« Docomoが3月決算なのは、日本人の常識? | トップページ | 司法試験は簡単 »

インターネットサービスの品質を判断する

昨年、久しぶりに情報セキュリティ事件に「当事者として」巻き込まれました。

初めて情報セキュリティの事件に携わって以来、早17年が経過しました。取り締まる側、被害を受ける側として、さまざまなセキュリティ事件・事故に接してきました。

初めて接した事件は、1000人を対象に特定個人の誹謗中傷メールを送信したという事件でした。被害者が友人で、私自身がその組織の中では比較的ネットワーク知識があったため、犯人を確定し、再発しないネットワーク・アプリケーションの設定を検討、設定するというかかわり方をしました。

1990年代は加害者から恨まれるのは日常茶飯事で、私の氏名・電子メールアドレスを詐称して、パソコン通信やインターネットの恋人募集サイトや援助交際募集サイトに書き込みをされるなど、日常的な出来事でした。

事件に巻き込まれると、当事者になるので、警察や検察庁、IPAといったさまざまな団体と密接な情報交換をすることが可能になります。そのため、こうした悪意をもって氏名を詐称してきた犯人の意図とは裏腹に、事件や事故に巻き込まれれば巻き込まれるほど、私の知識と経験が増えていく、というプラスのメリットがたくさんありました。(人からどう思われるかに頓着しないため、自分におきていることを「被害」だと認識させなかったのかもしれません・・・。)

そのため、当時の私の本来の専門は組織心理学で、人事制度設計やM&Aをした組織の融合政策などが専門だというのに、情報セキュリティ対策の経験が自然に蓄積していきました。そして、今日は、統制環境の整備という仕事だけではなく、情報セキュリティや個人情報保護のお仕事をたくさんいただいています。

昨年の事件も同様で、個人情報保護やネットワークを使った犯罪がここまで喧伝されている昨今でも、会社の体質や考え方によって、対応に大幅な差異が生じることを、身をもって確認することができました。また、業務として接しているセキュリティ事件・事故は機密保持の観点から公開することができないのですが、こうして自分自身が被害にあった事例はいくらでも教育事例として使うことができるため、仕事の面でも大きなプラスがあります。

このサイトでも、事件の経緯と予防策を公開させていただこうと思います。

■事件の概要
複数の大手オークションサイトに、私の姓と住所が登録されていた。電子メールアドレスや登録クレジットカードは私のものではなく、私には金銭的な被害は発生していない。

しかし、オークションサイトでは「犯罪に使用するための物品の売買(携帯電話や銀行口座、各種拘束具)」や「売買自身が違法である物品(児童ポルノ等)の取引」が行われることが多く、違法取引に私の住所が利用されている可能性を危惧した。

■事件発覚の経緯
大手オークションサイトの1つであるBiddersから、郵便物が届いた。あて先は私の仕事で利用している姓だが、名は現在も過去も実在しない「男性名」だった。郵便物が届いた住所に住んでいるのは私と夫で、夫の姓は異なるため、この郵便物のあて先は私であると判断して開封した。中身はダイレクトメールで、Biddersの登録者全員に郵送していると記載してあった。

Biddersコールセンターに問い合わせをしたところ、「姓名が一致しないため、本人ではないと判断するので個人情報保護の観点から一切の情報を提供することができない」との回答を得た。(もちろん、この個人情報保護法の解釈は間違えています。個人情報保護法では犯罪者を保護することなどは要求していません。また個人情報とは個人を特定できる情報を指すため、この登録情報の場合は基本的には私を特定することになる可能性が大です。)

個人情報保護法の解釈を間違えているということを法律の条文の逐次解釈をつけて再三せつめいし、一般的にこうした事件・事故が発生したときに行うべき業務手順をあわせて連絡したのですが「個人情報保護の観点から一切の情報を提供することができない」との回答であった。

他のサイトでも氏名を悪用されている可能性等を考慮し、複数サイトに「Biddersでこうした事件に巻き込まれている。同様の事象がおきていないかを確認して欲しい」との問い合わせを行った。

