Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

メールアドレスと個人情報のビミョーな関係(2)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/7/30号)」に掲載されたものです

前回は、個人情報保護法における「メールアドレス」の取り扱いについて触れたが、今回は、どの企業にも起こりうる身近なメールアドレス関連の問題を取り上げる。

●漏洩していなくとも事件に

今月半ば、とあるISPでメールアドレス漏洩騒ぎがあった。第三者が200件のメールアドレスをISPへ持ち込んだもので、同ISPが調査した結果、一部が実在していたという。

しかし、この問題は単純ではない。持ち込まれたデータの一部が実存したからといってこの時点では、漏洩ではない可能性も高いからだ。

メールアドレスは、ホームページや掲示板への書き込みなど、すでに公となっているものも多い。ましてやプロバイダのメールアドレスともなれば、アドレス収集ツールにより、あっという間に収集できる。さらに、SPMA送信用に自動的にメールアドレスを生成するソフトもある。

今回の漏洩騒ぎでは、持ち込まれたデータが「メールアドレス」のみであり、その点にも疑問が残る。住所や氏名など、ISPであれば同一データベース上に保存されているであろうデータが一緒に漏洩しておらず、メールアドレスだけが持ち込まれたのは不自然だ。

そのISPの対応は迅速で慎重だった。持ち込まれたデータ全てが実在するか調べ、一部は実在していないデータであることを発表した。持ち込まれたデータとデータベースに因果関係はないと結論付け、持ち込まれたデータについて「ネット上で収集されたデータ」あるいは「アドレス自動生成ソフトで作成したデータ」であるとして漏洩を否定した。

●求められる風評リスク対策

ひとたび「個人情報漏洩のうわさ」が流れれば、マスコミに取り上げられ、消費者が不安に陥る。実際、個人情報漏洩事件により架空請求やオレオレ詐欺といった二次被害も発生しているため、多少過剰とはいえども、消費者保護の観点からは仕方ない面もある。

しかし、企業にとっては大きなリスクだ。実際に漏洩といったミスを犯していないにもかかわらず、時として「うわさ」により、企業の信用に関わる大きな問題となりうる。

昨年末にデマが原因で九州の地銀において取り付け騒ぎが発生、多数の預金が引き出された。インターネットの速報性に加え、地銀が適切な対処を怠ったため、被害は拡大した。預金が引き出されたり、解約された金額は500億に上るとみられる。

個人情報を所有するということは、実際の漏洩リスクだけでない。個人情報の取り扱いが注目されているため、噂や風評が流れるだけで、大きく信頼を損ねてしまうこともあるのだ。今回のISPは、適切な処置でリスクを最小限に抑えた好例だ。しかし、マスコミで報道された影響や、実際に調査などのコストなど、多少なりとも被害があったと思われる。

経営者やセキュリティ担当者は、同様の問題が起こりうることを企業は認識し、対策を用意しておくべきだろう。

●風評リスクへの事前対策

まず、漏洩の可能性が指摘されたときに重要なのが「迅速な対応」だ。情報が露出されると、消費者が不安に陥ると同時に、ネット上に噂が飛び交う。インターネット時代では、的確な対応であっても、「スピード」がなければ、意味がない。

適切な対応を実施するには、保有している個人情報を正しく把握しておくことが重要だ。実際はデータベースやエクセルのシートなど、点在するケースも多い。自社内で保有する個人情報をきちんと洗い出す必要があるだろう。

もちろん、迅速な対応だけでもダメだ。漏洩の可能性を正しく判断できる分析能力が重要だ。社内から持ち出した可能性があるのか、あるいは他のソースから漏洩しているのか、客観的に分析し、社内から漏洩していないのであれば、誰もが納得する説明を行わなければならない(もちろん、社内から漏洩している可能性がある場合は、速やかに謝罪する必要がある)。

そして、関係者へ適切に情報を公開し、さらにマスコミへの広報活動などを通じて、信頼回復へ努めなければならない。セキュリティ担当者は、幅広い観点から作業プロセスをしっかりと認識しておくことが大切となる。

専門的な知識も必要なので、事故発生時にはコンサルティング会社へ応援を求めるのも効果的だ。いずれにしても、事前準備が鍵となる。

(Security NEXT - 2004/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

メールサーバがフィッシングメールの踏み台に - 広済堂HD子会社
従業員が退職時に顧客情報を持出、転職先で使用 - プルデンシャル生命
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事(2024年4月7日〜2024年4月13日)
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
サポート詐欺で患者情報含むPCが遠隔操作できる状態に - 富田林病院
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.