マイナンバー・ICTが拓くセキュアで豊かな社会

山口利恵

内部犯という落とし穴
ログは犯罪抑止にも効果的

第17回　カフェ発マイナンバー・ICTが拓くセキュアで豊かな社会

大規模被害は、クラッカーより内部犯
個人情報漏洩事件（後編）

（『自治体ソリューション』2017年8月号）

内部犯という落とし穴

　ある日の午前都内文田区にあるカフェデラクレ（Café de la clé）。梅雨の合間によく晴れた日で、店は割と混んでるところ、常連の竹見がカウンターでマスターの加藤とアルバイトの絵美にとある事例を話し始めていた。

＊　＊　＊

「子供に関する情報漏洩というと」

　絵美が興味深そうに尋ねた。

「ある有名な子供向けの教材を販売する会社があってね、その会社が持つ顧客情報が漏洩したんだよ。」

　竹見が話を続けた。

「顧客情報というと、住所とかそういうことですか。」

「うん、その時の情報は、住所や名前だけでなく、生年月日も含まれていたんだ。」

「そうか、子供向けの教材販売であれば、年齢は大事ですね。そういう情報が漏洩したっていうのはどこでわかったんですか。」

「他で同様のサービスを行っていた会社があってね、その会社からのダイレクトメールが漏洩元の会社から引き出された情報なんじゃないかと、気がついた人がいるんだよ。」

「ふむふむ。でもどうやってわかったんだろう。住所とかって、他からもばれている可能性もあるし。私もよくダイレクトメールを受け取るので、みんなよく調べるな、ぐらいなんですが。」

「住所とか、名前って実はそれなりに特徴があってね。」

「あ、そうか、前にマスターに説明してもらいました。表記揺れの問題か。（注）」

　絵美は、はっとしたように言った。

「そうそう。絵美ちゃん、よくわかっているねぇ。」

　竹見はニコニコしながらうなずいた。

「名前や住所が特徴ある書き方していたら、同じ記載かどうかわかりますね。マスターには、同じ斉藤でも、斎藤や齋藤があるっていう話をききました。住所も一丁目2番地と書くとか、1-2と書くとか。」

「まぁ、そういったことだろうね。漏洩元の会社は調査を行った結果、2,070万件の情報が漏洩したことがわかったんだよ。（＊）」

「2,070万件ですか。膨大なデータ量ですね。ダウンロードにすごい時間がかかりそうなのに、全然わからなかったんですか。」

「データ量はそれほどじゃないかもしれないが、データのアクセスなど、色々時間がかかる要素はあるね。」

「途中、誰も気がつかなかったんですか。だって、ネットワークとか監視する人がいるじゃないですか。そこで気付くイメージが。」

「実は、この場合、内部犯なんだよ。」

「内部犯…」

　絵美がびっくりしたような顔をした。ここまで話をしながらカフェのカップを拭いていたのだが、とうとう手がとまってしまった。

「そうなんだよ。漏洩した会社が外注していたシステムエンジニアが犯人だったんだ。」

ログは犯罪抑止にも効果的

「外注といいますと」

「当時、漏洩元の会社はデータベースなどの保守管理を委託して、その委託された会社も、別の会社に委託していた。犯人はその委託先に雇われた人でね。顧客情報を名簿業者に売り渡していたんだ。」

「えっ？そんなことができたんですか」

「うん、この会社の場合は顧客の情報を内部の人であれば簡単にデータベースにアクセスできるような環境にしていたようだよ。もちろん、今はそういう風にはできないようにしたようだがね。」

　竹見はカップを何の気なしに触りながら話している。

「顧客情報は企業にとって重要なのはよくわかります。もっと大事に管理したらよかったのに。」

「そうだね。ただ、あまりに触れないようにしすぎて、その企業のダイレクトメールが送れないのも困るし、適切な人が触れるようにしないといけない。それ以上に触った後の証跡（ログ）を残すことも大事だ。」

「ログですか」

「うん、犯罪が起こったときに追跡できるし、ログは犯罪の抑止効果にもなるんだ。」

「あ、そうですね。ばれるとわかっていればやらないかもしれません。」

「うん。そういう人が多いね。」

「でも、内部犯っていうのが驚きです。すぐにばれそうなのに。」

「クラッカーが行うような不正アクセスは直接的な金銭が絡まない限りあんまりおきないのだよ。今話してきた事例は、内部犯だよね。それと、他の個人情報の漏洩原因の多くは、管理ミスや誤操作だったりするんだよ。」

「そうなんですか。プロの犯罪者がいて笑いながらデータをとっている、というイメージがありました。」

「うん、そういうイメージがあるのは知っているが、実際は、そんなことはないんだ。こういう事例が多いと、過度にセキュリティ対策を行う人も多くてね。そういう対策は業務に支障を生じてしまう。適切に業務を行うことができるような対策を、というバランスが難しいんだ。」

　竹見は、残ったコーヒーを飲み干した。

（注） 平成28年4月号　第1話「IT技術にIDは不可欠。なぜ、マイナンバーがいるの？」参照。

＊2,070万件の情報漏洩
　この事件は、通信教育最大手の会社から顧客情報が漏洩した事件で、個人情報漏洩の中でも最大規模と言われています。この結果、この通信教育の会社は顧客を大きく失いました。情報漏洩に関する対策をしておかなければ、顧客を失い会社の損失につながる、ということを示した事例でもありました。
　JNSA が毎年行っている「情報セキュリティインシデントに関する調査報告書」によると、漏洩事例のほとんどが紛失・置き忘れや、管理ミス、設定ミスのように人為的な要因で起こったことを示しています。