大手企業の個人情報流出と対策について

出会い系サイトOmiai のデータ流出があったのですが、LINEより厳しいと調べました。
前提としてビッグデータ経営とか言われて、企業ではユーザー情報を整理し、アクセス履歴やユーザートレーサビリティも使用してます。
このように多種多様なデータを収集し、精製·加工するのですが、
今回は出会いを求める点も個人情報に名寄せされ流出されるのが大事(おおごと)です。

Omiaiデータ流出

今回流出した企業のホームページでは

不正送信の可能性がある通信ログを解析した結果、一部会員様（既に退会された旧会員様も含む）の年齢確認書類の画像データが4月20日～4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。

今回は可能性とあるので、不正アクセスされた痕跡が残っていたのでしようね。

2. 対象となる情報
対象：2018年1月31日～2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分（アカウント数）の年齢確認書類の画像データ。

このOmiaiを使う妙齢の情報は名簿屋さんに高く売れそうです。流出データ内容である書類には

年齢確認審査書類の主な種別：
運転免許証、健康保険証、パスポート、マイナンバーカード（表面）等
そのうち、全体の過半数となる約6割を運転免許証画像データが占めております。

これは垂涎の個人情報の基本台帳ですよね。運転免許証の写しなんて、携帯を購入するときの本人確認やらでも大活躍します。

会社としても焦ったのが分かるのが下記、更にやらかしてます。

当社コーポレートサイトの不具合により、お問い合わせフォーム内の 個人情報が他者から閲覧できた状況に関するお詫びとご報告 – 株式会社ネットマーケティング

本件発生内容
2021年5月19日（水）11時～ 5月22日（土）15時までの間に、当社コーポレートサイトのお問い合わせフォームにお客様が記載した内容が、後からご利用頂いた他のお客様に閲覧可能な状態となっていました。なお、閲覧可能であった個人情報項目は、（１）会社名 （２）部署名 （３）会社URL （４）お名前 （５）フリガナ （６）電話番号 （７）メールアドレス （８）お問合せ内容の一部の計8項目となります。

報道のため完全に焦ったようです。架空の問い合わせをしても安全がってで｢流出しました｣と回答されたとのTwitter未確認情報もありました。

この流出が怖いのは、仮想事例をあげると分かりやすいです。

Omiaiに参加していた男に興味がない風を装うお局様ノイアー場合、

後輩が｢オミアイに個人情報流出させられたらしいですね～大丈夫でしたぁ？｣

｢男日照りでしたかぁ。言ってくださいよぉ、合コンぐらいセッティングしますよ♪｣

というマウンティングというかセクハラコメントの可能性。恥ずかしいでしょうね。

またOmiai男に女性からの変な間違いメールが頻繁しそうです。また妻帯者？なら脅しのネタです。

個人情報流出させられたら、それを知らないふりして共通点を重ねるとかもありそうです。

過去に海外でも似たような事件がありました。

不倫ＳＮＳにハッキング「会員の裸写真ばらまくぞ」　日本人も１８０万人？　犯人「浮気は最低」と閉鎖要求転載元　産経ニュース　2015.7.22 16:20配信」そもそも「アシュレイ・マディソン」の不倫目的のSNSって意味不明なんですけど、不貞行為を推奨するようなサイトって法律とかには引っ掛からないのかな？

信義誠実ではないですね。

他の流出事例

Omiai加入申込情報で流出したのは

情報項目：氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種
※年齢確認書類の種別により、含まれる情報項目は異なります。

名簿屋さんオオハシャギですが、他の大手企業でも色々ありました。どれだけ知ってます？握りつぶしたわけでは無いですが弱火だったと思う人もいるかもしれません。まずはメルカリです。

流出したのはメルカリでの売上金の振り込みに関連した口座情報約1万7千件のほか、スマホ決済サービス「メルペイ」の加盟店情報など計約2万8千件。

メルカリがフリマアプリの機能改善などのために利用している米コードコブの計測ツールが、不正アクセスを受けた。流出情報にはソースコード共有サイトの「GitHub（ギットハブ）」の認証情報なども含まれており、メルカリの顧客情報が含まれたソースコードなどが流出した。

