ユーザーサービスのつもりが個人情報ダダ漏れシステムという罠

(ペイレスイメージズ/アフロ)

山本一郎です。先日、東京商工リサーチが過去5年にわたる「上場企業の個人情報漏えい・紛失事故」について調査した結果を発表しておりました。

過去5年間で漏えいした個人情報は7545万人分--東京商工リサーチ(ZDNet Japan 17/4/12)

2012年から2016年の5年間、上場企業と主要子会社で発生した個人情報の漏えい・紛失事故によって漏えいした可能性のある個人情報は、累計で最大延べ7545万人分に達し、単純計算で日本の人口の半分を超えていることが分かった。

出典:ZDNet Japan

被害者の数が単純計算で日本の人口の半分を超えているというのはなかなかに壮観ではありますが、あくまでもデータは延べ人数であることを考えれば、こうした情報漏洩の事件に何度も繰り返し巻き込まれてしまっている不幸な方々もそれなりの数に上るのではないかと思われます。

興味深いのは情報漏洩の原因のトップが「書類などの紛失や誤廃棄」で全体の45.0%を占めているという点でして、サイバー攻撃によるデジタルデータ流出のような派手な事案よりも、アナログなデータが誤って処分されてしまうパターンの方がまだ今は多いということです。確かに使用済みパソコンの廃棄先からハードディスクを何者かに復旧されてしまい、情報が漏洩してしまうという事件も起きています。しかし、これから5年先にはこの割合もデジタルデータ流出の方が優っていることになるのかもしれません。

さて、情報漏洩原因の2番目に上げられているのは「誤表示・誤送信」とありますが、この中にはユーザーにとって便利なネットサービスのつもりで提供している仕組みが実は盛大な情報漏洩システムとして機能してしまうといったパターンも含まれそうです。

ちょうどこの記事を書く数日前に一部ネット民の間で関東ITソフトウェア健康保険組合の健康ポータルサイト「MY HEALTH WEB」の挙動が怪しいということでちょっとした炎上騒ぎが起きておりました。

「MY HEALTH WEB」は、同健保組合の会員がネット上から自分の医療費明細をはじめとした各種情報を閲覧できるようにしたポータルサイトでしたが、悪意をもった第三者が比較的容易に会員の健康情報へアクセスできてしまう仕組みであったようです。さすがにIT関連事業従事者の多くが加入している健保組合だけあったこともあり、すぐに問題点が指摘されて同システムは改善が図られたようです。

MY HEALTH WEBの初回登録の停止と健康情報の閲覧制限のお知らせ(関東ITソフトウェア健康保険組合)

今月3日よりオープンしましたMY HEALTH WEBですが、初回登録に利用する本人確認情報の問題点についてご指摘いただきましたことから、これの改善策が実装されるまでの間、初回登録を停止するとともに健康情報の閲覧を制限することといたしました。

出典:関東ITソフトウェア健康保険組合

しかるべき人達がすぐに問題点を発見し、サービス提供側もそうした指摘に対して早く対応したため大事には至らなかったケースでしたが、ネットを介して何でも出来るのはいいとして、その仕組みは安全に機能するのかどうかそのあたりをサービス公開の前にしっかりと検証できる体制がないと危ないなと感じます。

逆に言えば、関東ITソフトウェア健康保険組合のようにリテラシーの高い利用者がいるからこそ問題の重要性を把握されて対応することはあるかもしれませんが、野放図になっているところがどれだけ残されているのかと考えるといまだそれなりに寒い状況なのではないでしょうか。類似事案がないかどうか、各自きちんとチェックしてみると良いかもしれません。