やはりこれで終わりでなかった!? JAL個人情報漏えい
やはり顧客の個人情報は漏えいしていました。不正アクセス発覚後の詳細な解析によって、漏えいが確認されたのです。なぜ発覚後一ヶ月以上経たなければ、詳細の一部もわからないのでしょう。それは単なる「もの」の窃盗とは異なり、解明には時間がかかるからです。しかしながら、公共サービスに近い大手航空輸送会社としては、その経過や対策、およびその進捗について、逐次かつ早急に告知する必要があるでしょう。
不正アクセスによる情報漏えい可能性の発覚から一ヶ月、現在、判明している漏えい調査の途中経過が発表されました。その中で、可能性ではなく、確実に4,000人以上の個人情報が意図せず、JAL外部に流出している事が判明しました。しかもこれで終わりではなく、誰の個人情報であるのかは特定されていないものの5,000人以上の情報が確実に漏えいし、さらに、まだ80万人以上の個人情報が漏えいしている可能性があり、その精査中なのです。
なぜ、一ヶ月以上も調査しなければ確実な事がわからないのでしょう。また一ヶ月以上経っても、ほんの一部しか調査できないのでしょうか。実は不正アクセスの可能性について、比較的、その事実が早く判明できたとしても、その不正アクセスによって何が行われたかを詳細に解明する事は極めて難しいのです。
内部犯罪が行われず、外部からネットワーク経由で不正アクセスが行われ、個人情報データがネットワーク経由で外部に漏えいしたとしても、その全容を解明する事は難しいのです。実際の「もの」の盗難であれば、帳簿が存在し、その帳簿との突合によって判明します。情報システムの場合、その帳簿に対応するものがアクセスログです。しかしアクセスログはネットワーク上を流れるすべての情報について詳しく記述されているわけではなく、さらにやっかいなのは、アクセスログ自体が改ざんされている可能性もあるのです。その必ずしも信頼性が高くないアクセスログ、つまり帳簿から何が漏えいしたか、つまり盗まれたかを解明しなければならないのです。80万人以上の個人情報漏えいの可能性とは、アクセスログから80万人分に相当するデータ量が不正なサイトに流れていたことが判明したということです。これが本当に個人情報であるか否かは不明なのです。言うなれば、荷物が盗まれ、それがトラック1台分であることはわかっているのですが、中身が何であるかわからないことに相当します。盗まれた量はわかっていても、その内容がわからないのです。
不正アクセスが発覚してから一ヶ月以上たったとはいえ、途中経過を報告したことは評価できるますが、やはり詳細な対策も含めて、期限を切った計画的な調査報告、対策およびその進捗報告が望まれます。
JALが漏えいさせた個人情報を確定させる事は重要ですが、その結果に関わらず、JALのユーザ以外も含めて、個人情報は少なからず漏れているものと考えて、すべてのネットアークアクセス、サービスを享受するほうが無難でしょう。