2019年の個人情報漏洩・紛失事故の傾向

東京商工リサーチによると、2019年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは66社、事故件数は86件、漏洩した個人情報は903万1734人分に達したそうです。2019年は個人情報100万件以上が漏洩した大型事故が2件発生し、流通大手セブン＆アイ・ホールディングスが導入した決済サービス「７pay（セブンペイ）」が、不正利用でサービス廃止に追い込まれ、セキュリティ対策の重要性が改めてクローズアップされた1年でした。

宅ふぁいる便の場合

大阪ガスの100％子会社であるオージス総研が展開していたファイル転送サービス「宅ふぁいる便」において2019年1月22日、サーバー内に不審なファイルが発見されたことから情報漏洩が発覚しました。追加調査で不審なアクセスログも確認され、被害防止のため23日にはサービスを停止して第一報を発表し、25日に情報漏洩が確認されました。

漏洩件数は481万5399件（有料会員2万2569件：無料会員475万329件：退会者4万2501件）、漏洩内容は氏名、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名等でした。この漏洩件数は、2014年のベネッセで発覚した委託社員による顧客情報不正取得の個人情報3504万人分に次ぐ、史上2位の記録です。

以後、オージス総研ではセキュリティの点検・強化を行うと共に復旧を検討しましたが、システム再構築の見通しが立たず、2020年3月31日をもってサービスを終了することが、2020年1月14日に発表されました。

「宅ふぁいる便」に登録したメールアドレスとログインパスワード、これと同一のユーザーID（メールアドレス）、ログインパスワードを用いて他のウェブサービスを利用している場合には、漏洩情報を取得した第三者による当該ウェブサービスへの不正ログイン、いわゆる「なりすまし」によるアクセスが行われる恐れもあります。

トヨタモビリティ社の場合

トヨタ自動車の販売子会社であるトヨタモビリティ社が2019年3月21日にサイバー攻撃を受け、システム基盤が共通する関係販売企業合計8社が狙われ、ネットワークサーバーから個人情報最大310万件が流出した可能性があることが発表されました。幸い、クレジットカード情報については漏洩していないと発表されていることから、金銭的なトラブルに直接発展する可能性は少ないかもしれません。しかし、車を購入した顧客の情報ですから、名簿業者間では高値で取引されている可能性もあり、被害が及ばないとは限りません。

トヨタモビリティ社は、プライバシーマーク（Pマーク）を取得しているにも関わらず、このような個人情報漏洩の問題に発展したことから、今後のセキュリティ対策において重要な選択が迫られています。また、本件の個人情報漏洩は、今までのセキュリティ対策では防ぐことができないことを証明しているともいえます。プライバシーマーク（Pマーク）を取得したセキュリティ体制よりも、より高度なレベルの個人情報保護の管理体制を実現する必要があるでしょう。

このように、ベネッセの場合もそうでしたが、今後の個人情報保護の管理体制が十分ではないと判断された場合は、プライバシーマーク（Pマーク）の失効がありえます。プライバシーマーク（Pマーク）が失効した場合は、信用が失われてしまう恐れがあるので、大きな問題となります。

「７pay（セブンペイ）」の場合

セブン＆アイ・ホールディングスが導入した決済サービス「７pay」はサービスイン翌日の2019年7月2日、利用者より「身に覚えのない取引があった」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚しました。

即座にクレジットカードやデビットカードからのチャージを一時停止し、7月4日からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止することとなりました。

不正アクセスによる被害人数は808人で被害額は3861万5473円と発表され、不正アクセスの手口はリスト型攻撃の可能性が高いとされました。リスト型攻撃は、過去に他企業などからネット上に流出していたIDやパスワードを機械的に入力する方法で、少なくとも数千万回試みられ、ログインに成功した件数は、不正利用の被害に遭った808件を上回るといわれています。リスト型アカウントハッキングを防げなかった原因としては、複数端末からのログインに対する対策、2段階認証等の追加認証の検討が十分でなかったこと、システム全体の最適化を十分に検証できていなかったことなどがあげられています。

8月1日、セブン＆アイ・ホールディングスは都内で緊急会見を開き、「7pay」は9月30日24時をもって終了すると発表しました。サービス廃止に至った理由は以下の3つがあげられています。

• 7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること
• その間、サービスを継続するとすれば「利用（支払）のみ」、という不完全な形とせざるを得ないこと
• 当該サービスに関し、顧客が依然として不安を持っていること

セブン＆アイ・ホールディングスのネットセキュリティー意識の甘さ、グループ内の連携のまずさが次々に露呈し、異例の短期での撤退を迫られてしまった事件であり、流通大手のつまずきが、政府が旗を振るキャッシュレス決済への不安を招くこととなりました。

