米国で「身元情報の窃盗」被害者が1000万人に。対策はいかに？

小久保重信

2003.09.26

　「ID theft」（アイディー・セフト）をご存じだろうか。ここ最近米メディアで頻繁に登場する言葉だ。日本語にすれば「身元情報の窃盗」となるだろうか。個人情報の漏えいといった漠然としたものとは異なり，情報を不法に取得し，悪用するという犯罪行為を限定的に指している。最近，この手の犯罪がいっこうに収まらないことから米国では大きな問題になっているという。

　このほど米連邦取引委員会（FTC：Federal Trade Commission）がまとめた調査報告書によると，昨年のID theftによる被害者数は米国人口の4.6％にあたる1000万人。その被害額は，消費者で50億ドル，企業や金融機関の被害額は480億ドルにのぼるという（SiliconValley.comの記事）。

　ID theftについては，これまで消費者団体や民間調査機関がなどが独自に調査していたが，実のところ実態がよく分からなかった。そこでこのほどFTCが初めて全米規模で調査した結果，予想をはるかに上回る被害実態が浮かび上がったというわけだ。今回はこのID theftについてレポートしてみたい。

■消費者の平均被害額は1180ドル

　ID theftには，氏名，住所，社会保障番号といった身元情報を盗むものと，銀行口座やクレジット・カードといった何らかの口座情報を盗むものがある。狭義では前者をID theftと呼び，後者は個別に「account theft」とし，区別することがある。ただし一般的にはこれらをひとまとめにしてID theftと呼んでいる。

　身元情報を盗んだ犯人は，前者の場合，新規にクレジット・カードなどを作ったりして利用する。後者の場合は，すでにある口座情報をそのまま使う。その目的は商品やサービスの購入である。また，警官に職務質問されたときや，逮捕されたときに使われるケースも多いという。

　新規に口座を作られた場合の1事件当たりの平均被害額は，消費者の場合1180ドル，金融機関では1万200ドルになる。既存口座の場合は消費者が160ドル，金融機関が2100ドルとぐっと少ない。前者の場合は犯行に気づくのが遅れるため，それだけ被害額が増えるらしい。信用情報を修復するために要する時間は前者の場合は60時間だが，後者の場合は15時間という。

■偽の電子メールとWebサイトで情報入手

　この手の犯罪はこれまでにもあった。いわゆる身元詐称による詐欺だ。しかしインターネット時代の今はかつてよりも深刻な問題となっている。それは，いとも簡単に大量の情報を集められる手段があるからだ。例えば，家電小売大手Best Buyの販売サイト「BestBuy.com」の名を利用した事件が今年6月に報告されている（米CNET News.comの記事）。

　この事件では，インターネット・ユーザーに対し，あたかもBestBuy.comが発信元であるかのように見せかけたメールが送りつけられた。同メールには，「BestBuy.comで商品購入の注文がありましたが，あなたのクレジット・カード情報が使われていました」とあり，Webページのリンクが記載されていた。メールは，確認のためとしてそれをクリックするよう促しており，そのWebサイトで個人情報を入力させるようにしていた。もちろんそのサイトはBestBuy.comを真似た偽サイトだった。

　同様の事件は米Citibankでも起こっている。こちらも，偽電子メールとCitibankのWebサイトに似せたサイトを使ったもので，「社会保障番号を入力しないと，あなたの当座預金を閉鎖する」というものだった（英Reutersの記事）。

　今年7月に報告されたのは，ソニーの米国法人Sony Electronicsの顧客サービスに見せかけたメールだ。「Sonystyle user and email address」という件名のメールで，ユーザー名やパスワード，電子メール・アドレスなどの個人情報を求めたという（関連記事）。

■顔見知りが犯人のことも

　FTCの調査では，被害者が犯人のことを知っている場合が少なくないことも分かった。被害に遭った人のうち26％は，犯人は知人だったという。そのうちの25％は犯人が個人情報にアクセスできる権限を持った社内の人間だった。また18％が友人や親戚，または被害者の家で働く人だったという。

　被害者が，どのようにして身元情報が盗まれたかを知っている場合も少なくない。事件全体の25％のケースで，情報がメールや，財布の紛失（盗難も含む）によって盗まれていた。また13％は商品購入など，何らかの商取引を通じて盗まれたという。

