人為的なミスで発生することも多い
「個人情報が流出した」というニュースを聞いたことはないだろうか。その場合、「何万人分の情報が流出し……」などと喧伝されることもある。この手の事件は、企業や組織が収集した個人情報が漏えいしてしまうパターンであることがほとんどだ。
ひとくちに個人情報といっても、「特定の個人を識別できる情報」なので、その内容は多岐にわたる。氏名はもちろん、生年月日、住所も当てはまる。
また、「個人識別符号」を含む情報も、個人情報保護法においては個人情報に含まれる。マイナンバーカードや免許証などの番号、指紋などの身体的なデータなども該当するわけだ。
では、個人情報が流出した場合、どのような被害があるだろうか。
まず個人におよぶ被害としては、個人情報を不正に利用されるケースが考えられる。他人になりすまされたり、クレジットカードを不正に利用されたりするパターンだ。
一方、企業にとっては、金銭的損害を被るだけでなく、信用情報までも下落させる可能性がある。また、損害賠償の請求を受ける可能性もあるだろう。
個人情報保護委員会は6月11日、企業や行政機関からの個人情報の漏洩件数が、2023年度は「1万3279件」で過去最多だったと公表している(令和5年度個人情報保護委員会年次報告)。個人情報が含まれる資料の誤送付や誤廃棄など、人為的なミスが多かったという。
個人情報の流出というと、「外部からの攻撃によって情報が盗み出される」ケースを想像する人が多いかもしれない。しかし、メールの誤送信、USBメモリの紛失など、人為的なミスが原因になってしまうことも少なくないのだ。
個人情報の流出は、個人情報が流出してしまった個人にも、流出してしまった企業にも被害や影響がおよぶ。さまざまな事例を知り、日頃から対策を取ることが重要だ。
「個人情報が流出したら」を考えておきたい
個人であれ企業であれ、スマートフォンやPCに、信頼のおけるセキュリティ ソリューションをインストールしておくことは大切。アプリやOSなどに関しても、入れたらそのままにせずアップデートを忘れないことも意識しよう。
そのうえで、気づいた場合にはすばやく対処することが、被害を最小限に抑えることに繋がる。
個人の場合、身に覚えのないクレジットカードの請求が届いたり、自分名義の未開設の新しい口座を見つけたり……というときは、金融関連の個人情報盗難の可能性がある。急いで該当機関に確認したい。
また、パスワードの使い回しは避けたい。企業から顧客のデータが流出してしまったとしよう。その中には、サービスにログインするためのIDとパスワードも含まれている。そのデータを入手した人間は、他のサービスにも、そのIDとパスワードで不正アクセスを試みるわけだ。
もし、他のサービスでも同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。なので、サービスごとにパスワードは変えておきたい。複雑で、他のパスワードとは無関係のものにしなくてはならない。
企業であれば、個人情報保護について社内教育を実施することや、個人情報や守秘義務について書面を取り交わすことも重要。自社のウェブサイトの脆弱性対策なども必要だろう。
今回は、McAfee Blogから「データの漏洩後に個人情報を保護する方法」を紹介する。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
データの漏洩後に個人情報を保護する方法:McAfee Blog
あなたの個人情報がデータ漏洩に巻き込まれた可能性があるというお知らせを受けたとします。あなたの情報が詐欺師やサイバー犯罪者の手に渡ってしまった場合、被害に遭わないための対策を講じることができます。
そもそも、個人情報はどのように収集されるのでしょう?私達は日常生活を送っている中で、飲食店での支払いやホテルにチェックイン、近所のカフェで特典をもらったりなど、様々な理由で企業に個人情報を共有しています。また、クレジットカードやデビットカードも使い、オンライン上で購入履歴を確認する場合もあります。
このように私達は最近、あらゆる場所で個人データの痕跡を残してしまっており、それらのデータはハッカーにとって高い価値があるものといえます。今回は何らかの理由で自分の個人データが漏洩した可能性がある場合に、個人情報を保護する方法をご紹介します。
残念なことにデータ漏洩は現実に起きている
