米LexisNexisの個人情報流出，当初発表の約10倍の規模

早坂利之

2005.04.13

　情報サービス企業の米LexisNexisにおける個人情報流出が，当初の見解より大規模であることが明らかとなった。米メディア（internetnews.com）が米国時間4月12日に掲載した記事によると，その人数は31万人にのぼるという。

　LexisNexis社の親会社である米Reed Elsevierは3月9日に，「約3万2000人分の個人情報が流出した可能性がある」と発表していた。

　LexisNexis社は，情報漏えいを通知する書簡をまず3月14日に，次いで4月12日に送っている。また，該当する消費者への情報ページも設けた。

　LexisNexis社は，公開／非公開の個人情報を，顧客である法律事務所，政府機関，金融サービス会社などに「合法的な使用目的に限り」（同社）提供している。LexisNexis社が消費者に送付した書簡によると，何者かが同社傘下のSeisint社の顧客パスワードとIDに不正にアクセスし，これらのパスワードを使って個人情報を盗んだ疑いがあるという。同社は信用調査会社の米Equifaxと協力し，クレジット履歴の監視サービスを提供するほか，詐欺被害にあったと思われる消費者には専門家が対応し，各種手続きのアドバイスをする。

　米国では，大規模な情報漏えいが続いている。米Bank of Americaは2月25日，米連邦政府職員用クレジットカード・プログラム「U.S. General Services Administration（GSA）SmartPay」の顧客および口座情報を収めたバックアップ用の顧客データ・テープの紛失を認めている。また，Seisint社のライバル企業である米ChoicePointでも2月16日に個人情報流出の事件があり，14万5000人の情報が盗まれたことを発表している。

　この事態を受け，カリフォルニア州選出の民主党議員Dianne Feinstein氏は，企業や組織に対して情報流出の事実を開示することを義務づける連邦法案を4月11日に提出した。社会保障番号，運転免許番号，クレジットカード番号，銀行口座情報などが不正アクセスを受けた際に，該当者に通知することを求める法律はカリフォルニア州法にもあるが，同法案では「電子データ／非電子データ，および暗号化データ／非暗号化データを対象とする」など，カリフォルニア州法（暗号化してない電子データが対象）を強化した内容になっている。