昨年5月に施行されたGDPR(EU一般データ保護規則)に代表されるように、近年、個人情報保護に関する法整備が各国で進んでいる。これを受け、日本でも企業や団体、行政機関の個人情報保護に対する意識は高まり、セキュリティ対策も着実に進んでいくと期待していたのだが、残念ながらそう簡単にはいかないらしい。いまだに深刻な個人情報の流出被害が相次いで報道されている。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
象印のサイトが不正アクセスを受け個人情報が流出
筆者も他人事とは言っていられない状況だ。今月に入って立て続けに2件、自分の個人情報が流出した疑いがあることが判明している。
そのうちの1件が、12月5日に象印マホービンが発表した、同社のグループ会社が運営する部品・消耗品販売サイト「象印でショッピング」への不正アクセスによる個人情報の流出被害だ。顧客の名前、住所、注文内容、メールアドレスなどが流出し、その総数は最大28万52件にのぼるという。
実は、筆者の元には、この情報流出が原因とみられる詐欺メールが4日の夜に届いている。その内容は以下の通り。実際に同社が実際に実施しているプレゼント企画に沿った、とても巧妙なものだった。
筆者に送られてきた象印マホービンを騙る詐欺メール
筆者も危うく騙されそうになったが、この詐欺メールには1点、違和感を覚える記述があった。それは「プレゼント(オリジナルQUOカード3000円分)を受け取るには100円の配送料がかかる」という点だった。
登録ユーザーを対象としたQUOカードが当たるような通常のプレゼント企画では、当選者に配送料を負担させることなど聞いたことがない。まして、配送料を徴収するためにクレジットカード番号を入力させるなんておかしいではないか。
そこで筆者は同社のサイトにアクセスしてプレゼント企画の内容を確認すると、案の定、配送料が必要とはどこにも書いてなかった。そこで、これは詐欺メールだろうと判断したわけだ。
同社からの情報流出に関するお知らせが届いたのは12月7日の早朝のことだ。
この事例でも分かるように、詐欺メールの手口はますます巧妙化している。騙されないために大切なのは、少しでもおかしいと感じる点があれば、公式サイトや問い合わせ窓口などで確認することだ。
メールの記述内容、送信者のメールアドレス・URL、デザインのバランスなど、本物との違いを見抜く目を養っておきたい。
データ消去会社から神奈川県民の個人情報が大量流出した恐れ
もうひとつの懸念材料は、データの消去や廃棄を請け負う専門業者「ブロードリンク」から、世界最大規模とも言われる神奈川県の膨大な行政関連情報が流出したとされる問題だ。流出したデータには、氏名や住所が記載された納税記録なども含まれるというから、神奈川県民の筆者は実害を被る恐れもある(同社のプレスリリース)。
逮捕された元ブロードリンクの従業員の高橋雄一容疑者が、データの消去が不十分なまま持ち出してネットオークションサイトで転売したとされる18個のHDDのうち、回収されたのはまだ半分の9個(約27テラバイト)なので安心はできない。
しかも、その後判明した情報によると同容疑者は、2016年からHDDやUSBフラッシュメモリなどの記憶媒体や情報機器を7844個(そのうち記憶媒体は3904個)も転売していたというから驚かされる。
同社の主要取引先には、防衛省や最高裁判所などの公共機関のほか、銀行、証券会社、保険会社、IT企業なども含まれるため、それらが廃棄依頼した記憶媒体に記録されたデータの中に、自分の個人情報が含まれる可能性もないわけではない。一刻も早く転売先から回収し、データ漏洩の有無を確認してもらいたい。
このブロードリンクの事例の場合、前述した象印の事例の場合と異なり、一般ユーザー個々人では対策の施しようがない。それだけに、記憶媒体の破棄を依頼する事業者は、データ消去が完全に実行されたことを確認する手間を惜しまないで欲しいものだ。