ヤフーBB事件で改めてわかった個人情報管理のおそまつな実態
がん告知情報、輸血適否情報、多重債務情報、年収……あらゆる個人情報が流出する
ヤフーBBの顧客情報流出は約450万人分と、同種の事件として過去最大規模になった。データベース・アクセス用のアカウントを一部グループで共有するなど、ずさんな管理が事件を招いたのは間違いない。だがヤフーBBに限らず、過去1年だけでも全国で多くの個人情報流出・紛失事件が起きている。中には、選挙の投票・棄権一覧表や、がん告知情報など、きわめてデリケートなものも含まれていた。自分の情報を守るために、私たちは何をしたらいいのだろうか。
■ ■ ■ ■ ■
ヤフーBBに対する恐喝容疑で逮捕されたのは(1)湯浅輝昭容疑者グループと(2)木全泰之容疑者の計4人で、少なくとも2つの流出経路があったとみられる。
警察の調べなどでは(1)の流出は昨年12月ごろのようだ。ソフトバンクの孫正義社長が2月27日の記者会見で明らかにしたところでは、ソフトバンクBB(ヤフーBBの回線事業部門を担当)の顧客データベースには当時、約670万人分のデータがあった。湯浅容疑者がソフトバンクBBを恐喝するために持ち込んだDVDには、重複分などを除くと約445万人分のデータが記録されていた。データベースの約3分の2が流出したことになる。一方、(2)の方は約56万人分だった。
流出に2つの経路
いずれもずさんな管理が露わに
流出経路は捜査中だが、(1)は規模の大きさからデータベースに直接アクセスした可能性が高い。(2)は、木全容疑者が昨年初夏ごろまで同社のサポートセンターに勤務していたことから、サポート用端末から抜き出したとみるのが自然だ。
(2)の方法だが、サポートセンター端末の検索機能を使えば、大量の顧客データを表示でき、それをフロッピーディスクなどに記録できる仕組みになっていた。この方法で情報が盗まれたとすると、サポートセンターに勤務していた人物なら、同じように盗めた可能性がある。
(1)の方は、当時、データベースに直接アクセスできたのは135アカウント。一部は1つのアカウントを3〜4人のグループで使っていた。また、データベースへのアクセスログも、当時は1週間程度しか保存していなかったようだ。
孫社長は会見で「管理態勢には細心の注意を払ってきたつもりだった」と語ったが、実態はこのようにずさんと言うほかない。同氏は「苦しい中で(ブロードバンド事業を)立ち上げた仲間であるという性善説に立っていた」とも語ったが、その姿勢が、顧客情報をほぼ根こそぎ奪われるという最悪の事態を招いた。
個人情報を保護する事業者とは?
プライバシーマーク事務局に聞く
個人情報の適切な管理・運用を義務づけた個人情報保護法一般法部門が施行されるのは来年4月。だが今でも、個人情報を適切に扱う事業者を識別する基準がある。その1つが、JIS(日本工業規格)に定められた「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」だ。これを満たした事業者にはプライバシーマークの表示が認められる。
プライバシーマークを付与している日本情報処理開発協会プライバシーマーク事務局の関本貢事務局長は「個人情報保護のポリシーとともに、それを実現する仕組みがあるかどうかを重視して認定に当たっています」と話す。実際、マークを得るには「個人情報の入出力情報の廃棄ルールを定めているか」「個人情報の記録媒体保管庫の施錠管理ルールを定めているか」「建物や部屋への入退の資格付与細則を定めているか」「アクセスログ等を記録し、アクセス状況を定期的にチェックしているか」など、非常に細かい点が監査されるのが特徴だ。
ただ、こうしたマークはまだ十分に普及しているとは言い難い。ユーザー側から見て、個人情報を託してよい企業かどうか、見分ける方法はあるのだろうか。
