2005年4月1日、個人情報保護法が施行された。それから今日(2006年3月31日)でちょうど1年。企業や組織は個人情報を安全に管理するようになったのだろうか。
保護法施行後の1年で発生した主な情報漏洩事件をあらためて洗い出してみたところ、その間に流出した個人情報の数はおおよそ250万件、事件の数は80以上にものぼっていた。おおよそ4日に1件の割合で流出事件が起き、1日当たり7000人の個人情報を全国のどこかの企業や組織が漏らしている——これが、ここ1年の「現実」だ(表)。
個人情報保護法は、企業や組織が個人情報を取り扱う際の義務を明示したもの。個人情報を取得する際に、情報主体(情報提供者)に対して利用目的を伝えることや、情報漏洩や情報の改ざんを防ぐシステムを構築すること、などを定めている。
1週間、必死に探し続けた
個人情報保護法の施行後、最初に大きな話題となったのは青森県のみちのく銀行だった。みちのく銀行が、顧客データの入ったCD-ROMを紛失。CD-ROMには実に131万件の個人情報が入っていた。法律の施行後、わずか3週間での出来事だ。
事件は、顧客データを入れたCD-ROMを事務センターから本部に発送する行程で起こった。事務センターからの発送と本部への到着は確認されている。紛失したのは本部内だった。「届いてるはずのCD-ROMが届いていない」。
調査の結果、本部に到着した際にCD-ROMを受け取った社員Aさんと、本来のCD-ROMの受け取り人社員Bさんとの間で発言の食い違いが生じた。社員Aさんは、社員BさんにCD-ROMを「渡した」と断言。一方、社員Bさんは「もらってない」と発言した。
「本部に到着していることは確かなのだから本部内にあるはず」と、社員は紛失発覚後1週間、寝る間を惜しんで朝までCD-ROMを探し続けた。「本当にあのときは大変だった」。その努力もむなしく、結局CD-ROMは見つからず、「消去法で考えると、誤ってシュレッダーにかけたとしか考えられない」(みちのく銀行の広報部)。
金融庁は2005年5月、みちのく銀行に対して、個人情報保護法施行後初の是正勧告を行った。「個人データが移送の際に行内規程通りに取り扱われていない事例が認められたほか、従業員に対する監督が不十分であるなど、個人データにかかわる安全管理措置などに重大な問題があると認められた」ためだ。みちのく銀行はこれに対し、「個人情報保護法施行に向けて様々な取り組みをしてきたが、形骸化していたのも事実」とその落ち度を認めた。
みちのく銀行はこの事件後、「ここまで厳しいルールにしていいのかというくらい」個人情報の扱いについての規定や社員に対する教育を徹底した。事件の原因となった、事務センターから本部への個人情報CD-ROMの発送を中止。個人情報などの重要データの受け渡しが発生する場合は、必ず確認担当係が立ち会うルールにした。このほかにも、データを閲覧するためのIDやパスワードに関するポリシーなど様々な点で徹底を図った。
やっぱり「人間はミスをする生き物」だった
過去1年の事件を見てみると、CD-ROMやフラッシュメモリー、パソコンなどを紛失して個人情報を流出させてしまったケースが多い。2005年5月に、ケイ・オプティコムやNTTデータが数万件のデータ入りメディアを紛失。JR西日本は2005年12月に、43万件の個人情報入りCD-ROMを失くした。
強固なシステムを作り上げ、どんなに社員に啓蒙活動をしても、人為的なミスは簡単に起こってしまう——このことを痛感させる結果となった。
その後も、個人情報流出は続く。2005年5月には、カカクコムが不正アクセスによって、2万件以上のメールアドレスを流出していたことが明らかになった。攻撃者が社外から、カカクコムのWebサーバーのプログラムが抱えていた欠陥を突き、カカクコムのサーバーに記録されていたメールアドレスを抜き出した。犯人は逮捕されたが、カカクコムは、運営する「価格.com」の1週間の閉鎖を余儀なくされた。
