EU一般データ保護規則(GDPR)施行から1ヶ月で気になった2件の漏洩
EU一般データ保護規則(GDPR:General Data Protection Regulation)が2018年5月25日から施行されました。関連する組織においては、ここ数年対応に追われていたと思います。本来は施行前までにほぼ対策が見えている(終わっている)はずですが、個人的な体感ではそうでもなかったように思います。
逆に施行後この1ヶ月、問い合わせが増えてきました。業態や規模によって全然認識が違いますが、どうもマズイらしい。。。ということのようです。何もしないよりは、追い掛けの駆け込み対応でもいいと思います。本来対応しなければならないはずの「何もしてない組織」よりはプラス方向でリスク軽減に向かっている事だけは間違いありません。
その1
個人情報など3億4,000万件、米企業から流出──データ収集をめぐるルール不足が浮き彫りに
米国のマーケティング企業が保有している3億4,000万件のデータが公開サーヴァー上に置かれ、誰でも外部から閲覧できる状態になっていたことが明らかになった。このうち個人情報は2億3,000万人分で、連絡先や婚姻状況、犯罪歴といった公的データに加え、宗教、趣味、ペットの情報など400以上のマーケティングデータが含まれていたという。
これ漏洩件数も莫大ですが、その中身もセンシティブです。公的データをこんな束で、どのように収集したのか? その源泉はどこにあるのか?と。。。どう考えても、かなりのヤバイレベルです。
今までの漏洩事件でも、管理が杜撰でデータ丸見えは多くありましたが、ここまでセンシティブで莫大な漏洩は記憶にありません。そのデータがネット上の誰にでもみることが出来る場所に置かれていたようで、データのサイズは2テラ。2テラは「文庫本(100メガ/冊)が20,000冊」または「動画なら(100メガ/分)が332時間(19,920分」の量になるようです。TeraCLOUDより
※ この漏洩データは米国内だけのものか?
⇒ EEA欧州経済領域内のデータであれば、GDPRに100%以上觝触する
居住地に関係なく、これだけのセンシティブ情報を含むデータが漏れればもう充分なのですが。。。GDPRの觝触も気になります。
あとこのデータ、既に複数ダウンロードされ、アングラマーケットで流通していることでしょう。こういう管理で、誰でも見ることができたデータは雑に扱われます。限定な?(プレミアム)漏洩データで厳密に管理され小出しに使われているならば(ほぼないですが)多少は雑になるまで時間はかかりますが、一気に「いつでも、どこでも、だれにでも」なユビキタス調(死語?)な状態であると、2テラの情報価値は低くなります。本来はセンシティブで貴重な価値ある情報ですが、そのデータが流通過多になれば、売買価格も投げ売り状態になっていきます。
で、どう雑に扱われるかと言えば、例えば価値ある流通量が少ない状態のデータが1000円/人とすれば、対 20円/人のような時の扱われ方になると比較すれば簡単です。情報は中身でなく、量で計られる。じっくり活用するデータとはならず、数を打っていく、ダメなら次々に変えて行く…安価で大量になると…そもそも漏洩データですし…という雑な考え方になっていきます。
しかし、このニュースあまり話題になってません。何故だろう?
その2
ファストブッキングサーバーへの不正アクセスによる 個人情報および暗号化されたクレジットカード情報の流出について
2018年6月15日の不正アクセスにより流出した国内380の宿泊施設*の暗号化されていない個人情報(事象①):
- お客様の氏名および国籍
- 電話番号、住所、メールアドレス
- 予約金額、予約番号、予約ホテル名
- チェックイン日、チェックアウト日
*住所は予約時にお客様に住所を入力いただかない場合は住所を除く
2018年6月17日の不正アクセスにより流出した国内189の宿泊施設*の暗号化された情報(事象②):
- クレジットカード名義人氏名
- クレジットカード番号
- クレジットカード有効期限
*うち168施設は事象①、②いずれにも該当
フランスのホテル予約サイトFastbookingが不正アクセスを受け、日本国内の宿泊施設に予約した顧客に関するデータの漏洩です。計算すると32万5717件あります。
それなりの規模で漏洩があったのですが、ほとんどニュースになってません。漏れた情報が外国人のデータだから? 海外の予約サイトだから? でも国内の宿泊施設ですよ。
国内宿泊施設で日本人の個人情報なら、きっと大きなニュースになっていたと…両方揃わなきゃダメなのか? と思いつつ漏洩が起きたのは委託先の予約サイトで、国内の宿泊施設側に直接アタックがあり漏れたものではない!ということでしょうか?
一番詳しいまとめサイト:ファストブッキングへの不正アクセスについてまとめてみた
⇒ 今回のデータ漏洩はFastbooking社が不正アクセスを受けて発生したもの
⇒ Fastbooking社から国内宿泊施設に情報移転される前でよかったね?でいいのか?
データの処理者であるFastbookingに対し、どの範囲まで処分が及ぶのか? 技術的対策、運用。。。などなど。 まだ事例がないからわかりませんが、今回のも大きな1つの事例になると思います。
逆に管理者となる各国内宿泊施設にはこの段階でどこまで責任が及ぶのだろうか?と。。。もしも、この段階で責任が及ぶなら、いくらでも相手先を嵌めることが出来てしまう。例えば物品ならば、触ってない(預かったり盗んでもない)ものは無くしようがない!ということ。今後触るものであっても今は違う、頑張ってもやりようがない、と言う考え方。逆に委託先の技術的対策、運用面。。。で問題がないようにチェックしていたのか? 継続的にし続けていたのか?。。。と切りのない無限責任のような考え方もあります。
まだ判断がないようなので、今後の動向が気になります。追い掛けてみたいです。
グローバルスタンダード?
全部が輸入された概念や骨組みでは日本に合わないものも多くあります。和食が合う身体に洋食ばかり入れてはバランスが崩れる。。。みたいなものです。単純にグローバルスタンダードだったとされるものを思い出しても、合わずに無くなったものも多いと思います。全部そのままで使う必要はありません。使い方間違っているかも知れません。はじめて洋式便器を見た人は、きっと和式のように前向きにアプローチしたと思います。これ笑えない話です、だって使い方知らなければそうなります。
個人情報保護法が2005年4月1日施行だったので、もう13年前くらいです。当時の記憶を辿ると「個人情報保護法」祭りのような盛り上がりを覚えています。当時は個人情報という認識が著しく低かったので、何もなかったところ(ゼロ地点)に見たこともないもの(祭り)が入ってきた感じです。
それでも今日まで情報セキュリティコンサルとして様々な漏洩事故、漏洩対策等の対応から、事故を起こした当事者の方や従業員の方々の教育研修などをしている中、それなりに意識の底上げはされてきていると実感しています。
しかし今回のGDPRに関しては、必要と思われる組織でも体感的に認識が低く感じてます。一般的な組織においては、ほぼ関心が無いのではないか?とさえ感じます。流れをみていると、今後の個人情報やプライバシー保護におけるスタンダードな基準になっていくと思います。EU関連に関係なくとも、今から対応をしておくことが、経営戦略において大きな優位性になることは間違いないと感じております。
参考書:
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。