〔77〕情報流出とフィッシング詐欺に見る内部統制の限界

ITpro

2007.02.09

　前回は，一つの会社で起きた「悪意なき情報流出」の影響が連鎖的に顧客や取引先へと拡がっていく，法令順守のバリューチェーンの話題を取り上げた。「電気通信事業における個人情報保護に関するガイドライン」では，個人情報漏えいが発生した場合，電気通信事業者に対して事実関係などの公表を求める理由を，「二次被害の防止，類似事案の発生回避」としている。たとえ盗難・紛失に起因する個人情報漏えいであっても，同じ業界で同じようなケースが繰り返されれば，所管官庁は監視レベルを上げざるを得ない。

　最近のマスメディアを見ると，金融業界の粉飾決算問題や食品業界の安全衛生管理問題といった他の企業不祥事報道に比べて，個人情報漏えい事件報道の影が薄くなった印象を受ける。だが，個人情報管理の現場を取り巻く環境は相変わらず厳しい。

　さて今回は，企業消費者間（BtoC）や消費者間（CtoC）の電子商取引で，二次被害や類似事案が急増するフィッシングについて取り上げてみたい。

個人情報保護法より長いフィッシング犯罪との戦いの歴史

　第10回で触れたように，フィッシングによる被害が日本で顕在化し始めたのは，個人情報保護法施行前の2004年秋頃だ。同年12月には，警察庁が「いわゆる「フィッシング」対策の推進について」を発表している。その後，2006年2月には，フィッシングの標的になりやすいクレジットカード会社，EC／オークションサイト運営事業者，セキュリティ事業者，関係省庁などが協力して，「フィッシング対策協議会」の設立が発表された（経済産業省「フィッシング対策協議会の設立について」参照）。

　現在まで個人情報保護法違反としてフィッシング行為が摘発されたケースはない。しかし，漏えいした個人情報による2次被害は確実に増加している。2006年2月には，フィッシング犯罪が日本国内で初めて「詐欺」容疑として摘発され（第30回参照），同年5月には，オンラインゲーム・サイトの偽ホームページを作成し，フィッシング行為で女子小中学生72人を含む94人分の個人情報を盗んだ疑いで，14歳の少年が不正アクセス禁止法違反と著作権法違反の疑いで書類送検された（第45回参照）。犯罪行為はエスカレートしている。

内部統制で防げなかったヤフオクでのフィッシング詐欺

　フィッシングの標的とされる事業者側でも，利用者向けのフィッシング対策に取り組んでいるが，今年に入って冷や水を浴びせられたような事件が発覚している。

　2007年1月25日，ヤフーは同社の業務委託先企業の元従業員が，在職中に得た個人情報を悪用し，「ヤフーオークション」に出品された商品を，落札者を装って詐取したとして，岐阜県警生活安全総務課などに逮捕されたことを発表した（「ヤフー当社の元業務委託先社員の逮捕について」参照）。プレスリリースによると，社内調査で確認された被害は，2006年4月30日～7月28日の間に落札されたオークション19件で，被害金額は合計145万2310円に達するという。

　ヤフーは，個人情報管理も含めて厳格な内部統制システムを敷いている会社だ。それでも，2006年3月には外部委託先企業や出店企業でファイル交換ソフト「Winny」に起因する個人情報漏えい事件が発覚するなど（第36回参照），パートナー企業を含めた法令順守のバリューチェーン全体での情報管理となると，課題が山積みだ。「今回の件を契機に従業員，業務委託先社員等への教育や職業倫理の育成・向上をさらに徹底して行うとともに，より一層きめ細かな対策を講じて再発防止に努めます」とヤフーは表明している。

　そんな折，この2月6日，警視庁ハイテク犯罪対策総合センターと熊本，岡山，広島各県警の合同捜査本部は，詐欺や不正アクセス禁止法などの疑いで，計4人を逮捕したことを発表した。フィッシングメールをオークション利用者に送付して，福岡県の会社員のIDとパスワードを不正に入手した上で，この会社員になりすまして「ヤフーオークション」に架空出品し，落札した愛媛県の男性から3万4千円をだまし取った疑いだ。

　新聞報道によると，フィッシング・メールを作成したとされる人物は大阪府，他の容疑者3人は千葉県で，IDとパスワードを盗まれた被害者は福岡県，オークション代金をだまし取られた被害者は愛媛県。典型的な広域サイバー犯罪である。ちょうどヤフーがフィッシング対策協議会などを通じて，同社をかたるフィッシング詐欺に遭わないよう啓蒙活動を行っていた矢先の事件発覚だった。

　ヤフーオークションを舞台とする2つの事件の共通点は，ヤフーの従業員が事件に直接関与したわけではないのに，信頼性やブランドイメージの失墜という形で企業価値損失のリスクが表面化したことだ。引き金になったのはいずれも個人情報である。これは，多数の業務委託先や顧客を抱える大企業の個人情報管理者にとって他人事ではない。「内部統制」の時代だが，それだけでは企業価値を防衛できないケースが存在することも認識すべきである。

　次回も，最近の個人情報漏えい事件について取り上げてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/