二大情報漏洩事件でわかった企業の本質

先週は、海外と国内で2つの大きな情報漏洩事件が起きた。米国の4000万件カード情報漏洩事件と、原発の内部情報がネットに流出した事件である。

情報セキュリティを考える際、2つの事件は多くの教訓を含んでおり、それゆえマスコミ報道の読み方を含めて、ポイントを整理したいと思う。

まず、米国で起きたカード情報漏洩事件の一連の報道から、バックにクラッキングのプロ集団と、カード情報を売買するブラック・マーケットの存在が明らかになった。

もう一方、原発の内部情報（修理・点検記録）のネットへの情報流出事件は、委託先の社員がP2Pファイル交換ソフトを使用したため起きた、ウィルス感染による漏洩事件であった。

漏洩したことによる被害額、社会への影響について両事件は質、内容とも大きく異なるが、漏洩に至った原因には、共通した問題が横たわっている。その問題を明らかにしなければ、今後も同様の事件が起こるであろう。ここで漏洩した企業の「なぜ？」を考えてみたい。

カード情報漏洩事件がマスコミで大きく取り上げられた背景

4000万件という過去類を見ない大規模な個人情報漏洩事件であること、個人情報保護法が施行された日本で、企業も個人も意識が高まっていることなど背景にあることは確かだが、マスコミで大きく取り上げられた理由として「なぜ米国のような情報セキュリティが堅固に見える国の企業で、このようなことが起こったのか」という驚きがある。そして何より大きいのは、世界シェア90％近いビザ、マスターカードの会員情報の漏洩事件であったため、提携した国内カードの利用者が非常に多く、「被害が国内にも及ぶのではないか」という想像が素人でも出来たためである。

6月18日に流れた事件の第一報は、マスターカードと提携した日本信販の発行するニコスカードのうち、米国で買い物をした6500件の顧客カード情報が漏れた、というものだった。合わせて「日本国内で発行されたカードの場合、過去に海外で使用していなければ今回情報が流出した怖れはない」とするカード会社関係者のコメントが添えられている。

21日以降、国内の提携カード会社30社余りから、漏洩件数と被害額が随時発表された。上位からUFJ、オーエムシー、イオンカードなどで、6月 23日現在、国内で不正使用された被害総件数は1000件超、被害総額は約1億2000万円（25日最新情報で1億3000万円）に達している。またビ ザ、マスター系カードの合計で6万7000人分のデータが流出したことが確認されている。

以後一貫してカード会社各社では「海外の使用歴の有無」が不正使用されたかどうかの判断材料であるとして、米国企業へ番号照会を行い、漏洩した怖れがあるカード利用者には旧カードを無効とし新たなカードを発行する旨、通知をするということで対応するようである。また、明細書の確認を通して、万一利用した覚えがない商品の購入履歴など確認できれば、連絡すれば全額カード会社が補償するということから、利用者の不安感除去に一定の歯止めはかかっている状況だ。 [全文]