韓国情報保護振興院(KISA)は、Googleなどの検索エンジンにより、インターネット上に個人情報が流出することを防止するため「ホームページにおける個人情報の流出原因と対応方法」と題した冊子を配布すると発表した。

KISAと情報通信省は、韓国の国民全員に与えられる住民登録番号の流出についての実態調査を今年2月から4月にかけて共同で行っている。この調査結果によると、流出していた個人情報のうち、30~40%はWebサイトの管理者用ページから流出していたという。この個人情報の中には住民登録番号だけでなく、銀行口座番号や医療記録などの情報も含まれていた。

つまり、多くのWebサイトの管理人が検索エンジンに対する配慮なしにWebサイトを構築しているため、個人情報が流出する構造になってしまっているようだ。例えば個人情報が掲載された管理者用ページを見るためには、パスワードを入力するなどして認証を行うような構造にした場合でも、情報が流出する危険性は十分ある。このWebサイト内ではパスワードで管理者用ページを保護したつもりでも、肝心の下位のページのURLなどが外部にリンクされたりしていれば、無数のURLを収集し、これらのリンクをたどるシステムを持つ検索エンジンの網に引っ掛かってしまうからだ。

今回制作された冊子では、個人情報流出の原因を、

  • 認証ページだけ保護して下位ページは開放状態にある「認証方法の誤りによる露出」
  • サーバではなくクライアント側で認証処理を行う「クライアント側でのスクリプト認証による露出」
  • ディレクトリリスティングが丸見えとなる「ディレクトリリスティングによる露出」
  • 検索エンジンに関する対処が適切でない「検索排除の未適用による流出」

の4つに分けている。これはKISAが個人情報流出調査の結果を分析し、割り出したものである。そうした上で、それぞれに対応する方法を紹介している。

KISAでは、この冊子をホスティング業者や教育機関、今回の調査から個人情報が流出していると判明した業者などに配布する予定である。