って都市銀行のSEが載せたら、バレた件と同じ？かもしれません。

2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額):17,085件
2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容):217件

また楽天も不正アクセスされました。

　楽天、楽天カード、楽天Edyは12月25日、利用中の営業管理用SaaSが不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。営業管理用SaaSのセキュリティ設定にミスがあったことが原因という。

私も被害に遇ったのがウェブ研修を受けたPeatixです。
Peatix（ピーティックス）は11月17日、同社運営のイベント管理・チケット販売サービス「Peatix」において、第三者による不正アクセスを受け、ユーザーの個人情報最大677万件が不正に引き出された事実が判明したと発表した。詳細は現在も調査中で、新たな事実が判明次第早急に公表するとしている。

11月9日に同社保有のユーザーの個人情報が引き出されている可能性を認識し、外部調査会社による調査を実施。その結果、10月16日から10月17日にかけて発生した不正アクセスにより、「氏名」「メールアドレス」「暗号化されたパスワード」などユーザーの個人情報が最大677万件引き出された事実が判明した。詳細は現在も調査中で、新たな事実が判明次第早急に公表するとしている。

クレジットカード情報および金融機関口座情報などの決済関連情報、イベント参加履歴、参加者向けアンケートフォーム機能で取得したデータ、住所、電話会社などの情報が引き出された事実は確認されていない。

言い方を変えると引き出される状態にはあったようです。

まとめ

前回のLINEの中国IT土方へのオフショア、流出可能性より、上の事例の方が深刻です。

まあ中国ITだと当局が監視できるような穴をあえて開けておく必要があり、ハッカーの格好の標的になると日経ビジネスとかにも書かれていました。ということはLINEも大きなくくりだと流出可能性が有るところに置いたともいえるのです。

このデータ管理は経産省でも色々書かれていました。下記の図のようにアクセス権や蓄積場所など、今問題になっていることがオンパレードです。

タイトル未設定

アプリ開発だと公開するタイミングが大事ですからどうしても拙速に走りがちです。

出来るだけ早く公開するためアジャイル開発して良いところと

秘密を守るため頑強なシステムに冗長性をもたてる。管理体制強化が必須ですね。

古くはプロ経営者が入った株式会社ベネッセホールディングスは社長就任直後に2000万件余の個人情報が情報漏洩しました。あんなの予測出来ないけれど、運も実力のうちなのか、続々と低迷期を迎えました。

逆に成功例として、ワークスアプリケーションの株式会社ワークマンの講演でもビックデータを用いた話がありました。
土屋 哲雄 専務取締役のエクセル経営から

組織論・社員が自分でデータから相関関係を求め、因果関係かどうかを実験をして自分で結果を出す。ホウレンソウなんてして貰ったら困るという香ばしいコメントがありました。

社員の成果を聞いた経営幹部は貰った結果を　地域格差（気候なのか）なのか標準なのかを判断して横展開する。

社員は性善説でKPIといった数値の目標を与えない。データ　は原因をみつけるために利用する。一店舗９０００の品揃えをデータで精査する。例えば、カットしても顧客が減らない商品の洗いだし。カニバリズム度を使うってラインナップ整理。機会ロスのある上位３０品を店舗番号を入れるとエクセルで自動抽出するなどいずれも社員が作ったそうです。

その時のデータに個人情報があると問題になるのでいらない情報をうまく切り分けるのが大事なんでしようね。

大事(おおごと)と大事(だいじ)物事の裏表のようですが、ビックデータを管理するときには自省する話です。

またはあらかじめ個人情報の公開を前提とする扱いが有ります。

そんなのプライバシー侵害で無理とか思っていたら事例があるのですね。

https://diamond.jp/articles/-/269131?page=3

ノルウェーでは他人の納税記録を閲覧できるが、紙ベースで手続きが面倒だった。それが2001年にオンラインに移行し、クリックひとつで隣人や同僚の納税記録が閲覧できるようになったことで「覗き見」が大流行した（現在は匿名検索ができず、自分の記録を誰が閲覧したかを調べられるようになっている）。

いずれにしても情報の管理が大切で大事という話に違いはありません。さすがにOmiai はoshimaiだという誰かの駄洒落では終われませんでした。