前回は,医療研究の場である大学病院で相次ぎ発覚した個人情報流出を取り上げた。厚生労働省は,2007年2月に「医療情報システムの安全管理に関するガイドライン 第2版(案)」(「医療情報ネットワーク基盤検討会第15回資料」参照)を取りまとめ,3月19日までの間パブリックコメントを募集している。
改正案には詳細な技術的対策や運用的対策が記載されているが,ITに関する専門知識のない診療科や部門のスタッフが読んで簡単に理解できるレベルの表現とは言い難い。医療の共通基盤としてITを利活用するためには,ガイドラインで示された「To-be」と医療現場の「As-is」のギャップを埋める作業が必要だが,情報システム部門にしか理解できない表現のガイドラインでは,逆にギャップが拡がりかねない。「医薬品添付文書」をわかりやく説明した「薬のしおり」のようなものがITにも必要だろう。
さて今回は,医療と同様により厳格な個人情報管理が求められる金融・信用分野で起きた個人情報漏えい事件を取り上げたい。
ジャックスからクレジットカード会員15万人分の個人情報が流出
2007年2月20日,ジャックスは販促用ダイレクトメール作成を委託していた大日本印刷で,クレジットカード会員15万人分の個人情報が流出したことを発表した(ジャックス「業務委託先からの個人情報流出に関するお詫びとお知らせ」,大日本印刷「個人情報流出に関するお詫びとお知らせ」参照)。
ジャックスには2006年6月,警視庁からJACCSカード会員の個人情報の不正使用によるインターネット通販詐欺事件が発生しているとの情報が入り,続く2006年7月にインターネット通販詐欺事件の容疑者3名が逮捕され,さらに2007年2月1日,個人情報を窃取し売り渡した詐欺幇助の容疑で,大日本印刷株式会社が業務を委託したシステム開発会社の元社員が逮捕されたという。逮捕された元社員は,2005年2月~5月の間,大日本印刷の電算処理室で作業していた際,会員情報を自分の記録媒体に複写して持ち出しており,警視庁捜査三課が押収したデータには,カード番号,有効期限,氏名,性別,生年月日,郵便番号,住所,電話番号が記載されていたという。
外部委託先の関係者による典型的な個人情報漏えい事件だが,大量の個人情報が持ち出されたのは,個人情報保護法の本格施行を挟んで各企業が対策を強化していた時期である。
インターネットでつながった企業内の情報漏えいと外の通販詐欺
ジャックスのケースで注目すべき点は,外部に持ち出された個人情報がネット経由で売買され,ネット通販詐欺という二次被害が発生していることだ。警視庁捜査三課の調べによると,元社員である容疑者は約3800人分の個人情報をインターネット上の掲示板を通じて知り合った人物に売却していたという。その人物を含むグループが,購入した個人情報を悪用し,49人分のクレジットカードの名義で複数のインターネット・ショッピングサイトから総額約670万円分の家電製品を購入し,買取業者に売却したことから,詐欺事件が発覚したのだ。
第21回で触れたように,クレジットカード会社では,マネーロンダリングなどの不正金融取引を検知する技術を応用して,クレジットカードの不正取引を自動検知するソフトウェアを導入し,24時間体制で監視している。また,外部からの不正アクセスやフィッシングによる被害を防止するための対策も進められている。だが,ジャックスの事件では,ネット通販詐欺の経路を手繰っていくと自社DMの会員リストが流出元だったという事態が起きており,外部委託先を含めた内部の人的対策の継続的な見直しも必要だ。これは,販促活動にダイレクト・マーケティングを利用している企業に共通の課題である。
次回も,金融・信用分野の個人情報漏えい事件を取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