何百万件もの記録が流出する大規模な情報漏洩や医療機関を襲った数千件の情報漏洩のような小規模なものまで、情報漏洩は定期的に発生しており、私達自身が被害を受ける可能性も十分ありえます。情報漏洩の内容や企業や組織と共有している情報の種類にもよりますが、以下は情報漏洩で盗まれた情報の主な例です。
・ユーザー名とパスワード
・電子メールアドレス
・電話番号と自宅の住所
・友人や家族の連絡先
・誕生日、運転免許証の番号
・クレジットカードやデビットカードの番号、銀行口座情報
・購入履歴や口座の利用状況
・マイナンバーカード情報
詐欺師などサイバー犯罪者達は、このようなデータを手に入れて、自分で詐欺などに悪用します。また、データを他の犯罪者に売ることもあります。いずれにせよ、クレジットカードやデビットカードの不正使用、銀行口座情報の流出、被害者名義の税金還付や医療費の請求など、最悪の場合は他人のIDに完全になりすましなど、様々な犯罪を行なう可能性があります。
近年、発生したデータ漏洩の事例
被害者のあらゆるデータは、これまでの人生の様々な面を表すポテンシャルを秘めており、それぞれに金銭的な価値があるため、それ自体が一種の通貨であるといえます。そして近年、それら個人情報を狙った大規模な情報漏洩事件がよくニュースになっているのは何ら不思議ではありません。以下では、ここ数年間で発生したデータ漏洩事件の例を紹介します。
ベネッセの個人情報流出
日本最大級の情報漏洩したケースとして知られているのが、2014年に日本国内の教育および出版業界の大手企業であるベネッセのデータベースが攻撃された事件です。当時、データ漏洩に関する調整担当だった外部のシステムエンジニアが個人情報を外部に売却したことで顧客の機密情報が流出しました。
三菱電機と防衛相のデータ流出
2019年6月に三菱電機のシステムが中国のハッキンググループからサイバー攻撃を受けました。これは日本と中国の防衛、航空宇宙、化学、人工衛星産業をターゲットにしており、機密データへのアクセス権限を盗むための弱点を見つけ、防衛省のデータも流出したことが確認されました。
東京オリンピック2020
2021年7月、東京オリンピック2020のチケット保持者とボランティアの認証情報がインターネット上に流出しました。ハッカー達は盗んだユーザー名とパスワードを使用して、ボランティアやチケット保持者専用のウェブサイトにログインして犯行に及び、これによって、氏名や住所、銀行口座情報などの情報も流出しました。
病院を狙ったサイバー攻撃
2021年10月、徳島県の半田病院で、電子カルテを管理するサーバーがサイバー攻撃を受け、患者約85000人分の電子カルテが閲覧できなくなりました。VPNの脆弱性を狙った手口で、ランサムウェアによる身代金の要求がありましたが、払わないでシステムを一から再構築し、元の状態を取り戻すまでに約2ヶ月かかりました。
森永製菓へのサイバー攻撃
2022年3月、森永製菓株式会社は、サイバー攻撃によって約165万人分の氏名、住所、連絡先などの顧客情報が流出した可能性があると発表しました。ネットワーク機器の脆弱性を狙われ、社内の複数サーバーが不正アクセスされてしまい、ロックがかけてられて一部データが利用できなくなりました。
これらは大規模な情報漏洩の一例です。しかし最近は、中小企業もサイバー攻撃の標的になっており、日本国内でも中小企業の被害事例が報告されています。また、飲食店や小売店では、POS端末のシステムにマルウェアを侵入させてカード情報を流出させて、不正使用されるという事例も起こっています。
データ漏洩対策と安全性を維持する方法
もし、企業がデータを流出してしまった場合、その企業を利用していたユーザーは、自分のオンライン上での安全性に影響があるかもしれないということを認識しておく必要があります。仮にカフェの顧客情報が流出した場合、顧客の個人情報や財務情報が流出してしまう可能性がありますが、オンライン上の安全性が完全に断たれてしまうなどそこまで絶望的に落ち込む必要はありません。情報漏洩の影響を受けた可能性がある場合でも、起こりえる二次的被害から身を守るための方法はいくつかあります。
1.銀行やクレジットカードの口座を常に監視する
口座の利用明細を確認することは、何者かが自分の口座を不正利用しているかどうかを見分ける最も効果的な方法の1つです。もしも、身に覚えのない請求があった場合は、すぐに銀行またはクレジットカード会社に報告するようにしましょう。銀行やクレジットカード会社は、詐欺への対処方法を兼ね備えています。また、不審な買い物や取引、引き出しを警告するサービスがあるかどうかも確認しましょう。
