経営者コミュニティ「経済界倶楽部」

サイバーセキュリティ後進国日本の個人情報流出事件簿

BCP

多くの企業が喉から手が出るほど欲しがっている個人データ。ビッグデータの時代を迎え、データを収集・分析することで新たなビジネスが生まれている。それだけに、個人データを保護する動きが強まっているが、日本の対策は後手に回る。その結果が、毎年のように頻発する、個人データ流出事件だ。

日本のサイバーセキュリティ対策はザル!?

今年5月から、EU域内でGDPRがスタートした。GDPRとは、「EU一般データ保護規制」のことで、個人データの保護を目的としたものだ。

適用対象はEU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)となっているが、EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。つまりEU域内でビジネスを行う企業・団体・個人はすべて対象となり、個人データ保護のための対策が義務付けされた。

義務内容に違反した場合、全世界売上高の4%もしくは2千万ユーロ(約25億円)の高い方が制裁金として課せられる。仮にトヨタ自動車がGDPR義務違反をした場合、制裁金は1兆円を上回ることになる。

日本の取り組みはEUに比べ遅れているが、それでも昨年5月には改正個人情報保護法が施行され、プライバシー保護に向け一歩を踏み出した。現在も総務省を中心に保護強化の話し合いが続いている。

ビッグデータは企業のマーケティングに不可欠だ。個人の日常の小さな行動までもがデータとして集積され、そのデータを分析することで新しい商品・サービスが生まれる。今や個人データは企業にとって「宝の山」。活用の仕方ひとつで大きな成長を果たすことができる。

逆に言えば宝の山だけに、常に漏えい・流出の危機にさらされている。それを証明したのが、今年4月に発覚したフェイスブックの情報流出事件だ。

これはフェイスブック利用者8700万人分の個人データが不正に第三者に渡されたというもので、これが2016年のアメリカ大統領選挙でトランプ陣営の選挙対策に使われたといわれている。もしこれが事実なら、企業の持つ個人データの流出が世界の政治に大きな変化をもたらしたことになる。

この流出事件は、04年の誕生以来、右肩上がりの成長を続けてきたフェイスブックにとって大きな痛手となった。株価は一時、15%以上も下げ、ザッカーバーグCEOは米上下院それぞれの公聴会に召喚され、個人データの保護強化を約束させられた。個人データを活用することで成長してきたフェイスブックは、個人データによって窮地に立たされた。

流出が起きたのはフェイスブックだけではない。13年には米ヤフーから30億件もの個人データが流出している。インターネット上で一度データが流出し、ファイル化されてしまうと、それを消すのは極めてやっかいだ。セキュリティ会社のソリトンシステムズの調査によると、インターネット上でファイル化されている個人データは世界で22億件にのぼるという。

もちろん日本も例外ではない。むしろ日本は欧米に比べ個人データ保護の意識は弱く、サイバーセキュリティ対策も不十分な企業・組織が多い。

日本の官公庁のホームページがしばしばハッキングされるのは、危機意識の低さを示している。サイバーセキュリティの専門家から「日本のセキュリティはザルのようなもの。どこで流出が起きてもおかしくない」という声がよく聞かれる。そして実際、数多くの流出・漏えい事件が起きてきた。

不正アクセス、サイバーテロによる情報流出・漏えいが増加

日本で個人データ流出が大きく騒がれた事件第1号は、04年にヤフーBBの会員情報660万人分の情報が不正に持ち出され、900人以上、一説には8万6千人の情報が流出、DM配布のデータとして利用された。

犯人はヤフーBBに出入りしていたエンジニアで、データをUSBメモリにコピーして持ち出した。ソフトバンク傘下のヤフーBBだけに、強固なデータ管理を行っていてもおかしくないが、実際には、社員なら誰でもデータにアクセスできるようになっており、その管理システムの甘さが指摘された。

この事件では、実際に悪用されたのは持ち出されたデータの一部にすぎなかったが、ソフトバンクは全ヤフーBB利用者に対して500円の商品券を送付した。

06年にはKDDIで、インターネット接続サービスDION(現au one net)の利用者約400万人の顧客情報が流出した。これはシステム開発を委託された担当者がデータを持ち出したもので、その後犯人はKDDIに対して金銭を支払うよう要求し、恐喝容疑で逮捕された。

ヤフーBB事件以降、データ流出への関心が高まり、流出させた企業の評判が悪化することを逆手に取った犯罪だった。結局、恐喝は未遂に終わったため、データは悪用されることはなかった。それもあり、KDDIはソフトバンクのような金券送付は行っていない。

同年、富士ゼロックスも同様の恐喝未遂事件に巻き込まれた。

富士ゼロックスの子会社、富士ゼロックスシステムサービスは、複数の自治体で戸籍のデータ化に取り組んでいたが、同社の協力会社の社員でもデータに自由にアクセスできたことからこれを悪用、データの入ったノートPCをインターネット上で販売した。このPCを購入した男が、富士ゼロックスシステムサービスを脅迫、逮捕されたことで事件が発覚した。

このほか、07年にアフラックの顧客情報15万件、契約情報20万件の漏えいなどもあったが、この時代までの流出・漏えいは、データを持っている会社に出入りする人間がコピーやPCを持ち出したケースか、会社のPCを社外に持ち出した際に紛失・盗難に遭い、データが流出するケースが大半だった。

