ここ最近毎日のように個人情報の流出事件が続発している。
中でも生命保険会社アリコジャパンによる契約者のクレジットカード情報大量流出事件が深刻だ。
被害に遭った契約者は、その殆どがクレジットカードを不正に使用され、9月10日の時点で確認されたカード不正使用件数は4292件に達している。
しかも、調査結果から判明したのが、システム開発を委託した外部業者が情報を不正に持ち出した可能性が高いというトンデモナイものだった。
加えて、08年2月末から3月中旬にかけて、業務委託先の社内パソコンから、アリコのデータベースに対し、不自然な複数回のアクセスがあり、保管されていた情報ファイル2種類のカード番号や有効期限が、不正使用されたカードと合致したということが調査で判明したとのことだ。
この事件において、何よりもずさんだったと言えるのが、システム開発の委託先業者に顧客情報にアクセスできる権限を与えていたということに尽きる。
アリコは、今回の問題を受け、委託先業者は顧客情報にアクセスできないようにしたとのことだが、あまりにも遅い対応であり、セキュリティ面から考えれば、その情報管理に対する真剣さが伝わってこない。
今のご時世、外部業者に顧客情報アクセス権限を与えていれば、必ず流出すると言っても言い過ぎではない。
なぜなら、顧客情報は金になるからだ。
おそらく、顧客情報を持ち出した人物は悪徳業者に売りつけて、それに見合った金を手にしているはずだ。
あとは知らぬ存ぜぬを決め込んでいるに違いない。
摘発するには、徹底的に証拠を集めて追求するしか方法はない。
それにしても、企業における顧客情報の取り扱いに関しては認識が甘すぎる。
また、9月1日には「陸上自衛隊員14万9000人の9割以上に相当する約14万人とその家族の氏名等の個人情報を流出させたとして、陸上自衛隊警務隊は8月31日、自衛隊鹿児島地方協力本部の1等陸尉(46)を行政機関個人情報保護法違反容疑で逮捕した。」との報道があった。
この事件についても容疑者である1等陸尉が 自衛隊員募集業務に携わっている事を利用して鹿児島地方協力本部にあった全国の陸自隊員約14万人分とその家族の氏名、住所などが記録されたCD―ROMのデータを別のCDに複写。外部に持ち出し、部外者に提供したというのだ。
これらの事件を見れば分かると思うが、情報の流出は持ち出しによるものが最も多く、小説やドラマ、映画のような不正アクセスによる情報流出は少ない。
これは何を意味しているのかといえば、「外部からの侵入は難しいが、内部からの持ち出しは簡単」ということを表しており、企業を含めて「情報を管理する(アクセスする)ことが出来る立場にある人間ならば誰でも情報の持ち出しが可能」ということを示している。
すなわち、セキュリティ認識が甘いということを露呈している。
一度、情報が流出すれば回収することは絶対に不可能であり、それが不正に利用されることは幼稚園児にだって理解できる。
それすら分からないのであれば、もはや救いようはない。
悪徳業者はそれら顧客情報を利用して、ありとあらゆる手段で不正に利益を上げる。
企業に限らず、何よりも重要視すべきものは情報の徹底した管理である。
不正利用されて泣きを見るのは他人ばかりではない。
これら個人情報の流出は対岸の火事ではない。
情報を扱う職にある者は、セキュリティについて日々勉強し精進すべきだ。
まず、セキュリティについて理解するために、自社内でセキュリティ担当者を育てなければならない。
できればSEやプログラマー等のPCのプロフェッショナルにセキュリティの担当を任せるべきである。
じゃあ、どうするのかといえば・・・。
専門機関(PC専門学校等)でしかるべき教育を受けさせ、情報処理、その他セキュリティ関連の資格取得をさせなければならない(もちろん、その分費用もかかるが、情報漏洩による信用失墜や利益損失を考えれば安上がりなはずである)。
単に、パソコンが得意というレベルの人物に企業や行政のシステム管理を任せてはならない。
あまりにも顧客情報や社員情報といった情報管理について簡単に考え過ぎてはいないだろうか?