「1つの手がかりは、個人情報の収集目的や利用範囲を明示しているかどうか」と関本さんはいう。
例えばある企業が懸賞を実施しているとき、「応募者の情報をマーケティングにも利用するが、第三者には漏らさない」などと明記しているかどうかで、その企業の個人情報保護の姿勢がある程度わかる。またホームページなどで、どのような個人情報保護ポリシーを掲げているかもチェックするといい。「個人情報保護について、そうした『約束』をしない企業のキャンペーンなどに応募すれば、情報をどう使われるかわからない。そういう意識を持つことは大切です」と、関口さんは言う。
際限なく起きる情報流出・紛失
「長年の慣習」で大量流出も
個人情報の流出事件は頻繁に起きている。昨年3月から今年2月までに、「朝日新聞」などで報道された主な個人情報トラブルのうち、情報件数が約100件を超す例を表にまとめた。この表から、多くのことがわかる。簡単に分類してみよう。
(A)データベースやPCからごっそり
大手コンビニエンスストア関連の2つの事件では、顧客や会員情報を管理していたサーバーやパソコンから抜き出された可能性が高いとされた。社内か委託事業者による「内部」の仕業が疑われたが、経路は不明だ。
(B)長年の慣習
個人情報の不適切な扱いが慣習化していた例もある。防衛庁が自衛隊の入隊者を募るため、全国の市町村に依頼して18歳前後の住民のデータ提供を求めていたケースでは、住民基本台帳法で認められている住所・氏名・生年月日・性別だけでなく、健康状態や電話番号なども、本人や家族の承諾なく提供されていた。また全国40都道府県の約1100の公立学校から予備校に、在校生の大学不合格者情報が、本人の了承なしに渡っていた。
(C)用紙の廃棄・輸送中の事故
データを記録した用紙を廃棄したり、輸送したりする際、トラブルが起きるケースも目立つ。関西の自治体で今年2月、保管期限の過ぎた書類を廃棄するため、段ボール箱430個に入れて、市環境局のごみ収集車8台が処理場に搬送中、箱の一部が落ちて、課税用内部資料として作成した市民の名前や年収などを記した文書が散乱した。今年2月には、大手運送会社が、個人の病歴の印刷された診療報酬明細書を保管中に紛失した。
(D)がん告知などの情報も漏れる
昨年8月、四国の県立病院の元職員が、入院患者約240人の個人名や病名を、自分の個人ホームページに掲載していたことが明らかになった。このうち数十人はがん患者で、告知の有無も掲載されていたという。昨年3月には、甲信越地方の血液センターで献血登録者のデータが流出。住所や個人名のほか、輸血適否情報も記載されており、肝炎やエイズに感染していることが類推される状態だった。
このように、個人情報の流出は至る所で起きている。しかも四国の病院の事件に見るように、そうした情報が簡単にインターネットに流れる時代だ。とりわけ病歴など「センシティブ情報」を扱う組織には、法の施行以前から、十分な保護体制が求められていると言えるだろう。
●過去1年間に報道された個人情報をめぐる主なトラブル
| 発覚した月 |
流出元など |
規模(概数) |
情報の内容 |
概要 |
| 2004年2月 |
国の機関のウエブサイト |
3500人 |
サービス利用者の勤務先や名前、電話番号など |
閲覧可能なサイトにデータをおく |
| 2月 |
40都道府県の1100公立高校 |
不明 |
大学合否者情報 |
本人の許諾なしに予備校に教え、7割以上が対価を受け取る。一部の私立高校でも同様のことを確認 |
| 2月 |
大手運送会社 |
4700件 |
社会保険診療報酬支払基金から預かった審査済み診療報酬明細書(患者名・病歴・保険証書番号など)
|
預かって保管中に紛失 |
| 2月 |
関西の自治体 |
不明(338人分確認) |
市民の住所・氏名・生年月日・年収など |
課税用につくった内部資料を運ぶゴミ収集車から落下か |