　なお，身元情報を盗んでクレジット・カードなどを作る犯罪（狭義のID theft）の昨年の被害者数は330万人だった。口座情報を盗んでそれを悪用する犯罪（account theft）の昨年の被害者数は660万人である。前者の事件件数は過去2年間横ばい状態が続いているが，後者の場合は前年比71％増となっている（米New York Timesの記事）。

■名ばかりの対策組織が発足

　こうした中，米国のIT業界団体であるITAA（Information Technology Association of America）が，ID theft問題に取り組むための組織「Coalition on Online Identity Theft」を発足させた（CNET News.comの記事）。これには米Amazon.com，米eBay，米Microsoftといったオンライン・サービス／電子商取引企業が参加している。その目的は，消費者への啓蒙活動だ。また，参加メンバー企業と政府機関が密接に協力するようも働きかけていくという。

　この趣旨の触りだけを聞くと，大変頼もしい組織に見える。しかし実はこの組織の活動にはある思惑がある。それは，同団体がITAAによって組織されたことに関係する。

　実は今年の7月，カリフォルニア州で「Security Breach Information Act (S.B. 1386) 」と呼ぶ法令が施行された。これは，電子商取引を行う企業から何らかの事情で顧客情報が外部に漏れた場合，企業はその事実を顧客に告知しなければならないというもの。これに異を唱えているのが今回Coalition on Online Identity Theftを設立したITAAなのだ。

　CNET News.comの記事によると，彼らがなぜ反対しているかというと，「企業にとって多大な負担がかかり，人々が電子商取引から遠ざかっていくような不測の事態が起こるかもしれない」（ITAA）からだという。つまり，発足した組織の主な目的は，ID theftというものが存在することを消費者に知らせるだけ。そればかりか本当に消費者本位なのかと疑いたくなるような目的も持っている。

　ITAA情報セキュリティ部門バイス・プレジデントのGreg Garcia氏も同記事で，「（目的の）大半はパブリック・エデュケーションだ。人々は自分で自分の身を守れる」と言っている。

　今回，カリフォルニア州で，ID theftなどの情報漏洩に関する消費者への告知義務が法制化された。さらに今後は連邦全体で同様の法律が施行される可能性がある。そうなっては困るというのが同組織の本音である。「消費者教育こそ大事。だから我々はその活動をしている」と示すことで，こうした法制化の動きを阻止するのが目的である。だからこそ，その趣旨に「参加メンバー企業と政府機関が密接に協力するよう働きかけていく」というのがあるのだ。

■消費者ができることには限界がある
　
　しかし，ID theftの問題は，消費者への啓蒙活動だけでは限界があるという意見が多い。例えば，消費者に偽の電子メールやWebサイトが存在することを知らしめて，注意を呼びかけてみても，ID theftは消費者のコントロールできない場面で起こることが多い。企業情報への不正侵入しかり，情報担当者の不正行為しかりである。

　その場合，銀行や信販会社が最後の砦（とりで）となる。審査業務を徹底すれば，クレジット・カードなどの発行を食い止めることができるからだ。ところが，これら金融機関はカード申請の際に「なまぬるい調査しか行わない」（サンディエゴIdentity Theft Resource CenterのLinda Foley氏）という。理由は銀行や信販会社が審査業務を速やかに行いたいと思っているからなのだという（掲載記事）。

　米Gartnerは，「銀行や信販会社は，ID theftの取り扱いを誤っている」と指摘している。銀行や信販会社はこうした被害を，彼らのビジネス継続に必要な「費用」として捉えており，真剣に詐欺事件として扱っていないというのだ。だからこそ法制化が必要とGartnerは言っている。「政治家や業界団体などからの外圧がない場合，金融機関にはID theftを排除するための積極的な理由がないだろう」（GartnerアナリストのAvivah Litan氏）というわけだ。（掲載記事）。

　つまり，金融機関は被害額を費用として扱って処理するだけ。電子商取引業者は収益を確保するため，被害事実を隠したがる，というのが現状なのだ。これではしわ寄せが消費者に来るばかりで，早くこの状態を変えないと消費者は遠のいてしまう。FTCの調査でこれだけの被害が明らかになった今，ITAAのようなのんきなことは言っていられないと思うのは筆者だけではないだろう。