マカフィーが提供するクレジットモニタリングサービスを利用することで、自分の口座などを見張ることができます。信用情報や報告書、アカウントを常に監視し、迅速な通知とアドバイスを提供することで、個人情報の盗難に対処できるようになります。
2.セキュリティサービスを利用して自分のIDを監視する
漏洩した情報や盗まれた情報は、しばしばダークウェブの市場に流れ、それをハッカーや詐欺師、窃盗団が購入し、さらなる犯罪を企てます。以前は自分の情報がそのような市場に出回っているかどうかを確かめることは困難でしたが、現在ではID監視サービスがあなたの代わりに検出作業を行なってくれます。
マカフィーは、電子メールや政府機関のID、クレジットカードや銀行口座情報など、ユーザーの個人情報をダークウェブ上にあるかどうかを常に監視しています。もし、ダークウェブ上でユーザーのデータが発見された場合はすぐに警告が表示されなど、個人情報を安全に保護することができます。また、ウェブサイトやブログ記事を通して自身の個人情報の安全性を高めるための方法を学ぶことができるのも魅力的といえます。
3.信用情報を確認する
日本で自分の信用情報を確認するためには、日本信用情報機構(JICC) への問い合わせが必要です。これによって自分名義のクレジットカード情報などの信用情報が被害に遭っていないかどうかを確認することができます。もし、自身の信用情報の中に怪しいものを発見した場合は、該当の金融機関等に連絡して確認しましょう。個人情報の盗難の疑いがある場合は、お住まいの各都道府県の警察のフィッシング報告専用窓口に相談することをおすすめします。
4.定期的なパスワードの変更
自分が使用しているパスワードが強力で独自性があるものかどうかを確認します。多くの人は、SNSやオンラインバンクなどのアカウントでほぼ同じパスワードか、類似したパスワードを使用しています。万が一、パスワードのどれか1つが漏洩してしまった場合、サイバー犯罪者に一度に全てのアカウントにアクセスさせないためにも、パスワードを様々な種類の英数字を使用した予想のつきにくいものに設定しておきましょう。また、総合的なオンライン保護ソフトに搭載されているような、パスワードマネージャーを使用して、自分の情報を管理することもできます。
5.個人情報保護サービスの利用を検討する
このようなソリューションは、あなたのアカウントを監視し、不審な行為があれば警告を出すことができて役に立ちます。具体的には、当社独自のアイデンティティ保護サービスは、いくつかのタイプの個人識別情報を監視し、個人情報が盗まれた可能性がある場合に警告を出し、その脅威を無効化し、解決するサービスです。また、犯罪者が様々な手口で個人情報を盗もうとしてくるのを防ぐためのアドバイスも提供しています。前もってパソコンやスマートフォンに設定しておけば、常に情報を把握できるので仮に何か問題が起きてもすぐに対処することができます。
6.オンライン上での個人データをクリーンアップする
これは、たとえデータ漏洩に巻き込まれたことがない場合でも、定期的に実行することをおすすめします。事実、データを売買するブローカー企業は、世界中の数百万人もの人々の数千万以上に及ぶもの情報を収集し、販売しています。広告主がキャンペーンに利用したり、詐欺師がスパムメールや電話に利用したり、窃盗犯が個人情報の盗難に利用したりと、あらゆる人に販売されます。
7.オンライン保護ソフトを使用し、セキュリティツールボックスを拡張する
総合的なオンライン保護ソフトでは、上記で紹介したツールやサービスの他にも、オンライン上でユーザーを保護できる機能を提供しています。例えば、VPNはクレジットカードやアカウント情報を盗もうとする泥棒から保護するなど、オンライン上でのプライバシーを保ちます。また、ウェブブラウジング保護機能は、あなたの情報を盗もうとする怪しいウェブサイトや悪意のあるダウンロードの場合に警告を出すことで、デバイスやプライバシー、そしてIDを徹底的に保護します。データ漏洩が頻繁に起きる現代において、このようなセキュリティ対策は、もはや必要不可欠なものとなっています。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
