Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

個人情報流出後は架空請求が増加 - 国民生活センター調査

国民生活センターは、個人情報保護法の全面施行や全国消費生活情報ネットワーク・システム(PIO-NET)におけるプライバシー関連の相談件数は増加傾向にあることから、顧客情報の流出や個人情報の売買事件に関して事業者を対象に「個人情報流出事故に関する事業者調査」を実施した。

「内閣衆質159号第120号 個人データ流出に関する質問に対する答弁書」および、新聞社告をもとに抽出した94社に対し、郵送で質問書を送付。有効回答数は44社(46.8%)だった。

アンケートによると、名前を含んだ形で流出した事例は91%。架空請求などに巻き込まれる可能性がある住所、電話番号、メールアドレスといった連絡先を含んだ事例は75%だった。

また、健康診断書、金融機関の口座番号、印影、信用情報、事故情報、クレジットカード番号など、センシティブ情報についても漏洩している事例が多かった。

1万件以上の流出した事例は全体の3分の1にあたる15件で、そのうち14件が氏名、住所、電話番号を含んでいた。流出原因の内訳は、内部による持ち出しが7件、サーバのデータが閲覧可能になっていたケースが4件だった。

流出先が判明した事例は12件と全体の27%に留まった。そのなかで4件が架空請求や商品先物取引の電話勧誘に利用されたという。流出先から回収した事例もあるものの、すでに別の事業者へ流出していた事例があり、同センターではすべて回収することは難しいとの見解を示している。

また、流出していないという回答もあったが、事故状況を見ると、「従業員の紛失」「閲覧可能な状態だった」「シュレッダーで破棄された可能性が高い」など詳細は不明で、漏洩していないと断定できておらず、被害を受ける可能性がある消費者との認識が大きく異なる結果となった。また、それら事業者でも実際に架空請求されたといった相談などが寄せられているという。

流出原因を把握した理由は、日常業務における事故の発覚、従業員や委託先による報告、関係機関からの報告など、関係者の情報提供が21件だった。顧客からの指摘により判明した例は13件。「架空請求された」との問い合わせが相次いだといった事例や、金融先物取引業者からの執拗なセールスに対し、問いただしたところ、名簿業者で販売されていたことが判明した事例もあったという。また、顧客情報を持ち込み、金品を要求されたケースもあった。

事故調査は、87%がアクセス解析やヒアリングなど調査を実施している。しかしながら、事故原因を特定できなかった事業者は2割あったという。また、事故後の対応として、ほとんどの事業者が所轄官庁へ報告を行っており、未報告とした事業者は9%に留まった。

すべての企業が通知や公表を行っているが、そのうち69%が個別訪問や個別通知を実施している。一方で、ホームページで公表しただけの企業もあるという。

(Security NEXT - 2005/03/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

「クラウドコンピューティングのためのセキュリティガイダンス 第4版」が公開中
11月のフィッシング報告は414件増の1396件 - 「Apple」関連が7割
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
個人データの海外移転、「国内同水準」要件でパブコメ - 個人情報保護委
ゴルフ大会参加者の個人情報が所在不明 - 毎日放送
漫才コンテスト「M-1」のプレス向けメールで誤送信 - 朝日放送
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「ディズニーランド入場券が当選」 とだますマルウェアメール - 不自然な日本語に中国語も
市立中学校で生徒の個人情報を紛失 - 大阪市