セキュリティ被害はあなたの半径1m以内でも起きる 第9回

大企業からの情報流出、個人が対策できることは「ある」

　企業からの情報流出に対して、個人はどのような対策が取れるのだろう――。

　米ヤフーは9月22日（現地時間）、およそ5億件のアカウント情報が流出したことを明らかにした。

　2014年に受けたハッキング攻撃により、情報が盗まれたという。流出したデータは、名前・生年月日・メールアドレス・電話番号・暗号化されたパスワードなど。クレジットカード情報や銀行口座情報は含まれていないとしている。

　ハッキングによる情報流出としては過去最大規模になるとみられ、米ヤフーは、国家の支援を得たハッカーによる攻撃との見解を示している。

　この事件、日本国内への影響が気になる人もいたはずだ。もっとも、ヤフージャパンが提供するサービスは独自のものであり、データベースなどのインフラは米ヤフーとは別になっているという。ヤフージャパンのサービスを利用しているユーザーには影響がないとみていいだろう。

　しかし、企業がハッキングされ、そこから情報が流出した……というニュースを聞くと、「個人にできることなど何もないのでは？」と思ってしまうかもしれない。日本で似たような事件が起きたら、自分の個人情報も漏洩してしまうのではないか……と不安になる人もいるはずだ。しかし、一人のユーザーとして個人情報の漏洩を防ぐ手立てが、何もないわけではない。

　ITジャーナリストの三上洋氏が気になるセキュリティ事件のあらましを解説する、インテルセキュリティ×アスキーの人気連載「時事セキュリティが5分でわかる」から、「大企業からの情報流出、個人でどう対策すればいい？」をぜひ読んでほしい。日本国内における、情報流失にそなえる対策が紹介されている。

被害は2000万件以上!?　大規模流出はなぜ起きた？

　7月9日、通信教育大手の顧客情報のデータ流出していたことが発覚。700～2000万件以上ともいわれる大量の個人情報が流出した。これほど大規模な情報漏洩になった背景には何があるのだろうか？

　セキュリティの分野に造詣が深いITジャーナリストの三上洋氏は、「これだけ大量の個人情報が流出することになった原因としては、まずユーザーがブランドを信頼して、住所などの個人情報を書いてしまうことが挙げられます」と分析。

　「この事件によって、私たちの個人情報が名簿業者によって世の中に出回っているということが明るみに出ました。平成16年までは、住民基本台帳を誰でも閲覧することができたんです。アナログの時代には名前、住所、年齢といったものを記載した、いわゆる名簿図書館のようなものもありました。

「アンケートやプレゼント、無料モニターは顧客リストを作るためにも活用されます。よく考えてからにしたほうがいいでしょう」（ITジャーナリストの三上洋氏）

　しかし、デジタルデータになって時代が大きく変わり、ウェブサイトなどを通じて個人情報がデータでやりとりされるようになりました。内部の人間が持ちだした情報を販売するようになったのです。

　名簿業者大手は5～6社で、専門的な名簿を扱う業者は数十社だと言われています。例えばある名簿大手は、あらゆる業種のリストをカバーしており、名簿のデパートと言われています。流出した個人情報をIT企業に売ったと言われる業者は、子どもの情報に特化している教育事業向けの会社です」

　個人情報をデータで売買することについて、規制はないのだろうか？　私たちの住所などの情報は、法律で保護されないのだろうか？　この点について三上氏は、以下のように説明。

　「個人情報保護法では名簿の売買は違法ではありません。本人の承諾なしで売ってはいけないという規制はあります。本人が企業に要求すれば、開示・削除させることが可能です（オプトアウト）。とはいえ現状では、名簿の収集・売買は、利用目的がはっきりしてして違法性がない範囲なら認められています」

自分の情報も流出しているかも!? どんな危険があるの？

　今回のような大規模な情報漏洩によってどんな危険があるのだろうか？　三上洋氏は「個人情報がビジネスに使われることが問題なのです」と指摘する。自分の情報が世にばら撒かれると、子供が小学校に上がるタイミングで塾や通信教育のダイレクトメールが来たり、若い女性や主婦にダイエット製品や健康食品のサンプルが送られてくることがある。

　さらに、「名寄せ」と言われる、複数の名簿を照らしあわせる作業がおこなわれ、家庭や個人のより詳しい情報を知られてしまう危険もあるという。この名寄せについて、三上氏に説明してもらった。

　「例えば大企業に勤めているサラリーマンの名簿と、今回の通信教育大手の名簿を照らし合わせることで、お金があって小学生の子どもがいる教育熱心な家庭だということがわかります。

　名簿大手には、ダイエット関連製品の注文者のリストや、アダルトDVDの注文者のリストなどがあります。それらの情報から、お父さんは大企業だけどアダルトビデオの愛好家、奥さんはダイエットに興味があり、子どもは来年小学校に入学する、車を持っているなど、複数の名簿の情報を照らし合わせることで、各家庭のかなり詳細な情報が知られてしまうこともあります」

いちユーザーとして個人情報の漏洩を防ぐには？
まずは個人情報を渡さない、水際対策が肝心！

　このような個人情報の流出対策として、ユーザーの立場ではどのような対策ができるだろうか？　この点について三上氏は「まずは、アンケート・プレゼント・無料モニター、この3つは「個人情報を売るもの」として見てください」と話す。

　例えば、化粧品の無料モニターや来場者アンケートなどは、実際は顧客リストを作るためにやっていると考えていいだろう。もしどうしても参加したい場合は、個人情報を売っているのだという意識が必要だという。

●流出元の業者を特定するワザ

　なるべく住所などの個人情報を書きたくないとは思っていても、日々の生活で住所や年齢を登録しないといけない場面はあるものだ。個人情報の流出元を特定する小ワザとして、個人情報を登録する業者によって、アルファベットを一文字ずつ変えてつけるという方法がある。

　この方法なら、見知らぬ業者からダイレクトメールが来た場合に、どこから流出したのかわかるようになる。悪質な業者や利用しないサービスからダイレクトメールが来た場合、流出元の業者にオプトアウト（開示・削除手続き）を申請することも可能だ。

●ダイレクトメールの受取拒否

　ダイレクトメールに「受取拒否」と書いてサインしてポストに入れると、差し出し元に戻る。すると業者が「うるさい客」と判断し、ダイレクトメールのリストから削除する。必ずしも名簿から削除されるわけではないが、こちらが「うるさい客」であるという意思表示ができるわけだ。

面倒かもしれないが、情報流出対策の第1歩だ

大規模な個人情報流出……規制、法律、今後どうなる？

　今回、これほど大規模な情報流出が起きたことで、個人情報保護や名簿の取り扱いにどう影響していくのだろうか。三上氏によると、今回の情報流出を受けて、ビッグデータ時代のパーソナルデータに関する大綱が政府で検討されているという。

　「顧客情報をビッグデータとしてまとめるとビジネスになります。しかし、ユーザーにとっては個人情報が自由に売買されると困ります。企業の利益とユーザーのプライバシーのバランスを取った利用ができないか、仕組みを考えている段階です。

　さらに、今回の大綱では、個人情報保護法を改正しようという動きもあります。ユーザー側としては、個人情報が名簿業者に自由に売買されている現状を規制して欲しいといところ。今回の事件を元に、企業も政府も個人情報の扱い方をもっと考えて欲しいですね」

　一方で三上氏はこう指摘する。「大規模流出の多くは内部で働いている人から流出しています。企業側は、データ管理の責任者を社員にするなど、重要なデータを扱うにあたって責任をもって欲しい。今回は孫請け。業務委託に頼ることは、企業の体制として仕方ないのかもしれないですが、本社の人間がきっちり管理をするなどの対策を徹底してもらいたいものです」