Darwin LaganzonによるPixabayからの画像
ヤマト運輸が提供する、Web上で再配達依頼をしたり、配達状況を確認したりすることが出来る会員制のサービスに不正な侵入がなされ、3400件以上の個人情報が閲覧されたか若しくは流出した恐れがあるそうだ(BuzzFeed Japan「ヤマト運輸のサイト「クロネコメンバーズ」で不正ログイン判明 クレカ情報など流出の可能性」)。
記事では流出の恐れがある情報として、クロネコID、メールアドレス、利用の端末種別(パソコンまたは携帯・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)などを挙げている。ここにはあげられていないが、荷物の発送元などの情報が流失していれば、場合によってはどんなものが配達されたか、その人がどんな趣味趣向を持つ人なのかも推測できそうだ。クレジットカードの情報からその種の情報を辿ることもできるかもしれない。流通業者が提供するサービスからの情報流出の深刻度は、かなり高いのではないだろうか。
不正アクセスやデータ流出案件というのは枚挙に暇がない。先月末には、セブンイレブンが新たに導入したばかりのスマートフォン決済サービス・7Payで不正アクセスが多発した(BBC「セブンペイ、アプリにあっさり不正アクセス許す 5500万円被害」)。ホームセンター・コーナンが運営するサービス・コーナン Payでも不正アクセスが確認されたとして、7/24にサービスが一時停止される事態になっている(インターネットWatch「「コーナン Pay」サービス一時停止、不正ログインを確認」)。また、これまでにも仮想通貨の流出事案は複数発生しているが、7/12にも流出事案が発生している。仮想通貨交換業者・ビットポイントが不正アクセスを受け、総額35億円分にも及ぶ仮想通貨が流出したそうだ(ハフポスト/朝日新聞「ビットポイントから35億円相当の仮想通貨が流出」)。
直近だけでも複数の不正アクセス/データ流出事案が発生していることからも分かるように、人間が作る以上、完璧なシステムというのは絶対にありえない。人間とは不完全な存在であり、その人間がつくるのだからどんなシステムにも不備が生じる恐れがある。例えば、事故は起きないと言われていた原子力発電所だって「想定外」の津波によって事故が起きた。人間が完全な想定をすることが可能なら事故は起きなかっただろうが、そもそも人間が完全な想定をすることなど不可能だ。法律だって議論に議論を重ね(昨今の日本ではそれさえなされていないことも多いが、)定めた時点では凡そ不備はないという前提にあるが、必ず法の隙を突く者が現れる。
完璧に近いシステムや法を人間が作ることは可能だが、人間が完全無欠のシステムや法を作るのは不可能である。
冒頭で紹介したヤマト運輸の件では、不正アクセス対策としてパスワードの定期的な変更と、設定の際に
- 他のサービス使ったパスワードの使用は避ける
- 極力、過去に使ったことのないパスワードを使用する
- 第三者が容易に推測できるパスワードの使用は避ける
この手の話を読むたびに不思議に思うのは、
IDやパスワードの使い回しは危険であると啓蒙する一方で、マイナンバー等による情報の一元管理を推進しようと政府などが呼び掛けていることだ。リスク分散を考えれば、情報の一元管理なんてセオリーから外れている。マイナンバーで一元的に管理すれば、マイナンバーが流出すれば全ての情報が流出することにもなりかねない。しかも、前述のように人間が作る以上、どんなシステムにも不正アクセスを受ける、情報が流出する恐れはある。情報の一元管理を勧めようと言っている人達は、一体どんな話で整合性を説明するつもりだろうか。
データの不正利用で規模が大きかったのは、2018年3月に発覚したFacebookからのデータ流出事件で、この件では5000万人分以上のデータが不正に流用されていたとされている。また「Facebookは電話番号と顔認証機能の扱いでユーザーを欺いていた」なんて話もある。その件に関してFacebookは、5400億円もの制裁金を支払うことになったそうだ。
- 5000万人のユーザーデータを不正利用されたFacebookのザッカーバーグCEOが間違いを犯したと認める(Gigazine)
- Facebookは電話番号と顔認証機能の扱いでユーザーを欺いていたと連邦取引委員会が判断(Gigazine)
- Facebookが5400億円の制裁金支払いで連邦取引委員会と和解協定、プライバシー関連では過去最高額(Gigazine)
- Facebookの新たな仮想通貨「Libra」は一体どんなものなのか?(Gigazine)
- Facebookの仮想通貨Libra、どうやら米政府が待ったをかけそう…(ギズモードジャパン)
Gigazineは7/19に「ポルノサイトの閲覧履歴がGoogleやFacebookに追跡されている可能性があると専門家が警告」という記事を掲載した。内容は見出しの通りである。GoogleやFacebookなどがポルノサイトの閲覧履歴に限らず、様々なユーザー情報を追跡し蓄積しているのは最早周知の事実なので、この記事にもそれ程驚きはない。しかしポルノサイトの閲覧履歴に関する情報が追跡され蓄積されている事にはある種の懸念を感じる。GoogleやFacebookがそれらの情報を悪用するとは思えないが、Facebookには個人情報を不正に別の企業へ提供した前歴があるし、前述のようにそれらの情報が不正アクセスによって流出する恐れは確実にある。それらの情報が流出先で悪用される恐れがないとまでは決して言えない。
つまり、どんなデータにも流出の恐れが確実に存在するのだから、必要性のないデータを蓄積しないことこそが流出を防ぐ最も効果的な手段と言えるだろう。確かに些細なデータを蓄積したり情報を一元的に管理すれば、ユーザーにも利便性が向上するというメリットはある。しかしそのメリットが生まれる裏では確実にデメリットも生じている。些細な情報であってもセンシティブな情報を蓄積したり、情報を一元的に管理することは諸刃の剣だ。
企業や政府は、ユーザーや有権者・市民に対して都合よいことをより強調する傾向にあることを決して忘れてはならない。過剰に疑う必要はないが、過信すればほぼ間違いなく足下をすくわれことになるだろう。