ＩＴ維新研究所

個人情報漏洩事件の教訓

【はじめに】

先月号で、「三菱ＵＦＪ証券」における個人情報漏洩事件を取り上げましたが、
その後も、数多くの個人情報漏洩事件が発生しています。
大きなものとしては、「アリコジャパン」と「アミューズ」の両方の通販ショップからのクレジットカード情報の漏洩があります。
クレジットカードの情報漏洩により、このクレジットカード情報により、クレジットカード所有者の知らない間に、不正な決済取引がおこなわれる可能性が発生します。
クレジットカード会社には、不正取引を感知・検出する機能が組み込まれており、これにより、異常が検出される場合が多いのですが、１００％完全というわけではありません。
インターネット通販が拡大する一方で、このような情報漏洩リスクも増大しているということを認識しておく必要があります。

ところで、この二事例に関しての概要を要約しておきましょう。

【アリコジャパンの事例】

アリコジャパンは、顧客の個人情報が外部に流出したおそれがあると発表しています。
クレジットカード情報の不正利用による被害も報告されているとのことです。
この事件が判明したのは、7月14日以降にクレジットカード会社より、同社顧客のカード情報が不正利用されたとの指摘を複数受けてのことです。
この手の事件は、外部からの指摘や内部告発等で判明するケースが多いのです。自社の管理システムの盲点を突いて情報が漏洩しているのです。

同社調査によれば、顧客情報が外部へ流出している可能性はきわめて高く、7月初旬ごろより不正利用が発生しており、1000件以上にのぼると見られています。

最大11万件の顧客情報が流出した可能性があるとのこと。

【アミューズの事例】

芸能プロダクション「アミューズ」の通信販売サイト「アスマート」から、カード情報を含む個人情報が外部へ流出したことがわかったとのこと。

原因は、同サイトの運営をアミューズより受託していた埼玉県川口市のテイパーズのウェブサーバが、外部より不正アクセスを受けたもの。

7月28日にクレジットカード会社より流出の可能性を指摘され、問題が判明した。攻撃元のIPから、中国のサーバ経由で攻撃が行われたと見られているとのこと。

クレジットカード番号や有効期限などクレジットカード情報3万4097件やメールアドレス情報等の11万6911件の流出が確認されているとのこと。

最大で顧客情報14万8680件が外部へ流出したおそれがあるとのこと。

【最近動向】

今回の上記の二件に関しては、流出経路、流出経緯に関しては、未だに詳細不明としています。外部からのアクセスの可能性が大きいといわれています。

一般的には、ＩＴシステムの情報漏洩事件には、内部の人間の関与のケースが多いのですが、今回のケースは、外部からの攻撃による可能性が大とのこと。
全く、内部の関係者が関与していないとは言い切れないようですが、システムの脆弱性に対する外部からの攻撃を許してしまったということになります。

そうであれば、インターネット通販を運営しているサイトに対する海外からの攻撃が活発化されたことになり、数多くある、通販サイトで共通の弱点が存在する可能性があります。

第三、第四の個人情報漏洩事件が発生している可能性が大きいということです。

【セキュリティー市場の伸び】

このような事件が発生すると大忙しになるのは、セキュリティーシステムに関与している業者のニーズが急激に高まることになります。

◆IDC Japanは、国内のセキュリティソフトウェア市場を調査し、2009年の成長率は4.4％で、同社の調査結果によれば、2008年の国内セキュリティソフトウェア市場規模は1911億円で、前年比成長率は5.5％。経済が低迷しているものの、2009年の成長率は4.4％を保ち、2013年の市場規模は2358億円になるとの見通し。

分野別に見ると、もっとも成長率が高いのは「セキュリティ、脆弱性管理」で、年間平均成長率は9.3％。日本版SOX法や内部統制対策の一環として、ログ管理製品を中心に需要が高まっており、今後はシステム統合管理や脆弱性診断など専門技術を要する製品の市場が拡大すると予測。

一方「アイデンティティ、アクセス管理」は2008年は低調だったが、2009年以降は内部統制の効率化に対する需要拡大により持ち直し、年間平均成長率は3.6％を維持すると予測。

◆富士経済は、セキュリティ関連製品やサービスの国内市場における動向の調査では、セキュリティを「オフィス」「ストア」「ホーム」「タウン」「スクール」「ホームランド」「カー」「パーソナル」の9分野に分けて市場を分析。

レポートによれば、情報漏洩対策製品の2008年の国内市場は、前年比6.8％増の235億円。

また2009年の市場見込みは前年比12.3％増の264億円で、さらに2012年の市場予測は295億円と、市場の拡大は今後も続くとの見込み。

◆ミック経済研究所は、内部統制型や情報漏洩防止型のセキュリティソリューション市場について、主要ベンダー140社のセキュリティソフトとアプライアンスサーバの出荷金額を調査し、内部統制型や情報漏洩防止型のセキュリティソリューションを36分野に分類し、市場動向をまとめている。

レポートによると、同市場は2007年度が980億円強、2008年度は前年比10.3％増の1080億円強へ成長。さらに2009年度は前年比12.2％増となる1215億円に達すると同社では分析。

全36分野のうち21分野で二桁の伸びを見せており、そのなかでも特に成長率が目立っているのはシングルサインオンとアイデンティティ管理分野。

シングルサインオンパッケージの2008年度市場は、前年比14.4％増の93億7000万円。認知度の高まりや内部統制など社会的背景から、大手企業以外の企業ユーザーにも定着しており、今後も二桁の伸びを維持するとの見通し。

またアイデンティティ管理パッケージの2008年度市場は、前年比20.3％の90億6000万円。日本版SOX法の施行に伴い、内部統制強化のための管理ツールとして浸透し始めているという。

【まとめ】

「風が吹けば桶屋が儲かる」というか、個人情報の漏洩事件が発生するたびに、セキュリティーに関わっている、コンサルタントや、システム商品開発会社、システム販売代理店
等への問い合わせや調査依頼が急増しているとのこと。
ＩＴ予算がカットされる経済状況の中で、この種の事件が発覚すると思わぬ出費が発生することになります。
一旦、このような情報漏洩事件が発生すれば、「顧客の信用失墜」は、勿論のことですが、「調査のための調査費の諸経費の発生」「損害発生のための弁償費用」「関係各省への対応」「マスコミ対応」「顧客照会のための特設窓口設置」等々の対応に追われることになります。どらかといえば、後ろ向きの仕事が急増することになるのです。

積極的な前向きの営業活動も自粛せざるを得ない状況に陥ることになります。

「泣きっ面に蜂」というか、企業活動としては、大打撃を受けることになります。

結果論として、通常からの「セキュリティー対策」が疎かになっていたことになります。

毎度、考えていることですが、「転ばぬ先の杖」といいますが、どの段階で、どの程度の杖を準備すればよいのかを判断することは、大変難しいことです。

しかしながら、この決断をできるのは、トップマネジメントしかいません。

一連の個人情報漏洩事件を教訓として、経営リスクの一環として、システムリスク管理の重要性を再認識すべきと思います。