前回は,労働組合や健康保険組合で起きた個人情報漏えい事件を取り上げた。労働者の個人情報管理については,労働分野における国際基準である国際労働機関(ILO)の「労働者の個人情報保護に関する行動準則」が1996年に採択されるなど,独自の個人情報保護対策が推進されてきた背景がある。従業員の健康情報の収集・分析・報告,電子機器による作業のモニタリングについても,古くからグローバル・スタンダードが確立しており,海外で事業を展開する日本企業は特に注意が必要である。
さて,今回はマーケティング/PRの視点から個人情報漏えい事件を取り上げてみたい。
不正アクセスは大型連休の隙間に頻発する
2007年5月3日,化粧品通信販売大手の再春館製薬所は,同社ホームページに不正アクセスがあり,メールアドレスなど顧客の個人情報約14万人分が流出した可能性があることを発表した(「不正アクセスに関する情報」参照)。5月1日,顧客の個人情報が外部(海外:中国)より不正に閲覧された可能性があることが発覚し,その後の調査で,4月30日の23時14分より翌5月1日の午前10時30分までの間に,外部からのアクセスが急増し,以下の情報が閲覧されている可能性があることがわかったという。
- メールアドレスのみ:11万269人分
- メールアドレス+氏名:223人分
- メールアドレス+ユーザーIDとパスワード:3万1125人分
- メールアドレス+氏名+ユーザーIDとパスワード:164人分
以前,第7回,第8回,第9回で「価格.comショック」事件を取り上げたことがある。「価格.com」サイトで不正アクセスが発覚したのは,2005年の大型連休直後だった。カカクコムの場合,サイト閉鎖から完全復活まで2カ月半を要した上に,4100万円の特別損失を計上し,純損失1500万円の赤字となった。忘れてならないのは,同じ時期に複数の企業サイトが同じような不正アクセスの被害に遭い,一時閉鎖の事態に陥っていた点だ。休暇シーズンが悪意ある攻撃の標的にされた節がある。
今年の4月25日,独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)は,企業のシステム管理者に対し,ファイアウォールや侵入検知システムの設定,該当する修正プログラムの適用,データのバックアップなど,日常の基本的なセキュリティ対策内容の再確認に加えて,以下のような対策事項の実施を訴えていた(「ゴールデンウィーク前にセキュリティ対策の確認を」参照)。
- 不測の事態が発生したときの緊急連絡体制
- サーバーの不必要なサービスを停止する
- 休暇中に使用しないサーバーやPCの電源を切る
- 休暇前に業務用のPCやデータを組織外に持ち出す場合の管理 など
裏を返すと,通販サイトのリスク管理上,大型連休を狙った外部からの不正アクセスは「想定内」の出来事だったはずだ。
情報セキュリティ再構築は企業復活のための「投資」
再春館製薬所によると,中国のIPアドレスから不正アクセスがあったとしている。しかしながら,不正アクセスのボーダレス化は今に始まったことではない。第20回,第29回で取り上げたワコールの個人情報流出事件では,ドイツやオーストリアのサーバーを経由した外部からの不正アクセスによって情報が盗み出されていたことが判明している。
また,ロイヤリティ顧客を抱える化粧品業界では,個人情報漏えいによるブランド価値損失の影響が特に大きい。第67回では,マックスファクターの百貨店テナントで起きた個人情報紛失を取り上げたが,通販専業企業の場合,Webサイトは最も重要な顧客接点である。しかも化粧品業界にとって,紫外線の強くなる夏前はスキンケア商品の需要のピークだ。再春館製薬所がサイトを一時閉鎖して情報セキュリティ体制を再構築している間も,競合他社はブランドスイッチを狙ったマーケティング施策を仕掛けている。それだけに,代償は大きい。
リスク管理に「たら・れば」は通用しないが,少なくとも次の休暇シーズンに向けて不正アクセス防止対策を講じることは可能だ。夏休みシーズンが終わると保湿ケア商品の販売商戦が待ち構えている。情報セキュリティ再構築は,企業復活のための「投資」と認識すべきだろう。
次回も引き続き,マーケティング/PRの視点から個人情報漏えい事件を取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
