これまで発生した情報漏えい事件を見ると、事後対策のまずさが目立つものも少なくありません。起こってしまってから対策を考えていては間に合わないのです。ここでは、情報漏えいの事後対策として、もし自社で情報流出事故が発生してしまった場合、どのような対応をとるべきかを説明しておきましょう。

もはや情報漏えいは他人事ではありません。この1年間でも、重大かつ深刻な情報流出事件が起こっています。ここでは実際に起きた事件を例に、そこで何が起きていたのかを見ていきたいと思います。

約10万件のカード情報が流出(2008年4月)

音楽機器の通信販売を行っている株式会社サウンドハウス(千葉県成田市)は、2008年4月3日に、自社のWebサイトからカード情報を含む顧客の個人情報が流出したと発表しました。流出したのは、同社の顧客約10万人で、氏名、性別、生年月日、同社サイトのログインID・パスワード、クレジットカードの番号・カード名義・カード有効期限だそうです。

主に中国からのものと考えられるIPアドレスからSQLインジェクション攻撃(※)が行われ、流出したカード情報が実際に使用されてしまいました。このことがクレジットカード会社から同社に伝わり、事態が判明したのです。

※SQLインジェクション攻撃は、ユーザーにIDやパスワード、検索文字列などを入力させ、それをキーとしてデータベースで検索して結果を表示させるようなWebサイトに対し、入力フォームに不正な文字列を流し込んでデータベースから情報を抜き出したり、データベースの内容を書き換えたりするものです。ウイルス感染につながるWebサイトへのリンクをサイト上に埋め込まれてしまうケースが増えていますが、商用のWebサービスで入力フォームを持たないものはほとんどありませんので、多くのWebサイトがこの攻撃のターゲットとなる可能性があります。

同社では即刻Webサイトでのクレジットカード決済を中止して情報セキュリティの専門会社に調査を依頼し、事態の収拾にあたることとなりました。

それから約1ヵ月後、同社の社長は、事件発覚からその時点までに発生した出来事を詳細に時間単位で記した手記をWebで発表しました。そこでは、事件後のクレジットカード会社とのやり取りにおける同社との衝突が生々しく描かれています。

同社は今回の事態に際して、ログ解析に400万円、セキュリティ対策に2,500万円弱をかけ、さらに追加のコストをかけてクレジットカード会社が指定するセキュリティ監査を受けたようですが、いまだにクレジットカードの利用は許可されていないとのことです。

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ情報セキュリティの担当者は、一度目を通しておくことをお勧めします

執筆者プロフィール

中康二(Koji Naka)
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など

『出典:システム開発ジャーナル Vol.9(2009年3月発刊)
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。