| 1月 |
大手消費者金融 |
32万人(未確定) |
住所・氏名・生年月日など。一部は貸付残高も |
不明(内部犯行の可能性) |
| 2003年11月 |
著作権団体のウエブサイト |
1200人 |
サイトへ相談を寄せた利用者の住所・氏名・電話番号・相談内容など |
CGIプログラムの欠陥から、インターネット経由で引き出される |
| 11月 |
大手携帯電話会社 |
約2万4000人 |
携帯電話解約者の住所・氏名 |
解約者のアンケート目的で調査会社に渡す |
| 10月 |
大手コンビニエンスストア |
最大で18万人 |
メールマガジン登録者の住所・氏名・メールアドレスなど |
不明(社内サーバーから流出か) |
| 10月 |
中国地方の自治体選挙管理委員会 |
870人 |
有権者が投票したか棄権したかを示す一覧表 |
不明 |
| 9月 |
東北の地方新聞社 |
1万人以上 |
読者参加の新生児紹介欄応募者の住所・氏名など |
新聞社から広告主数十社に |
| 9月 |
関東の自治体 |
330人 |
家族に障害者がいるかどうかなども記入された市民の給与支払い報告書 |
企業から提出されたものを紛失、第三者の手に渡る |
| 8月 |
四国の県立病院 |
240人 |
入院患者の氏名・年齢・病名。数十人のがん患者については告知の有無など。 |
病院の元職員が個人ホームページに |
| 8月 |
大手信販会社 |
7000人 |
利用者の住所・氏名・勤務先。一部はカード利用状況 |
情報を記録したフロッピーディスクを紛失 |
| 8月 |
大手信販会社 |
8万人 |
住所・氏名・電話番号・年収区分など |
(不明)ダイレクトメール会社に渡る |
| 8月 |
山陰地方の県庁のウエブサイト |
130人 |
コンクール応募者らの住所・氏名・電話番号など |
誤って県の公式ホームページに掲載 |
| 7月 |
大手電算会社 |
6万件 |
システム納入先の自治体住民の名前や本籍地などが記入された除籍情報 |
システム納入先で起きた故障の解析のためデータを宅配便で送り、途中で行方不明に |
| 7月 |
関東地方の自治体 |
1300人 |
生活保護世帯の情報など |
自治体施設に侵入され、情報を記録していたノートPCごと盗難 |
| 6月 |
大手コンビニエンスストア |
56万人 |
カード会員の住所・氏名・電話番号・性別・生年月日など |
不明(システム開発委託先のコンピューターから流出か) |
| 6月 |
埼玉県の名簿業者 |
150万人 |
多重債務者の名簿 |
ヤミ金融業者に高額で販売 |
| 5月 |
東海地方の自治体 |
100件 |
買収用地の地権者名・用地費・補償費、物件移転補償費の支払先住所・氏名・金額など |
業務に使った私物PCを、データ消去せず廃棄 |
| 5月 |
東海地方の民生委員宅 |
130人 |
65歳以上の高齢者の住所・氏名・生年月日・電話番号・1人暮らしかどうかなど |
敬老事業の対象者を把握するために配送した名簿が、自宅ポストから抜き出される |
| 4月 |
全国557市町村 |
総数不明 |
18歳前後の自衛隊入隊適齢者の電話番号、健康情報など |
防衛庁が自衛隊員募集のため各市町村に依頼、住民基本台帳法で閲覧が認められる情報以外も収集 |
| 3月 |
甲信越地方の血液センター |
1300人 |
献血登録者の住所・氏名・電話番号・血液型・輸血適否情報など |
派遣職員が引き出しか |
| 3月 |
東京都のネット喫茶 |
900件 |
ネット銀行の口座番号やパスワード |
ネット喫茶の端末に犯人がキーロガーを仕掛けて収集、端末でネット銀行を利用した人の口座から約1600万円を盗む |
(2004/03/17)
ASAHIパソコンNEWSへ
| 
天気 
朝日新聞ニュース
