個人情報流出事件

cd45d1f0.jpgベネッセの顧客情報、最大2000万件が流出したことが連日報道されている。データベース管理を委託されていた会社の派遣社員がコピーを持ち出した容疑が濃かったが、最新のニュースでは、被疑者が漏洩への関与を認めていると報道されている。
コピーした形跡(ログ)があったということも伝えられているが、そうだとしたら犯罪としてはあまりに稚拙。稚拙だが、繰り返されるのはこういう人的な流出。宇治市住民票流出事件もシステム開発業務の再々委託先アルバイトから。

セキュリティ対策が無駄ということではなく、例えば権限のない人による操作とかネットからの流出などにはさまざまな有効な対策があるわけだが、根源的に管理に携わる人に悪意がある場合は流出防止が難しい。システムログや、特権的処理を行える端末やコンソール操作のカメラ監視などで、流出時に犯人を特定できるようにしておくことで対抗するぐらい。
それにしても、ベネッセは気付くのが遅すぎる。発覚のきっかけは顧客からの問い合わせ(不審なDMが来る)だそうだ。(昔、家に来るDMで、届く程度に住所の書き間違えがあるのが、複数個所から来ていたことがあって、ふーんそういうことか、と思ったものだが、それを意図的にやるのも面白そうだ。)

今後、持ち出した犯人は不正競争防止法違反(産業スパイ)容疑で取り調べらるという。現行法では他に適当するものがないらしい。以前、神奈川県で高校授業料の引落口座情報が流出した事件があり、流出ルートにあったシステム関連企業とはそれなりに決着したらしいが、流出してしまった情報を回収することは困難であり、県から、流出情報の廃棄・流通差し止めを立法化してほしいという要望が出されていた。

もっともなことなのだが、現実には流出元が特定できることはまれだと思う(前述の私の家にくるDMのように、ちょっと変な住所表記とかはマークになるけど特殊ケース。ディジタルデータなら電子透かしの技術があるが)。
住民基本台帳情報の流出を心配する向きもあるが、住基の4情報(氏名、性、生年月日、住所)だけだと、流出元の特定は難しい(外部利用を禁止している住基コードでも付いてたらわかるかもしれないが)。また、流出元がわからないように加工して流通することも考えられ、実効性があるかどうか微妙だと思う。

流出情報の廃棄・流通差し止めの立法化は犯罪防止の観点から大歓迎だが、個人の立場で考えると、それでも闇での取引が完全にとめられるとは思えないし、拡散した情報は回収不能(エントロピー増大の法則)だから、直接的・経済的被害に結びつくおそれのある情報を、無効化して対応する、つまり、改名とか転居は難しいけど、銀行の口座番号やクレジットカードの番号などが漏洩したら、これらをそもそも解約することで対抗する必要がある。
ところが、これがとても面倒である。(某ショッピングサイトのカードを使っていたら、提携クレジット会社を変えるので継続発行しないと一方的に通告してきた。利用者の手間はどうしてくれるんだ!)金融機関やクレジット会社がそういう手間を代行するようなサービスをしてくれたらありがたいと思うのだが。

ところで、テレビ報道では、こうした個人情報は1件10円前後で取引されるというから、単純には2000万件なら2億円ということになるが、故買だと持ち出した人はきっと買いたたかれただろう。
名簿業者のほうも、こんな怪しげな行為で2億の取引なんてできそうもないから、1口100万円ぐらいになるように小分け(例えば地域別とか、年齢別)しそうだ。100万円でも10万件もあるわけだから、統計目的では十分すぎる件数を稼げる。

ちなみに、周りには「こどもチャレンジ」などをやってる子供の親もちょくちょく居るわけだが、「もし1件500円の詫び金やったら、500円×2で1000円もらえるな」という不届き者もいる。
関連記事
スポンサーサイト

コメントの投稿

非公開コメント

Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

ITガジェット 書評 マイナンバー Audio/Visual 

リンク
現在の閲覧者数
聞いたもん