ユニクロの場合

2019年5月10日、ユニクロが運営するオンラインストアサイトにおいて、ユーザー本人以外の第三者による不正ログインが発生したことが確認されました。

4月23日から5月10日にかけて、リスト型攻撃の手法で行われて不正ログインされたアカウント数は、ユニクロ公式オンラインストア・ジーユー公式オンラインストアに登録のある46万1091件とされ、閲覧された可能性があるユーザーの個人情報は、氏名・住所（郵便番号、市区郡町村、番地、部屋番号）・電話番号、携帯電話番号・メールアドレス・性別、生年月日・購入履歴、マイサイズに登録している氏名およびサイズ・クレジットカード情報の一部（カード名義人、有効期限、クレジットカード番号の一部）でした。

不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しましたが、個人情報が閲覧された可能性のあるユーザーIDについては、5月13日にパスワードを無効化し、パスワード再設定依頼をメールで個別に連絡し、また本事案について警視庁に通報したとしています。

氏名・住所・電話番号、携帯電話番号・メールアドレス・生年月日のような基本的な個人情報だけでなく、購入履歴やマイサイズに登録している氏名およびサイズといったプライバシー情報が流出したところに特徴があり、不愉快であり、不安にもなる事例です。

神奈川県庁の場合

神奈川県庁で利用されていたHDD（ハードディスクドライブ）の転売により、個人情報を含む行政文書などの情報が流出したことが、2019年12月6日に判明しました。神奈川県とサーバーなどのリース契約を結んでいる富士通リースが2019年春にリースしているサーバーからHDDを取り外し、処分をリサイクル会社に委託したところ、同社の担当者がHDDの一部を持ち出して初期化されない状態でヤフオクで転売し、このうち9個を購入したIT企業経営の男性が中身を確認したところ、神奈川県の公文書と思われるデータを発見して新聞社に情報提供し、新聞社が県に確認して流出が判明したものです。

6日午前の県の発表によると持ち出されたHDDは計18個で、そのうち9個は回収済み、ほか9個も、その後回収されました。流出したのは個人名や企業名記載の納税通知書、法人名記載の税務調査後の通知、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿などの個人情報を含むデータで、持ち出されたHDDは1個当たり3TBの保存容量を有するため、18台分で最大で54TBのデータが流出した可能性があります。

神奈川県には、

• 行政文書などが格納されるファイルサーバについて、ハードウェアレベルの暗号化について十分検討せず、生データのまま格納する構成としたこと
• 重要情報が格納されている機器リース会社に返却する場合に初期化作業でデータを全て消去した後でリース会社がデータ消去作業を行うものとするとしているのに、その完了証明書等の交付は受けていないこと
• 担当者も把握していないリサイクル業者がリース機器引き取りを行っていること

等の初歩的なミスがあり、富士通リースには、

• 機器廃棄(リサイクル)について、リサイクル業者に丸投げしていたこと
• リース契約には、データが完全に消去されたことを示す証明書を県に提出することとなっていたが、証明書の発行をリサイクル業者に依頼していなかったこと

等の、やはり初歩的なミスがあったといえるでしょう。リサイクル業者については、論ずるまでもありません。

関与した3つの組織に共通するセキュリティに関する危機感の欠如と無責任な丸投げ体質が、このようなお粗末な結果を生んだのだと思えます。

その他の不正アクセスの場合

被害が大きく、広範囲に影響を及ぼす不正アクセスによる事故は年々増加しています。2019年には、東京商工リサーチが調査を開始して以来8年間での最多41件（32社）が発生したそうです。これは2019年の情報漏洩・紛失事故86件の半数近くで、漏洩・紛失件数は890万2078件で、2019年全体（903万1734件）の98.5％を占めました。上にあげた事例以外にも、2019年には、多くの不正アクセスが明らかになりましたが、以下のような事例等があります。

車用品販売会社の場合

2月26日、車用品を販売する株式会社ハセ・プロが運営するオンラインショップにて、サイトの脆弱性を悪用され、不正アクセスが発生しました。偽の決済画面が表示され、ユーザーが入力したクレジットカード情報が流出しました。

「歯学書ドットコム」の場合

3月25日、歯科専門出版のクインテッセンス出版株式会社が運営する「歯学書ドットコム」のウェブサーバーに不正アクセスが発生し、サイト利用者の個人情報が流出しました。クレジットカード決済を利用した顧客については、セキュリティコードを含むクレジットカード情報も漏洩し、その他、歯科求人サイトや日本国際歯科大会などの利用者の個人情報も含め、最大2万3000件の個人情報が漏洩しました。

