PR

 前回の「個人情報漏えい事件を斬る(49):情報流出で分かったマルチチャネル販売のリスク」では,複数のインターネットサービスプロバイダーから販売委託を受けたパソコン専門店で起きた個人情報流出事件について取り上げた。

 複数企業の連携によるマルチチャネル販売は,さまざまな分野に広がっている。最近では,三井生命,住友生命,三井住友銀行の3社による来店型乗合保険代理店の展開が話題になっている(「来店型保険代理店事業に関する合意について」参照)が,複数企業が1人の顧客との取引に関わる場合,共有される顧客の個人情報がどこかで漏えいしたら,関与する全企業の個人情報管理態勢に影響が及ぶことになる。各社の情報管理レベルをどう揃えていくのか,情報漏えい発生時にどう対応するのかなど,新たな問題が情報システム部門にもふりかかってくるので,注意が必要だ。

 さて,今回はファイル交換ソフトを介した個人情報漏えい事件について触れてみたい。本連載でも,「【第2回】利便性の裏にリスクが潜むファイル交換ソフト」,「【第15回】なぜ電力業界にファイル交換ソフトによる情報漏れが多いのか」,「【第31回】電力業界を悩ますファイル交換ソフトからの情報流出」,「【第32回】IT業界や官公庁でも頻発するファイル交換ソフトからの情報流出」,「【第33回】情報流出で露呈した私物パソコン頼みの職場環境」と取り上げてきたテーマだが,表面化してきた情報流出の2次被害について考えてみたい。


Winny流出情報で他人の口座へアクセス

 2006年6月30日までに,兵庫県警生活安全企画課サイバー犯罪対策係と加西署などは,不正アクセス禁止法違反の疑いで,長崎市の無職男性の容疑者を逮捕した。容疑は,他人になりすましてインターネットバンキングの電子口座に不正アクセスし,口座から現金をだまし取ろうとしたというものだ。

 2006年7月1日付各紙の報道記事などによると,兵庫県加西市の男性がファイル交換ソフト「Winny」をインストールして使用していたパソコンが,ハードディスク内部に保存された全てのファイルをインターネット上に公開するウイルスに感染し,IPアドレスなどのパソコン情報が流出した。そのことをネット上の掲示板で知った容疑者が,男性のパソコンに侵入してインターネットバンキング用の個人IDとパスワードを入手。2006年5月27日にみなと銀行(神戸市),同29日に但馬銀行(豊岡市)のインターネットバンキングにそれぞれアクセスして,男性の銀行口座から容疑者名義の口座へ計15万円を振り込もうとしたが,2回とも未遂に終わったという。

 ファイル交換ソフトに起因する個人情報漏えい事件は続発しているが,流出した情報が悪用されて刑事事件まで発展したケースは,全国で初めてだ。容疑者は,「他人の生活をのぞいてみたかった」のがきっかけで,ほかに約150人のパソコンに侵入したと供述しているというから,この事件は氷山の一角に過ぎない。


興味本位のファイル交換ソフト使用が広げるリスク

 今回の事件で不正取引に遭った金融機関は,Winnyの削除,セキュリティソフトウェアの最適化などを顧客に対して呼びかけている(但馬銀行「インターネット バンキングの不正取引について」参照)が,個人情報がファイル交換ソフトのネットワーク経由で流出し続ける限り,2次被害のリスクを絶つことは不可能である。

 その一方で,Winny騒動を契機に,興味本位でファイル交換ソフトをインストールするPCユーザーが後を絶たないのも事実だ。Winnyには脆弱性があることがわかっており,回避方法は「Winny利用の中止」しかないのが実情である(独立行政法人 情報処理推進機構セキュリティセンター「Winny(ウィニー)の安全上の問題箇所(脆弱性)の公表について」参照)。本来はインストールするユーザー個人の「自己責任」に帰すべきところだが,個人情報取扱事業者としての業務に関わる範疇(はんちゅう)で問題が起きたら,企業そして経営トップの監督責任が問われることになる。

 残念ながら,業務上不要なソフトをインストールしない,個人所有PCを持ち込まない,内部情報を持ち出さないなど,従業員に社会ルールを順守させることが個人情報保護対策の柱になっているが,これだけでいいのだろうか。

 次回は,社会ルール順守と関わりの深い教育分野について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/