第54回 今更ながらの個人情報漏えい

大量の個人情報漏えいが多発しています、と言っても驚かない時代になったのかもしれません。情報漏えいに関する事件が多発しているのです。漏えいした情報が特殊な、つまり注目に値する人物や一度に数万件といった大量の個人情報漏えい、あるいはその漏えいした情報を用いたサイバー犯罪でも起こらない限りニュースにもならないようです。

たとえばニュースになった個人情報漏えい事件でこの原稿を書いている11月6日からさかのぼること1週間だけで、

(11/06)教委でメール誤送信、保護者メアドが流出 - 日進市
(11/06)市立中学校で複数の名簿が所在不明に - 藤沢市
(11/06)ランサム被害、ネットスーパー会員情報が流出した可能性 - 近商ストア
(11/02)顧客宛のキャンペーン案内メールを誤送信 - パシフィックサプライ
(11/02)中学校で個人情報記載の裏紙を再利用、給食費未納一覧も - 大阪市
(11/02)通知メールを誤送信、会員のメアドが流出 - 野村乳業
(11/02)フォーム設定ミス、学園祭イベントの参加者情報が流出 - 東京医科歯科大
(11/01)イベント申込者の個人情報が閲覧可能に、設定ミスで - 三重県
(11/01)オンラインストアのセール案内メールで誤送信 - 東京ソワール
(11/01)県立高3校で発生した個人情報関連事故を公表 - 埼玉県
(10/31)患者情報含む診療報酬明細書を紛失 - 聖マリアンナ医科大病院
(10/31)顧客向けDMに別の顧客のメアドを印刷 - カメラのアマノ
(10/31)「Proself」に対するゼロデイ攻撃で情報流出被害 - 国立環境研究所
(10/31)問合フォームより送信された個人情報が流出した可能性 - ビッグモーター
(10/31)代理店向け顧客管理システムの閲覧権限に設定漏れ - 東京海上

と15件も存在します(Security NEXT https://www.security-next.com/ 調べ)。毎日のように、どこかで情報漏えいが起きていると言っても過言ではないでしょう。これらの情報漏えい事案は公知になっている事象だけです。つまり、公表されない事案も数多いということです。2022年4月の個人情報保護法の改正によって、情報漏えい事案の個人情報保護員会及び漏えいされた本人への通知義務が課されました。しかしながら如何なる情報漏えい事案も届ける必要が有るとはなっていません。原則として、個人の権利利益を大きく害する場合は届けなければならないこととなっています。具体的には

1.要配慮個人情報が含まれる場合
2.財産的被害が生じるおそれがある場合
3.不正の目的をもって行われた漏えい等が発生した場合
4.1000人を超える漏えいが発生した場合

となっています。数百人レベルで氏名やメールアドレスが漏れた事案では必ずしも届け出る必要がない場合もあるのです。

先月、NTT西日本の子会社による900万件の情報漏えいが明らかになりました。その900万件という数も大いに話題となりましたが、NTT西日本の子会社の情報保護に関する管理運用体制です。NTT西日本の発表によると、この子会社のコールセンターシステムの保守管理において、ほとんどセキュリティ対策を行っていなかった、特に保守管理業者に対しては皆無であったようです。保守管理を行うものは容易に顧客データにアクセスでき、またそのアクセス履歴の管理をも怠っていたとのことです。NTTグループのドコモでも、そのショップから大量の個人情報が漏れたことがあり、また他の企業からも情報漏えいは幾度となく露見しています。過去、大問題となったベネッセでの情報漏えいも業務委託会社の社員でした。個人情報のみならず企業の如何なる情報に関してもアクセスを監視し、その権限外のアクセスに関しては厳しく望むだけでなく、十分な対策が求められます。通信を核に情報産業を牽引すべきNTTとしては非常に残念です。発覚後も五月雨式に企業や自治体から、今回の件に関連した情報漏えいの可能性に対する公表があるようですが、これはどういうことでしょうか。考えられることは、やはりNTT西日本子会社の杜撰な情報管理です。もちろん元派遣社員の違法行為は大きく批判されるべきですが、それ以上にNTT西日本子会社の情報管理責任が問われます。犯行が発覚してからも早期に被害状況を把握し、被害者(漏えいされた可能性のある組織)に間髪入れずに連絡/報告を行うのは必須であり、当然のことです。これがまったく行われていない、行なうことが出来ないのでしょう。他者の個人情報を扱い会社としては大きな問題です。どのような会社でも情報漏えいを起こす可能性は0ではありませんが、その後の対応、対策は未然に防ぐ対策と同様、あるいはそれ以上に重要です。

ある意味、NTT西日本子会社以上に問題となる情報漏えいも起こっています。それは今月になって発覚した共同通信社への不正アクセスによる情報漏えいです。新聞社や通信社をはじめ、いわゆるマスコミ各社については、個人情報を扱う一般企業に比較して、なお一層のサイバーセキュリティ対策が望まれます。その主な理由は2点あります。一点は今回の情報漏えいのように職員、特に記者等の個人情報が漏えいすることによって、記者に成りすまし、様々な詐欺に利用される恐れがあることです。昔から存在する、新聞やテレビに取り上げることを餌に金品を騙し取る、あるいは様々なイベント会場に出入りすることも考えられ被害の大きさを予想するに難くありません。もう一点、今回は否定されていますが、取材に関する内容の漏えいです。特に事件や大きな話題に関係する人物に対し、記者の所見が記載されており、事実の確認が取られていない憶測も記されていることから、個人情報であることを越えて誹謗中傷に至る場合もあり得るからです。有する情報の価値と漏れた時の損失を十分考え、各社は最上級のセキュリティ対策を講じるべきなのです。