カカクコムで使われた不正アクセスの手口は、「SQLインジェクション」というもの。この手口は、2005年5月の静岡新聞や2005年11月に起こったワコールへの不正アクセスなどでも使われた。「(SQLインジェクションでの不正行為は)極論すれば、ほぼ何でもできる。SQLインジェクション攻撃を許す、欠陥Webサイトは今でも数多く放置されたままだ」(ラックの三輪信雄社長)と言う。
ショッピングモールが落ちた穴
楽天市場の出店店舗が、2005年8月に起こしたクレジットカード情報流出も大きな話題を呼んだ。店舗「AMC」を運営するセンターロードに勤めていた社員が、センターロード退職後も顧客情報にアクセスできるIDとパスワードを所持。そのIDとパスワードを利用して、顧客情報を引き出した。AMCで購入履歴のある3万6279人分の名前、住所、購入履歴が流出し、一部にはクレジットカード番号などが含まれていた。
この事件で問題となったのは、ショッピングモールのクレジットカード情報の管理体制。楽天市場では、出店店舗が顧客のクレジットカード番号を閲覧するのが前提であるシステムで運営していた。この事件以降、楽天をはじめ、同時期に個人情報流出が発覚したディー・エヌ・エー、ショッピングモール大手のヤフーなどが、クレジットカード管理の体制を強固なものにした。
「1日7000件のペースで個人情報が流出する」という事実を、みなさんはどのように感じるだろうか。最近では、Winny上での情報流出がさらなる不安を掻き立てている。報道される事件の数が多すぎて、これが正常な世界のか、異常なのかの感覚がマヒしている人もいることだろう。
2006年2月、経済産業省は「個人情報保護法に基づく個人データの安全管理措置の徹底にかかる注意喚起」と題して、一向に止まない個人情報流出に対して注意を促した。法律が効果を発揮し、企業や組織の関係者の努力が実る、個人情報流出のない「理想の時代」が訪れるのには、まだ時間がかかりそうだ。
●2005年4月1日~2006年3月31日までに1万件以上の情報流出が確認された国内の主な事件 | ||||
時期 | 事業社名・団体名 | 流出物 | 件数 | 流出経路 |
2005年 4月 |
秋田県湯沢市(合併前) | 住民の個人情報 | 11873 | Winny |
みちのく銀行 | 取引先顧客情報 | 310000 | CD-ROM紛失 | |
2005年 5月 |
ケイ・オプティコム | 契約者個人情報 | 12004 | 外付けHDD紛失 |
静岡新聞社 | サイト閲覧者の個人情報 | 10500 | 不正アクセス | |
カカクコム | メールサービス登録者の メールアドレス |
22511 | 不正アクセス | |
NTTデータ | 全社員の個人情報 | 11835 | USBメモリーを紛失 | |
2005年 6月 |
NTTコミュニケーションズ | 回線サービスの申込者 | 13000 | パソコン盗難 |
旧三菱信託銀行 | 顧客情報 | 173000 | 書類紛失 | |
三井住友銀行 | 顧客情報 | 61405 | 書類破棄 | |
りそな銀行 | 顧客情報 | 100000 | 書類紛失 | |
福井銀行 | 顧客情報 | 170000 | 書類紛失 | |
2005年 8月 |
センターロード | ショッピングモール利用者の個人情報 | 36239 | 不正アクセス |
2005年 9月 |
旧東京三菱銀行 | 預金残高を含む個人情報 | 50447 | 書類紛失 |
旧UFJ銀行 | 預金残高を含む個人情報 | 71282 | 書類紛失 | |
2005年 10月 |
小田急電鉄 | パソコンなどでチケット予約した顧客の情報 | 19531 | プログラムミス |
2005年 12月 |
西日本旅客鉄道 (JR西日本) |
会員名簿流出 | 436967 | CD-ROM流出 |