注目のセミナー

申込受付中!

危機に強い
プロマネ養成
実践トレーニング

火消しのプロが、 実践演習と個別の メンタリングを通じ、 強いPMを2ヵ月で育成!

情報システム

ITpro情報システム
情報システム

個人情報漏えい事件を斬る

ITpro

〔20〕「価格.com」とは対照的なワコールの情報漏えいへの対応

2005/12/01

 第17回第18回第19回と、厚生労働省が所管する医療分野の個人情報保護について取り上げた。今回は、経済産業省の所管分野である通信販売業界で多発する個人情報漏えい事件について考えてみたい。

5124人分の個人情報流出で一時閉鎖に追い込まれたワコール

 2005年11月19日、ワコールは個人情報が流出していたことを発表した。同社のECサイト「ワコールオンラインショップ」が、外部からの不正アクセスを受けて、2005年7月14日から11月9日の間に商品を購入した4757人分の個人情報が流出。その中には、1899人分のクレジットカード情報が含まれていたことを発表した(「お客様情報の流出に関するお詫びとご説明」)

 発覚したきっかけは、11月7日、顧客からインターネット上でのクレジットカード不正使用についての問い合わせが寄せられたこと。調査した結果、11月18日に、サイトの運用業務の委託先であるNECネクサソリューションズのサーバーに、不正アクセスの形跡が見つかった。

 その後、NECネクサソリューションズの親会社であるNECが精査したところ、2003年10月30日〜12月23日と2005年11月10日〜11月14日の間に、新たに367人分の顧客データが流出していたことが判明した。流出した合計5124人分の顧客データのうち、クレジットカード情報(カード番号・有効期限)を含むのは2016人分に上る。「ワコールオンラインショップ」は、12月1日の時点でも閉鎖されたままだ。

SQLインジェクション対策の漏れを突いた不正アクセス

 ワコールは、被害の原因がSQLインジェクションという手法を使った不正アクセスであることを公表している。ECサイトなどで、Webアプリケーションとデータベースをつなぐプログラムの脆弱性を突いた手法であり、管理者が気付かなければ、データベースに収録された個人データを抜き出すことも可能である。

 SQLインジェクションといえば、第7回第8回第9回で取り上げた「価格.com」事件で話題になった手口だ。「価格.com」事件が起きた2005年5月以降、SQLインジェクションの脅威は報道記事で大きく取り上げられた。独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)も、注意を呼びかけてきた。ECサイトを運営する中堅中小企業(SMB)にとって、深刻な問題であることは言うまでもない。

 ワコールのケースでは、NECネクサスソリューションズが受託運用中のECシステムを8月に変更したが、システムの一部にSQLインジェクション対策の漏れがあり、放置されていたという。その後の調べで、8月以前に不正アクセスを受けていた事実が判明している。一時閉鎖に追い込まれた「価格.com」が完全復活を宣言した8月時点で、このような事態が進行していたのは皮肉と言うべきだろうか。

カカクコムとは対照的な「ワコールメソッド」

 注目に値するのが、ワコールの対応だ。「価格.com」事件では、不正アクセスを受けた原因や対応策を一切公開しないカカクコムの姿勢が話題になり、「カカクコムメソッド」と呼ばれた。ワコールは、今回の事件で全く逆のアプローチをとっている。

 前述のワコールのホームページでは、委託先会社と連携して、「最新情報」「11月19日公表資料」「お詫びとご説明」「流出内容と経緯」「調査と対応状況」「よくいただくご質問」「お問い合わせ窓口」といった項目を設け、事件の経過や被害状況、再発防止策などを逐次公開している。顧客価値の維持・向上、類似犯罪防止の観点から、同じようなリスクを背負うSMBにとって、参考になる情報も多い。

 ただし、気になるのは経営トップの対応だ。個人情報保護法には両罰規定があり(「施行開始!個人情報保護法(1):行政措置と罰則規定をチェック!」参照)、違反行為者だけでなく企業の刑事責任が問われる仕組みになっている。個人情報取扱事業者の代表者であれば、「知らなかった」で済まされないのだ。

対応はオープンだが経営者の顔は見えてこない

「価格.com」事件では、カカクコムの代表取締役自らメッセージを発信し、トップダウンで緊急対策を講じていた。一方ワコールの事件では、現場や委託先の対応ばかりが目立ち、現時点では経営トップのリーダーシップがあまり伝わってこない。社員数50人のカカクコムは迅速な対応で緊急事態を乗り切ったが、4000人以上の社員を抱えるワコールの経営トップはどのように対処するであろうか。

 被害に遭った企業の情報公開については、どちらがいいとは一概には言いにくく、意見が分かれるところだ。企業の枠を超えた不正アクセス防止対策が必要になっているが、一方では、経営者自身の危機管理能力が問われていることを忘れてはならない。

 次回は、ワコール事件でも問題になったクレジットカード情報の流出に絞って考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業、公共部門まで、国内のIT市場動向全般をテーマとして取り組んでいる。。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/
Twitter Facebook

この記事に対するfacebookコメント

nikkeibpITpro

新しいコメント機能について
▲ ページトップ

読みましたか? 〜 未読記事をご紹介

情報システムの最新記事>>一覧