Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メールアドレスと個人情報のビミョーな関係(2)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/7/30号)」に掲載されたものです

前回は、個人情報保護法における「メールアドレス」の取り扱いについて触れたが、今回は、どの企業にも起こりうる身近なメールアドレス関連の問題を取り上げる。

●漏洩していなくとも事件に

今月半ば、とあるISPでメールアドレス漏洩騒ぎがあった。第三者が200件のメールアドレスをISPへ持ち込んだもので、同ISPが調査した結果、一部が実在していたという。

しかし、この問題は単純ではない。持ち込まれたデータの一部が実存したからといってこの時点では、漏洩ではない可能性も高いからだ。

メールアドレスは、ホームページや掲示板への書き込みなど、すでに公となっているものも多い。ましてやプロバイダのメールアドレスともなれば、アドレス収集ツールにより、あっという間に収集できる。さらに、SPMA送信用に自動的にメールアドレスを生成するソフトもある。

今回の漏洩騒ぎでは、持ち込まれたデータが「メールアドレス」のみであり、その点にも疑問が残る。住所や氏名など、ISPであれば同一データベース上に保存されているであろうデータが一緒に漏洩しておらず、メールアドレスだけが持ち込まれたのは不自然だ。

そのISPの対応は迅速で慎重だった。持ち込まれたデータ全てが実在するか調べ、一部は実在していないデータであることを発表した。持ち込まれたデータとデータベースに因果関係はないと結論付け、持ち込まれたデータについて「ネット上で収集されたデータ」あるいは「アドレス自動生成ソフトで作成したデータ」であるとして漏洩を否定した。

●求められる風評リスク対策

ひとたび「個人情報漏洩のうわさ」が流れれば、マスコミに取り上げられ、消費者が不安に陥る。実際、個人情報漏洩事件により架空請求やオレオレ詐欺といった二次被害も発生しているため、多少過剰とはいえども、消費者保護の観点からは仕方ない面もある。

しかし、企業にとっては大きなリスクだ。実際に漏洩といったミスを犯していないにもかかわらず、時として「うわさ」により、企業の信用に関わる大きな問題となりうる。

昨年末にデマが原因で九州の地銀において取り付け騒ぎが発生、多数の預金が引き出された。インターネットの速報性に加え、地銀が適切な対処を怠ったため、被害は拡大した。預金が引き出されたり、解約された金額は500億に上るとみられる。

個人情報を所有するということは、実際の漏洩リスクだけでない。個人情報の取り扱いが注目されているため、噂や風評が流れるだけで、大きく信頼を損ねてしまうこともあるのだ。今回のISPは、適切な処置でリスクを最小限に抑えた好例だ。しかし、マスコミで報道された影響や、実際に調査などのコストなど、多少なりとも被害があったと思われる。

経営者やセキュリティ担当者は、同様の問題が起こりうることを企業は認識し、対策を用意しておくべきだろう。

●風評リスクへの事前対策

まず、漏洩の可能性が指摘されたときに重要なのが「迅速な対応」だ。情報が露出されると、消費者が不安に陥ると同時に、ネット上に噂が飛び交う。インターネット時代では、的確な対応であっても、「スピード」がなければ、意味がない。

適切な対応を実施するには、保有している個人情報を正しく把握しておくことが重要だ。実際はデータベースやエクセルのシートなど、点在するケースも多い。自社内で保有する個人情報をきちんと洗い出す必要があるだろう。

もちろん、迅速な対応だけでもダメだ。漏洩の可能性を正しく判断できる分析能力が重要だ。社内から持ち出した可能性があるのか、あるいは他のソースから漏洩しているのか、客観的に分析し、社内から漏洩していないのであれば、誰もが納得する説明を行わなければならない(もちろん、社内から漏洩している可能性がある場合は、速やかに謝罪する必要がある)。

そして、関係者へ適切に情報を公開し、さらにマスコミへの広報活動などを通じて、信頼回復へ努めなければならない。セキュリティ担当者は、幅広い観点から作業プロセスをしっかりと認識しておくことが大切となる。

専門的な知識も必要なので、事故発生時にはコンサルティング会社へ応援を求めるのも効果的だ。いずれにしても、事前準備が鍵となる。

(Security NEXT - 2004/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
「SECCON 2017」予選、上位100チームを発表
「SECCON 2017」オンライン予選の登録受付が開始
2016年度のSIEM市場は39.8億円 - 前年度比13.7%増
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず