［165］政府警告もむなしく県立高校を襲ったファイル交換ソフト経由の情報流出

2008.12.03

　前回は，ファイル交換ソフトを介した児童買春・児童ポルノ禁止法違反事件を取り上げたが，2008年11月25日から28日にかけてブラジル・リオデジャネイロで開催された「第3回子どもと青少年の性的搾取に反対する世界会議」では，子どもを守るため各国に規制を求めるリオ宣言案が採択された（「World gathers in Brazil to reinvigorate fight against sexual exploitation of children」参照）。

　11月29日付新聞各紙によると，リオ宣言案には，2013年を目標年として，子どもの権利条約の児童売買・買春・ポルノに関する選択議定書など，関連国際条約の批准，政府・NGO（非政府組織）・民間団体などによる協力メカニズムの構築，子どもの人権に関する独立調査機関の設立，子どもの性的搾取に対する禁止・処罰規定を法的に明確化すること，国際化する児童ポルノ問題に対処するための国際刑事警察機構（ICPO）との協力などが盛り込まれた。児童ポルノに関しては，製造・販売だけでなく，所持，入手，アクセス・閲覧も処罰の対象にすべきだと提言し，さらに，「バーチャルな画像や性的搾取の表現」で，子どもを性の対象として描いたマンガやアニメなども児童ポルノに含めると規定しているという。

　日本でも11月27日，総務省の「インターネット上の違法・有害情報への対応に関する検討会」が最終取りまとめ（案）を公表し，パブリックコメントの募集を開始した（「『インターネット上の違法・有害情報への対応に関する検討会』最終取りまとめ（案）に対する意見募集」参照）。日本のインターネット業界全体への影響が大きい問題なので，最終取りまとめ（案）を一読しておくことをお勧めする。

　今回は，ファイル交換ソフトを介した高校生の個人情報流出事件について取り上げてみたい。

ファイル交換ソフト経由で流出した高校生の個人情報

　2008年11月11日，神奈川県は，授業料徴収システム開発委託業者から同システム関連の情報がインターネット上に流出しているおそれがあることを発表した（「神奈川県授業料徴収システム開発委託業者からの情報の流出について」参照）。流出したおそれがあるのは，神奈川県授業料徴収システム開発時のシステム関連情報で，2006年度在籍生徒約11万人の住所，氏名，授業料振替口座等の個人情報が含まれていた。

　事件が発覚した発端は今年9月12日，「ファイル交換ソフト『Winny』を介してインターネット上に県庁内部情報が流出している」という旨の匿名のファックスが，神奈川県教育委員会宛に送信されたことである。9月15日には，日本IBMの協力企業社員が所有するパソコンに保存されていたデータが，ウイルスに感染して流出したことが判明したという。日本IBMは神奈川県授業料徴収システム開発の外部委託先だった。

　その後11月13日，神奈川県は，県立高等学校の授業料徴収システムに係る個人情報がインターネット上に流出していることが確認されたと発表した（「神奈川県授業料徴収システムに係る個人情報の流出について」参照）。流出が確認されたのは，2006年度に神奈川県下の県立高校に在籍していた生徒，延べ約2000人分に関する口座情報等を含む個人情報である。

　思えば，安倍晋三氏が内閣官房長官当時に，記者会見でファイル交換ソフト経由の情報漏えいについて言及したのは2006年3月15日だった。今回のケースは、政府の警告と同時期の年度（2005年度）に整備されたシステムで起きたことになる。ファイル交換ソフトを介した地方自治体の個人情報流出は，本連載の第2回，第32回，第92回，第122回などで取り上げてきたが，子どもの「安全・安心」の根幹に関わる個人情報が外部流出したとなれば，事態の影響は大きい。

複数のファイル交換ソフトで広がる個人情報流出の脅威を認識せよ

　今回の事件で注目すべきは，個人情報流出が確認されたファイル交換ソフトのネットワークが，匿名のファックスにあった「Winny」ではなく「Share」だったことだ（日本IBM「お客様情報流出に関するお詫びとお知らせ」参照）。「Winny」経由の流出元とは別に，第三者が何らかの意図を持って「Share」のネットワーク上に流出させた可能性も指摘されている。「Share」に起因する個人情報流出については，本連載の第32回，第96回で取り上げたことがある。ファイル交換ソフトを悪用したウイルスによる情報漏えいのリスクがある点は，「Winny」と同様だ。

　神奈川県は，今年9月12日に外部から情報流出の指摘を受けた時点で外部発表しなかった理由について，「Winny」ネットワーク上で流出の事実が確認されなかったこと，また，「Winny」では検索回数が多いと流出データが表面化する傾向があるため，仮に流出していた場合の二次災害のおそれを考慮し不明確な段階での発表はしなかった，と説明している。

　だが，「Winny」ネットワークを24時間監視しても，「Share」ネットワーク上にある個人情報の存在は確認できない。神奈川県のケースは，ファイル交換ソフトを介した個人情報流出がいったん発覚したら，流出元となったネットワークだけでなく，他のファイル交換ソフトのネットワークについても確認すべきであることを示している。前回取り上げた「eMule」のように，日本国内で馴染みのないファイル交換ソフトであっても，国際犯罪に悪用される可能性がある。国を挙げて大騒ぎした2006年頃よりも，ファイル交換ソフトを取り巻く環境が複雑かつ深刻になっている点を忘れてはならない。

　次回は，2008年12月1日より施行された改正迷惑メール対策法について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/