エステティック・サロンの「TBC」を運営するコミー,旅行会社の全日空ワールド,テレビ番組制作会社の日本テレビエンタープライズなどのWebサイトで,個人情報が漏えいするという事件が相次いで発覚した。TBCのサイトでは,約3万人分の個人情報が漏れた。TBCに対する問い合わせやアンケートの内容が外部から閲覧できる状態になっていた。全日空ワールドでは,パンフレット請求のためにユーザーが記入したデータ約1500人分,日本テレビエンタープライズでは制作したテレビ番組に対するアンケート結果約240人分が漏れた。どれも氏名や住所,メール・アドレスなどの個人情報が含まれていた。

 情報が漏えいした原因は,どれもセキュリティ対策上の単純なミスだった。アンケート結果などを保存したファイルを,Webサーバーの公開ディレクトリに置いていたため,それがブラウザから誰でも閲覧できる状態になっていた。

 全日空ワールドのサイトから漏えいしたのは,99年1月~2001年1月の間にパンフレットを請求したユーザーの個人情報である。全日空ワールドは,パンフレット請求用のWebアプリケーションを2001年7~10月にリニューアルしたが,それ以前のWebアプリケーションの作りに問題があった。ユーザーが入力したパンフレット請求の申し込みデータを,Webサーバーのディレクトリ上のファイルに保存しており,それが外部から閲覧可能になっていたのである。処理したファイルはその都度人手で消去する運用になっていたが,一部のファイルを消し忘れていた。リニューアル後のWebアプリケーションでは,外部からアクセスできないディレクトリにファイルを保存するようにしているため,情報は漏れていない。現在もそのWebアプリケーションを使って,パンフレット請求を受け付けている。

 日本テレビエンタープライズは,Webホスティング・サービスを利用していたが,その運営事業者が変わったことが原因で情報が漏えいしたとみられる。日本テレビエンタープライズは旧東京インターネットのWebホスティング・サービスを利用していた。ところが東京インターネットがピーエスアイネット(PSInet)に買収され,さらにPSInetがケーブル・アンド・ワイヤレスIDCに買収された過程で,ホスティング・サービスの契約内容が変わっていた。「従来はISPがセキュリティを設定してくれていたのが,ユーザーの責任に変わっていた」(総務部の井草 稔氏)。そこでサーバー・マシンの移行時などに,従来はアクセスを禁止していたファイルが外部から閲覧可能になったとみられる。

 上の2社の場合,「データを保存するファイルは公開ディレクトリに置かない」というWebアプリケーションの安全対策の基本を守っていれば問題は発生しなかった。古くから利用しているWebアプリケーションなどについても,もう一度セキュリティ対策を確認した方がよいだろう。(K.A.)