結果として「YAHOO!オークション」「楽天」など複数サイトで私の住所と姓を詐称する登録があることが確認できた。

■この事件から私達が学ばなければいけないこと
Bidders以外のサイトでは、氏名の詐称の有無を回答しなかった大手サイトはありませんでした。特に名前を挙げた2サイトの対応はすばらしく、私の個人情報の一部を詐称してこの2サイトを利用しようとすることを防止する仕組みまで実装してありました(ソフトバンクグループ、楽天グループともに過去に個人情報の漏洩事件を起こしており、外部の専門家を入れて徹底的に対応を見直したという経緯もあるかと思います。)。

それ以外のサイトは、再発防止はできていませんでしたが、少なくとも詐称したIDを直ちに停止、登録メールアドレスに警告を発信するといった一連の手続を実行していただけました。

また、私の住所を詐称した登録IDがどういう取引をしてきたかという情報の開示および、今後の対応を説明していただき、今後の対応予定が専門家として納得がいくものだったので、お任せすることにしました。

一方、最初に事件に気がつくきっかけとなったBidders(DNa)ですが、事件発覚後も一貫して「取引履歴の開示はできない」「今後の対応も教えられない」「警察に連絡するしないなど、一切の情報は提供できない」「再発防止をするかしないかも教えられない」との対応でした。

私達はサービスを利用する時に、サービスの内容だけを確認しがちです。しかし、実際に事故が起きてみると、サービスを支える根幹である「コンプライアンスに対する積極的な取り組み姿勢」や「サービスを支える情報システムが情報セキュリティやアクセス権限を考慮した設計になっているのか」によって、事故の再発防止や被害の拡大の程度が大きく異なることに気がつきます。

また、サービスの比較をする際に、こうした事件対応・事故対応の能力を比較するという発想すらないかと思います。

しかし、この記事を読んでお気づきのとおり、Biddersの対応は個人情報保護法を盾にはしているものの、被害者に対して一切の情報公開をしないことで犯罪加害者が時間稼ぎをする手伝いをしています。また、緊急対応(当該IDを停止する)や再発防止策を行うかどうかを教えていただけないことで、私は今でも、いつ犯罪に巻き込まれるのか分からないという状況を強要されているという状態です。

実際に店舗を利用してサービスを受ける際には、店員の対応や店舗の清掃などを確認して、その組織のサービスレベルの品質というものをある程度は推察することができます

しかし、ネットでサービスを受ける場合にはこうした対応から組織の成熟度やサービス品質を推察することが困難です。これといって有効な解決策があるわけではないのですが、それでもやはり、一番大切なのは、そのウェブサイトが「情報セキュリティに対する基本的な考え方(情報セキュリティポリシー)を公開しているのか」「公開している内容はサービスに即していて、万が一事件や事故に巻き込まれてしまったときには、『情報セキュリティポリシーに即してしっかりと対応する義務がある』と言い返すことができるのか」を確認してからサービスを受けることではないかと思います。

ぜひ皆さんも、ネットでサービスを受けるときには、こうした視点で組織のセキュリティ対応能力を推察してからサービス提供会社を選択していただければと思います。

■犯罪者を助長させるサイトで事件に巻き込まれてしまったら
上述のとおり、複数サイトではそのサイトの運営組織とのやりとりだけですんだのですが、Biddersだけは対応を拒否されてしまったため、警察に出てきてもらうことにしました。

ネットで氏名を詐称されたときには、最寄の警察署の生活安全課に被害届を出しに行くことになります。そうすると「犯罪に使用するための物品の売買(携帯電話や銀行口座、各種拘束具)が行われている可能性」と「売買自身が違法である物品(児童ポルノ等)の取引の可能性」など、さまざまな観点から捜査をしてもらえます。

また、再発の可能性やサイトを運営している会社がどういう対策を取ろうとしているのかといった情報も得ることができます。

誠意のある対応をしてもらえない場合は、臆せずに地元の警察署に相談に行ってください!

« Docomoが3月決算なのは、日本人の常識? | トップページ | 司法試験は簡単 »

反面教師から学ぼう」カテゴリの記事