか記録できていなかった。こういった体制では、故意に情報を持ち出そうとした人間がいれば、簡単に情報を持ち出しすことができる。

 管理体制があるだけでは備えは万全ではない。情報漏洩を経験した企業のなかには、個人情報を保護するための体制は取っていたものの、作業効率の改善のために、現場での運用がお座なりになっていたケースもある。

 善し悪しは別として、情報漏洩・流出を防ぐために費用を投じても、企業の生産性が向上したりすることはない。新規に開発すべきシステムや処理すべき業務を優先させてしまうのは仕方ないことなのだろうか。

 ここからが本題です。相次ぐ情報漏洩・流出を防ぐためにはどうすればよいのでしょうか。また、「情報を盗んでも罪にならない」といったことを含め、日本の現状についてはどのようにお考えですか。みなさんのご意見をお待ちしています。

 なお、日経コンピュータでは最新号(2004年4月5日号)で情報漏洩・流出の問題について、「明日は我が身、情報漏洩の不安を絶て」としてまとめています(日経コンピュータ読者の皆さんは、こちらから内容を確認することもできます)。よければ、こちらの記事もご参照下さい。



 今回のテーマへの投稿は4月23日(金曜)午後6時で締め切らせて頂きました。ありがとうございました。みなさまのご意見を基にした総括記事は、4月28日(水曜)に当サイトで公開する予定です。