企業がサービスの提供に当たって取得する本人確認情報に関して、取得するデータの範囲や保管期間は最小限にとどめる必要があるが、徹底できていないケースが見受けられる。2021年5月に明らかとなった婚活マッチングアプリ「Omiai」の情報流出がまさにそうだ。
運営会社のネットマーケティングによると、不正アクセスを受け、年齢確認審査書類として取得していた運転免許証や健康保険証、パスポートなどの画像データ171万1756件が外部に流出した恐れがある。
8月5日時点で二次被害は明らかになっていないが、流出した画像データの約6割は運転免許証という。こうした画像データはIDやパスワードの漏洩に比べて、より被害が深刻化するリスクをはらむ。セキュリティーの甘い金融機関の口座開設などに使われる危険性があるからだ。
企業のセキュリティー対策はサイバー攻撃など外部からの脅威に対する防御に目が向きがちである。それだけに取得データの範囲や保管期間は盲点となりやすい。そもそも必要以上にデータを持たないことが鉄則で、企業は体制などを点検する必要がある。
10年間の保管期間に疑問の声
ネットマーケティングは外部専門家を交え、セキュリティーの調査や再発防止策の取りまとめを急いでいる。作業は詰めの段階に入っており、監督官庁の総務省や警察当局との協議を経て、2021年8月中にも結果を公表する予定である。今後の再発防止策で焦点の1つとなっているのが、会員情報の保管期間の在り方だ。同社は利用規約やプライバシーステートメントに基づき、退会者を含めて一律10年間、会員情報を保管してきた。
同種のサービスと比べても、Omiaiの保管期間の長さは際立っている。例えば、サイバーエージェント子会社が運営する「タップル」は退会後の会員情報の保管期間を90日間としている。ネットマーケティングは会員の利用規約違反の事実関係調査や違反行為により強制退会になった人の再登録防止などを理由に挙げるが、必要最小限の期間だったかは疑問が残る。
同社は「10年間という期間が本当に必要であるかについての再検討を行い、速やかに利用規約やプライバシーポリシーの適正化を図っていく」とする。しかし、不正アクセスを明らかにしてから1カ月半が経過した7月5日に改訂したプライバシーステートメントでも、退会後10年間は会員情報を保有すると明記したままだ。
同社は調査が継続していることや二次被害を防ぐための事実確認、顧客からの問い合わせ時の照会を理由に「現時点での即時削除は困難であると思量する」と説明するが、会員や有識者からは疑問の声が上がっている。
現在、同社は宮本邦久社長兼CEO(最高経営責任者)を責任者に「セキュリティ対策委員会(仮)」を立ち上げ、個人情報管理や情報セキュリティーに関するルールの見直しに着手している。そこでの見直しの検討項目に「年齢確認書類画像データの保持期間の全面的な短縮」や、社外の専門会社への権限移管を含めた「年齢確認書類画像データの社内取り扱いと保管体制の見直し」などを盛り込んだが、遅きに失した印象は拭えない。
現時点で退会者を含め会員情報の保管期間をどの程度短縮するのかについては、同委員会での検討が継続していることを理由に、ネットマーケティングは回答を控えている。ただし、退会者の情報を中心に、顧客の要望に応じてデータの削除を今後積極的に実施していく方針は既に決めたという。
