人気ブログランキング | 話題のタグを見る

Terastyle

ぼちぼちまじめに、個人情報保護法 その1

たまにはまじめにコラムでも書いてみよう。
ここ数年だろうか、個人情報が大量に流出したという事件がよく起こっている。
それも、何人とかいう小さいものではなく、何万人単位というケースが増えている。
たとえば、Googleのニュース検索機能を使って「個人情報流出」とか入れてみればたくさんでてくることからも、いかにこの手の事件が多いということがわかる。
ニュースにならないものも多いため、非常にぐぐってみてヒット数の多さには驚かされる。
最近では、みずほ銀行の流出事件が新しいところだ。
たしか27万件のデータが流出したらしいのだが、報道では第3社にはわたっていないとのこと。
データを間違って廃棄してしまったといっていたが、果たしてこれが本当なのかは定かではない。
だいたい、このデータを間違って廃棄してしまえるようなみずほ銀行の管理体制を疑ってしまう。
個人の情報が漏れれば、専門の業者に売られたり、それを元に勧誘されたりDMが送られてきたりする。
それだけならいいが、クレジットの暗証番号とかが漏れてしまったら取り返しの付かないような被害に遭うことだって考えられなくはない。
近頃私の家に掛かってくる電話といえば、何かの勧誘とか宣伝ばかり。
もうここまで数が増えると、勧誘の電話が前提だと思って電話に出るようになってしまった。
ということで、もう家電には出る気すら起こらないありさまだ。
幸い、ケータイにはそういった電話は掛かってきていないので一安心だ。
ケータイの番号が漏れた日には、無視もできないので迷惑でしょうがない。

最近では、電話での勧誘だけにとどまらず、SPAMメールが急激に増えている。
SPAMメールとは、ユーザが望んでもいない情報をいわゆる無作為にかつ大量に配信する迷惑メールのことだ。
メルアド流出なんてのは日常茶飯事であり、普通にネット上のどこかに転がっているので専用の検索ソフトとかを使えば収集できてしまうのだろう。
このメールアドレスも、個人情報の1つだといえる。
しかも、メールという手段は、いくら送ろうが無料なのである。
悪徳業者はこんな楽な方法を使わない手はないとして、無作為にメールをばしばし送っているのだ。
まさかこんなメールには引っかからないだろうと思うかもしれないが、何万人に送れば数人は引っかかってしまうようで、
だからこそSPAMメールが現象しない原因ともなっている。
最近では、さらに悪質に個人情報を入手しようと、フィッシング詐欺なるものが増えてきた。
これは、有料サービスなどからのメールを装って、ユーザーにIDやクレジット情報などを入力させる手口だ。
たとえば、極端な例でいうと、イー・バンクのようなネット銀行の登録確認のメールを送り、メール上のアドレスから登録確認としてログイン作業を行うとそのデータが相手に送られてしまうというものだ。
アドレスが全く違ってわかりやすければいいのだが、このフィッシングメールというのはできるだけ元のサービスに近い画面、アドレスを使って、ユーザーをだまそうとしている。
そのため、うっかりしていると、判別が着かないこともある。
これから、こういった手口がさらに広まってくるかもしれないので、気をつけてほしい。

また、こういったSPAMメールの中にも、少しではあるがどこからか漏れた個人情報が入っていることがある。
たとえば、「メールの最初に愛知県で就職活動中」とか「11月18日誕生日」とか書いてあると一瞬どきりとさせられてしまう。
別にこれが漏れたからといって金をだまし取られるとかはないのでいいが、精神衛生上よろしくない。

個人情報が漏れる場合、2つのケースが考えられる。
1つめは、企業とは全く関係のない第3社経由で流出する場合だ。
これは、社内のネットワークのセキュリティ対策が十分におこなわれておらず、外部からネットワークに進入されてデータが持ち出されるというパターンだ。
2つめは、企業の関係者経由で流出する場合だ。
これは、社内でのデータ管理や個人情報に対する意識・教育が徹底されておらず、関係者自身が流出させてしまうというケースだ。
この場合はさらに、企業を退職した後、本人が金目当てで流出させる場合と、
悪気はないが個人情報の入ったメディアを紛失させたり、パソコン廃棄時にきちんとデータ消去がおこなわれておらず、そこから漏れる場合とがある。
最近では、この2つめの流出ケースが増えており、よく騒がれている。
中でも一番騒がれていたのは、やはりYBBの事件だろう。
この事件では、YBBを退職した契約社員が友人にYBBの内部データにアクセスするところを自慢げに見せたところ、
パスワードを入力するところを見て読み取られ、友人がそのパスワードを使って個人情報を入手したといういきさつであったと記憶している。
しかも、たしか何百万件という単位だったように記憶している。
幸い、その後すぐに対策を打ったため、現在でもADSL業者のシェアはNo.1を死守している。
このYBBが取った対策については、別の機会に書けたらかこうと思う。
が、今までとは桁が違うほど管理が万全になった。
この事件は、誰が悪いとは非常にいいにくく、やはりこのケースでは企業の責任問題となってくる。
この場合、ただの契約社員にここまでの情報が閲覧できる権限を持たせてしまっていた企業側が攻められるべきであり、実際そうなっている。
社内全体に同じ権限を持たせると、管理やアクセスの面で楽だが、これが大きな落とし穴となってくる。
個人情報を守るためには、多少なりともネットワークやアカウントの区別・アクセス権限といったものが複雑にならなければ防ぐことはできない。
また、極力外部への持ち出し、外部からのアクセスを禁止する必要がある。
結局のところ、個人情報漏洩の対策をするには、利便性を多少犠牲にする必要があるということだ。
いわゆる、企業は利益だけを追求していればいいって世の中ではなくなったってことかと思われる。
昔は、企業のもっている個人情報は、企業だけのものとして雑に扱われてきたという時代もあったし、現在でもそういった企業はおそらく存在しているだろう。
もちろん、単純に最近個人情報流出が増えたとは考えにくく、最近こういった事件が表にでてくるようになったのだろうということは容易に推測できる。
個人情報に対する意識が薄かったのだから、こういう事件は起こって当然だといえる。
そういったこともあり、今年4月から個人情報保護法が全面施行された。
これにより、多くの企業が規約やプライバシーポリシの改訂をおこなっている。
この法案の説明については、次の機会に書くことにしよう。
by terax0211 | 2005-04-04 23:13 | News