Vol.200 米企業から、個人情報を含む3億4,000万件のデータが流出!

米企業から、個人情報を含む3億4,000万件のデータが流出!

データ収集を巡る米国のルール不足が改めて浮き彫りに!

今年の6月末、このような見出しの記事が、ネットニュース中心にさまざまなメディアで報道されました。個人情報を含むデータ流出事故については、当ページでもこれまで幾度となくご紹介してきましたが、今回発覚したケースはその圧倒的な「量」と、流出した情報の「質」の両面で、過去最大規模と言えそうです。

その内容は、「Exactis」という米国のデータ会社が保有している3億4,000万件のデータが、なんと公開されているサーバー上に置かれており、外部から誰でも閲覧できる状態になっていた!というものです。3億4,000万件のデータのうち、個人情報はおよそ2億3,000万人分。さらに住所などの連絡先や婚姻状況、犯罪歴の有無といった公的データだけでなく、喫煙の有無、信仰する宗教、趣味やペットの種類など、400以上ものマーケティングデータまでが含まれていました。
この記事を見て思い出されるのが、2016年の6月に、同じく米国のマーケティング会社「Deep Root Analytics」が起こした「人類史上最大・1億9800万人分の「有権者情報」露出事故(※1)」です。この事故は、2016年のアメリカ合衆国:第45代大統領選挙戦が過熱している最中に、「Deep Root Analytics」の“うっかりミス”により、アメリカの有権者ほぼ全てに相当する数の詳細な個人情報が、誰でも閲覧・ダウンロードができる状態で、なんと12日間も放置されていたという前代未聞のものでした。
今回の事故について、張本人である「Exactis」が沈黙を守っているため、事故が起きた原因も、被害の状況も明らかになってはいませんが、事故の概要を見る限り、こちらも“うっかりミス”が原因である可能性が高いようです。膨大な数の個人情報漏洩事故と聞くと、ハッカー集団などによる不正アクセスやサイバー攻撃を想像しがちですが、実は今回の様な“うっかりミス”による漏洩は過去にも数えきれないほど起こっています。

日本では「個人情報保護法」が2017年5月に全面改正・施行され、情報の適切な取り扱いと保護の強化、またグローバル化が進む、情報の取り扱いに向けた対策も視野に入れた内容となっています。また、欧州連合(EU)では今年の5月に「GDPR(General Data Protection Regulation)」が施行され、より広範囲且つ厳格なルールが定められました。(※2)
ネット大国であるアメリカが、こうしたルールや規制において“遅れをとっている”状況は、まさに滑稽であり、大きなリスクにも感じますが、今回「Exactis」が引き起こした情報漏洩事故を含め、相次ぐ大規模データ流出により、個人情報の収集や取り扱い、セキュリティ対策をめぐるアメリカのルール不足が改めて浮き彫りになっています。

データを専門的に取り扱う企業でさえ、ヒューマンエラーにより膨大な情報漏洩事故を引き起こすという事実を受け止め、万一の可能性を考慮した対策、その予兆を検知し迅速に対応できる仕組みの整備が重要です。今回の事故の経過を注視するとともに、今後も「情報セキュリティ」に関する情報を発信して参ります。

■Rentec Journal Vol.101 (※1)
人類史上最大・1億9800万人分の「有権者情報」露出事故
http://journal.orixrentec.jp/2017/10/9800.html
■Rentec Journal Vol.171 (※2)
EU一般データ保護規則(GDPR)の内容 & 現状の認知・理解度について
http://journal.orixrentec.jp/2018/05/eugdpr.html

ページトップへ