「ななつ星Gallery」の場合

4月12日、九州旅客鉄道株式会社のクルーズトレイン「ななつ星in九州」の関連商品通信販売サイトである「ななつ星Gallery」において不正アクセスが発生し、顧客のクレジットカード情報を含む個人情報が流出しました。クレジットカード情報を登録した会員3086件においてはセキュリティコードも含まれている可能性があり、カード情報未登録の会員や、その他サイトを利用したユーザー情報など、5120件に関しても情報流出の可能性があると発表されました。

アンケートモニターサービス「アンとケイト」の場合

5月23日、株式会社マーケティングアプリケーションズが運営するアンケートモニターサービス「アンとケイト」にてサーバーの脆弱性を悪用した不正アクセスが発生しました。登録アカウント77万74件の個人情報が流出しましたが、メールアドレスや性別、職業、勤務先、銀行口座関連の情報等が含まれていたとのことです。

「ヤマダウエブコム・ヤマダモール」の場合

5月29日、株式会社ヤマダ電機が運営する「ヤマダウエブコム・ヤマダモール」にて不正アクセスが発生し、ペイメントアプリケーションが改ざんされ、期間中に登録された顧客情報最大3万7832件が流出しました。

イオンカードの場合

6月13日、イオンクレジットサービス株式会社のイオンカードにてパスワードリスト攻撃による不正ログインが発生しました。1917件のアカウントで不正ログインが行える状態であったと確認され、その内708件においては不正ログインが発生しており、総額約2200万円の不正利用被害が生じたと発表されました。攻撃者は公式サイトの「イオンスクエア」にパスワードリスト攻撃を仕掛けてユーザーアカウント情報を不正に入手し、公式アプリの登録情報変更機能を用いて別の連絡先に変更し、決済連動機能を通じて資金を利用したと見られています。

三井住友カード「Vpassアプリ」の場合

8月23日、三井住友カード株式会社は、会員向けスマートフォンアプリ「Vpassアプリ」において顧客のID情報最大1万6756件が不正侵入を受けた可能性があると発表しました。同社が定期的に実施しているモニタリング調査により不正アクセスが確認され、原因を調査したところ、約500万回のログイン試行のうち大部分が同サービスに登録されていないものだった点から、パスワードリスト型攻撃とされています。

みずほ銀行「J-Coin Pay」の場合

9月4日、株式会社みずほフィナンシャルグループ（みずほ銀行）は、サービス提供を行う「J-Coin Pay」の加盟店管理に関わるテスト用システムが不正アクセスを受け、Ｊコイン加盟店情報1万8469件が流出したと発表しました。

「10mois WEBSHOP」の場合

9月19日、有限会社フィセルのオンラインショップ「10mois WEBSHOP」に不正アクセスが発生し、顧客の個人情報10万8131件及びクレジットカード情報1万1913件が流出したと発表しました。クレジットカード情報にはセキュリティコードも含まれていました。

京都一の傳の公式ウェブサイトの場合

10月8日、西京漬などで知られる株式会社京都一の傳の公式ウェブサイトに不正アクセスが発生し、決済フォームが改ざんされました。セキュリティコードを含むクレジットカード情報1万8855件、会員情報・発送履歴など7万2738件が流出しました。

「象印でショッピング」の場合

12月5日、象印マホービン株式会社が運営する「象印でショッピング」に対し不正アクセスが発生し、顧客情報最大28万52件が流出した可能性があると発表されました。不正アクセスの原因はサイト内の脆弱性と見られており、同社は12月4日以降、ショッピングサイトを公開停止しています。

電子小説サービス「ノベルバ」の場合

12月25日、株式会社ビーグリーが運営する電子小説サービス「ノベルバ」に対して不正アクセスが発生し、登録者のメールアドレスを含む個人情報3万3715件が流出しました。また、報酬プログラムに登録していたユーザー76件については口座情報も流出した可能性があり、二次被害の可能性があります。

まとめ

情報漏洩・紛失を防ぐための適切な対策が、個人情報を取り扱う全ての団体・企業で重要課題となっています。特に、上場企業に比べ資金、人的リソースが乏しいスモールビジネスでは、漏洩事故は経営に致命的なダメージを与えかねません。セキュリティ対策や情報管理の体制づくりへの対応が必須です。ビッグデータの利活用などを背景に、個人情報はより重要性を増しています。同時に高度化し、巧妙化する不正アクセス等へのセキュリティ対策と厳格な情報管理は、リスクマネジメントの重要な前提になっています。