5月から6月にかけ,エステティックTBCや全日空ワールドなどのWebサイトから,個人情報が部外者に流出する事件が相次いだ。個人情報を掲載したWebページのURLが,だれでもアクセスできる電子掲示板に公開されてしまったことが原因だ。どのケースも,個人情報が野放し状態にあった。
 |
| 図●エステティックTBCを運営するコミーと,旅行代理店の全日空ワールドが,それぞれのWebサイトに掲載した謝罪文(左がコミー,右が全日空ワールド) |
エステティックTBC(東京ビューティセンター)を運営するコミー(東京都新宿区)は5月27日,同社のWebサイトに図[拡大表示]のような謝罪文を掲載した。同社に資料を請求した5万人以上の氏名や住所,電話番号,メール・アドレスといった個人情報が,部外者に閲覧されるという事件が起こったからだ。
コミーは以前から,このような個人情報をHTML(ハイパーテキスト・マークアップ・ランゲージ)ファイルの形で社内のWebサーバーに格納し,社員が閲覧して業務に利用していた。ところが,この個人情報を掲載したWebページのURLが,何者かによって電子掲示板「2ちゃんねる」に書き込まれ,部外者にも知られてしまったのである。
今年5月以降,同様の事件が相次いで発生した。旅行代理店の全日空ワールド(東京都新宿区)やテレビ番組制作会社の日本テレビエンタープライズ(同千代田区),建材メーカーのYKKアーキテクチュラルプロダクツ(同千代田区),三井物産ハウステクノ(同中央区)などである(表[拡大表示])。顧客情報を掲載した社内のWebページのURLが,いずれも2ちゃんねるに公開されてしまった。
 |
| 表●今年5月以降に顧客の個人情報が流出した主な事件 |
個人情報が事実上の野放しに
これらの企業がWebページに掲載していたのは,主に資料を請求したりアンケートに回答した個人の属性情報だった。各社の社員が,資料の送付やマーケティング活動に利用するために用意したものだ。
どの企業のケースでも,セキュリティの観点から見てWebサーバーの設定が甘く,WebブラウザにURLさえ入力すれば社外からでも閲覧できるようになっていた。何者かにURL情報を盗まれることなど予期していなかったとはいえ,個人情報を扱う企業としては情報管理がずさんだった。弁解の余地はないだろう。
こうした個人情報は本来,Webサーバーとは別のサーバーにあるデータベースで管理するか,たとえWebサーバーで管理するにしても,その情報に対する外部からのアクセスを拒否するように設定しておくべきであろう。加えて,IDやパスワードによるユーザー認証の仕組みも用意すべきだ。コミーのWebサイト管理者は,「個人情報を掲載したWebページが,URLを指定するだけで社外から直接アクセスできる状態になっているとは認識していなかった」という。
全日空ワールドのケースでは,Webシステムを再構築した後の,データの移行作業にミスがあった。新しいWebシステムでは,個人情報を掲載したWebページにアクセスするにはIDとパスワードによるユーザー認証を受けなければならない。ところが,ユーザー認証の仕組みがなかった古いWebシステムに,一部の個人情報を残してしまったのだ。