当時はまだデータ管理に対する認識が甘く、誰でも簡単にアクセスできたり、自由に外に持ち出すことを会社側が黙認していた。しかし事件が度々起きたことで管理が厳しくなり、このタイプの流出・漏えい事件は徐々に減っていく。代わりに増えていったのが、不正アクセス、サイバーテロによる流出・漏えいだ。

狙われる日本企業、公的機関―イタチごっこが続く情報流出との戦い

個人データ流出事件 サイバーテロによるデータ流出が表面化した最初の事件は、08年のサウンドハウスが舞台となった。

同社は業務用音響機器や舞台照明機器をネット通販しているが、中国からのサイバーテロによって、約12万人分のクレジットカード番号を含む個人データが流出した。サウンドハウスにしても、当時の通販会社としてはごく常識手的な防衛策を講じてはいたが、悪意を持った相手に対しては無力だった。この事件以降、個人データを取り扱う会社は、より一層のセキュリティ対策が必要になった。

しかし同様の事件はその後も続く。10年にはパソコンショップのユニットコムの25万人のクレジットカード情報が不正アクセスにより流出、10年にはサミーネットワークスのオンライトゲームサイトに不正アクセスがあり、173万人の個人データが流出した。

また、ソニーは11年にグループ全体で1億件を超える情報流出があった。これはソニーオンラインエンタテインメントやプレイステーションネットワークなど、ソニーが展開するインターネットサービスがハッカーたちの標的となり、不正アクセスを受けたもの。当時、ソニーの業績は悪化していたが、そこに情報流出事件が加わり、翌年にはハワード・ストリンガーCEOの退任につながった。

13年にはヤフージャパンが不正アクセスを受け、最大2200万人のIDが流出、14年には経路不明だがベネッセから最大2千万人の個人データが流出した。日本マクドナルドを成長させ、プロ経営者としての評価も高かった当時社長の原田泳幸氏は、就任早々、事件発覚のトラブルに見舞われた。これで出鼻をくじかれたのか、2年後にはその座を去っていったことは記憶に新しい。

個人データが流出したのは企業だけではない。

15年には日本年金機構に対して不正アクセスがあり、基礎年金番号などの個人データ125万件が流出した。原因は職員が電子メールに添付されたウイルスの入ったファイルを開封、ダウンロードしたためとみられている。職員のサイバーテロに対する意識の低さが事件の根底にあった。

また同年大阪府堺市でも、市民の有権者情報68万件が流出した。これはサイバーテロなどではなく、市職員がデータを自宅に持ち帰り自作の選挙システムを構築。これを外部に売り込むためレンタルサーバーにシステムを保存したところ、公開状態になったというから悪質だ。この市職員は懲戒免職になっただけでなく、刑事告訴され書類送検された(不起訴処分)。

役所など公的な機関こそ、本来、セキュリティ対策には力を入れるべきだが、民間企業よりも対策が後手に回っているのが現実だ。

サイバーセキュリティ対策が後手を踏む理由

それでも、過去にさまざまな事件が起き、それに対応するために多額のコストがかかる現実を踏まえ、流出を未然に防ぐべく、セキュリティ強化に踏み切るケースが増えている。

それでも今年に入ってからも森永乳業やプレミアム・アウトレット、GMOぺパポなどで不正アクセス等による情報流出が起きている。最近の流出事件の特徴は、流出したデータがどこに流れ、どう使われているかまるで分からないことだ。

以前のように企業を脅迫するために使われたのなら、対策の取りようがあるが、黙って利用されたのでは、手の打ちようがない。しかも表面化した事件以外でも、誰も気づかないままデータが流出し続けている。

先日、野村総合研究所が発表した「サイバーセキュリティ傾向分析レポート」では、「ウインドウズ7を使い続けていることが脆弱性の一因」と指摘している。後継OSのウィンドウズ10は7に比べはるかにセキュリティ機能が強化されているが、人的・金銭的リソースが不足しているため、10への移行が進まない現実がある。

今、「働き方改革」の必要性が叫ばれている。そのひとつとして、働く場所を選ばないテレワークの推進も掲げられている。働く人が、働きやすい好きな場所で仕事をするには、外部の端末からインターネットを経由して会社のシステムやクラウドに接続する必要がある。

一時、会社のデータを持ち帰り、そこから外部に流出する事件が相次いだため、多くの企業がデータ持ち出し禁止の規定をもうけたが、テレワークはその規定を骨抜きにする可能性がある。働き方改革を進めるためにも、さらなるセキュリティ対策が求められる。

また、IoTにより、あらゆるものがインターネットにつながる時代を迎え、それに伴いIoT機器を狙ったサイバー攻撃が増えてきている。今後通信が5G時代を迎えると、通信量は飛躍的に増える。それは同時にリスクを高めることでもある。

悪意を持ったハッカーたちは、セキュリティの穴を探し出しては不正アクセス攻撃を仕掛けてくる。冒頭にあげたGDPRの例を持ち出すまでもなく、今後はさらに情報管理に対する要求は高まっていく。要求に応えられない場合は、世界の市場から追い出されるだけに、対岸の火事視している場合ではない。

【サイバーセキュリティ】の記事一覧はこちら

【マネジメント】の記事一覧はこちら

経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan

雑誌「経済界」定期購読のご案内はこちら

経済界ウェブトップへ戻る