他人事ではない、情報漏えいのリスク
顧客情報等が知らないうちに誰かの手に渡り悪用される。最近、そんな事態を多く見聞きする。記憶に新しいのは7pay(セブン・ペイ)への不正アクセスだ。7payは株式会社セブン&アイ・ホールディングスがグループ会社を通じて提供したスマートフォンを利用した決済サービスだった。このサービスに登録していた個人のアカウントが不正にアクセスされ、アプリにお金がチャージされ、使われたのである。クレジットカードによる不正入金・使用は人によっては数十万円を超えるものもあったという。セブン&アイ・ホールディングスは被害人数808人、被害総額3,861万5,473円と発表している(2019年7月末時点)*1。
新聞報道*2によると、7pay以外にも、ここ数年の間に、森永乳業の健康食品通販(約9万件※)、ユニクロのオンラインストア(約46万件)、クロネコヤマトのクロネコメンバーズ(約3千件)、宅ふぁいる便のサービス(約480万件)等で個人情報の漏えいが疑われるケースが報告されている。(※カッコ内は対象となった個人情報の件数)。ニュースで取り上げられているものをみると、大企業だけで起こっているように見えるが、実は、組織の大きさに関わらず、個人情報を扱う、あらゆる組織で起きうる大きな問題である。NPO日本ネットワークセキュリティ協会(JNSA)が発表した2018年の個人情報漏えいインシデントの件数(個人情報漏えいの発生件数)は443件、漏えい人数561万3,797名であった。1日に平均1件以上の個人情報の漏えいに関連するインシデントが発生していることになる。
2018年 個人情報漏えいインシデント概要
出所:「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」(日本ネットワークセキュリティ協会(JNSA))より抜粋
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
個人情報保護法では、例え1件であっても、個人が特定される情報は個人情報として扱われる。名刺は当然のことながら、個人の名前をメモした紙1枚も立派な個人情報として捉えられる。そう考えると、個人情報を保有していない企業などほぼ存在しない。すべての企業において個人情報を適切に管理していくという意識を持つことが大切なのである。また、インターネット等、外部のネットワークと接続しているパソコンで顧客情報や取引先情報等を管理している場合は、個人情報を管理しているという意識だけではなく、情報漏えいのリスクにさらされているという意識も併せて持つことが大事になってくる。個人情報の漏えいは他人事ではなく、自分事として考えていかなければならない問題なのである。
2020年には、個人情報保護は更に強化される見込み
個人情報保護法は2005年に施行された法律である。施行当時は、取り扱う個人情報の量が5,000件以下の企業は対象外とする特例が設けられていたが、2017年の改正でこの特例が無くなり、個人情報を取り扱うすべての企業が対象となった。また、同改正では、情報通信技術が近年急速に発展していることから、世の中の変化に合わせ個人情報保護法を3年毎に見直すことも決められた。次の見直しは来年(2020年)に迫っている。
見直しの検討を行っている個人情報保護委員会が2019年4月に発表した中間整理によると、個人情報漏えい報告の義務化、罰金の強化・課徴金の導入などが検討されている。個人情報保護を重要視し、漏えいがあった場合には厳しい態度を取る方向で改正が検討されていると考えて良いだろう。現在、安全管理措置が不十分なために個人情報を漏えいさせる等、企業が個人情報保護法に違反する行為をした場合は6ヶ月以下の懲役又は30万円以下の罰金が科されることになっている。これが更に厳しくなっていく可能性もあるのだ。
個人情報漏えいに対して厳しい態度を取る動きは世界的に見ても同じである。米国では、ソーシャル・ネットワーキング・サービス(SNS)企業のフェイスブックが個人情報を漏えいしたとして個人情報保護当局の連邦取引委員会より50億ドル(約5,400億円)の制裁金が科された。英国では、航空会社のブリティッシュ・エアウェイズとホテル会社のマリオット・インターナショナルがそれぞれ1億8,300万ポンド(約246億円)、9900万ポンド(約133億円)の制裁金の支払いを個人情報保護監督機関より科された。また、シンガポールでは100件規模の漏えいに対して数万円規模の制裁金を命じ、厳しく取り締まりを行っている。
現在発表されている情報では、日本においてどこまで罰則等が強化されるかはわからないが、欧米のように、大規模漏えいを起こした企業に対して大規模な制裁金を科すだけではなく、シンガポールのような小規模の漏えいに対してもきちんと制裁金を科していくという方向性も考えられるのである。
様々な形の情報漏えいリスクに対応をした対策が求められる
「個人情報漏えい」とここまで一括りに話をしてきたが、最後に個人情報漏えいの種類について話をしよう。個人情報の漏えいには主に2つのタイプが存在する。一つ目は、外部からの悪意を持った攻撃によるものだ。パソコンやスマートフォンを介して第三者が不正アクセスを行ったり、なりすましをしたりするもので、7payの事件はこれにあたる。難しいプログラムなどを活用して攻撃を仕掛けるものもあるが、システムのスキをついて攻撃をしてくるものも多い。7payの不正アクセスも、通常バーコード決済で用いられる2段階認証が導入されていなかったことが今回の情報漏えいに繋がったと考えられている。
もう一つは自社の内部の犯罪行為や人為的なミスによって発生するものである。関係者が記録用メディア等を利用して意図的にデータをもち出す行為が残念ながら起きることがある。2014年に発生したベネッセ・コーポレーションでの顧客情報の漏えいは、ベネッセに勤めていた派遣会社の男性が自らの携帯電話に顧客情報をダウンロードし、名簿業者に販売するという内部の犯罪行為にあたる事例であった。
しかし、このような犯罪のケースだけではない。社内の関係者が誤ってメール添付やアクセス権の開放などで個人情報を漏えいしてしまうことがある。
顧客情報や取引先情報をデジタル化して保管することで、企業は効率的に顧客や取引先等を管理することができるようになった。しかし、パソコン等を活用してそれらの個人情報を持つことは、個人情報の漏えいというリスクとも背中合わせであることを忘れてはいけない。情報漏えいが起こってしまった場合は制裁金の支払い等の金銭的なダメージ以外にも、企業のブランドや信頼性の低下などのダメージも併せて発生する。外部から内部からの2タイプの情報漏えいのリスクを理解し、自らのビジネスを守るためにも適切な対応策を取っていく必要がある。
(野村総合研究所 アナリティクス事業部 久世理恵子、協力ICTメディア・サービス産業コンサルティング部 小林慎太郎)
*1 株式会社セブン&アイ・ホールディングス ニュースリリース
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190801_01.pdf
*2 各社の情報漏えい関連の情報
- 森永乳業:日本経済新聞 2018年6月5日 朝刊34ページ
- ユニクロ:日本経済新聞 2019年6月14日 朝刊17ページ
- クロネコメンバーズ:日本経済新聞 2018年7月26日 朝刊36ページ
- 宅ふぁいる便:日本経済新聞 2019年1月27日 朝刊31ページ