検索エンジンで個人情報を発見か

 個人情報を掲載したWebページのURLがなぜ外部に漏れたのか,これらの企業はいずれも,「原因は分からない」と口をそろえる。

 しかし,セキュリティ分野のコンサルティングを手がけるKPMGビジネスアシュアランス(東京都千代田区)の古川泰弘 Information Risk Management アナリストは,「Googleなどの検索エンジンをうまく使えば,個人情報を発見したり入手できる。今回の事件でも,この方法が使われた可能性が高い」と指摘する。

 個人情報の保存に使われる典型的なファイル名を指定して検索を実行すれば,このようなWebページを発見できることが多いという。古川アナリストは,「個人情報など重要なデータをWebサーバーで扱うなら,それに見合った管理体制を敷く必要がある。例えば,担当者以外の技術者が定期的にWebサーバーの設定を見直す,といった方法が考えられる。Webサーバーの運用コストは増すが,不可欠な作業だと認識するべきだ」と指摘する。

 Webシステムの開発や運用をITベンダーに委託する場合でも,セキュリティ対策については自社で責任を持つという意識が重要だ。コミーと全日空ワールドは,いずれもITベンダーに開発・運用を委託していた。コミーのWebサイト管理者は,「Webシステムを検収する際に,システムの動作はチェックしたが,セキュリティのチェックは行わなかった」と振り返る。

警察は被害届を受け取らず

 これらの企業の多くは,事件が発覚してから警察に被害届を出そうと相談したが,いずれも受理されなかったという。深刻な被害が出ていない,というのが最大の理由だ。情報流出の結果,個人に迷惑メールが殺到する,といった事態になれば警察の態度が変わる可能性もあるが,現時点ではそうした被害は報告されていない。

 また,警察は「掲示板にURLを書き込んだ投稿者は,不正侵入者には該当しない」と判断している。全日空ワールドの総務担当者は,「URLさえ入力すればだれでも個人情報にアクセスできるという状況では,その企業は個人情報の保管場所に“カギをかけた”とは言えない。投稿者はカギをこじ開けたわけではない」と警視庁に指摘されたという。

 事件が起こった企業の複数の関係者は“犯人像”について,「目立ちたがり犯ではないか」と分析する。各社はいずれも,2ちゃんねるへの投稿の事実を,匿名の電話によって知らされた。日本テレビエンタープライズには5月18日から28日までに,同一と思われる人物から3度にわたって電話があったという。「掲示板に個人情報が流出している。これは,ゆゆしき問題だ。テレビで報道するべきではないのか」と,日本テレビエンタープライズのWebサイト管理者に迫ったという。URLを書き込んだ投稿者が自ら電話をかけた可能性が高い。

(森 永輔,高下 義弘)