NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる

先週の情報漏洩ですが件数もさることながら、漏洩情報の属性が気になるところです。

NTT西子会社の“顧客情報900万件持ち出し”、自治体なども被害に 影響範囲まとめ

NTT西日本グループのNTTマーケティングアクトProCX(大阪市)で、委託先の元派遣社員による情報の持ち出しがあった件を巡り、さまざまな企業や自治体が影響を受けた旨を発表している。NTTマーケティングアクトProCXによれば、10月17日時点で最低でも59の企業・自治体の顧客情報約900万件が不正に持ち出されたことが分かっているという

9年くらい前になりますが、ベネッセの情報漏洩事件を思い出します。

過去ブログ:
ベネッセの顧客情報漏洩に思う「大きな勘違い」
ベネッセの思う「重要でない情報」を7つのケースで考える

10年って長期にわたる持ち出し

今回の漏洩、10年もの期間にわたって行われていたというのは、ベネッセ事件があった9年前、すでに持ち出し進行中だったわけで…持ち出す方も、管理する側も、ザルだったとしか言いようがありません。

結局は、どれだけ世間を騒がすことが起きても、管理する側、される側、どちらも他人事なのでしょうね。本当に残念ですよ。「情報を預かる責任ってなんですか?」と是非聞いてみたいです。

900万件という単位は、量り売りじゃない

これ過去に何度も書いてますが「1人の様々な属性の情報」って肉じゃないのだから、グラム単価的な1人いくらにならないですよ。と言っても、情報を売る側、情報を買う側に取っては、単なる単位でしかないです。

結局は、雑に取得した情報を雑に扱い売りさばく、ここで1人の単価が高いか安いか?業者価格は知りませんが、属性と鮮度や流通量によって、10円程度?100円?どっちでもいいです。

ここで金額の目安は見えてくるのでしょうが、1人1人の大切な情報が「百とか千とか万の単位に変わって束にまとまっただけ」です。漏洩した本人も「特定の属性で自分の情報」含まれていれば持ち出し候補から外すでしょうね。今まで見てき人達はその程度です。

今回の気になるのは属性

そもそもマーケティング目的で使っていた情報は、属性が絞られています。東京都に住む全住民情報とか、大規模スーパーのポイントカード情報など、ざっくりし過ぎているものとは違います。

特定の商品購入者、ネット回線申し込み者、奨学金相談センター、BS無料視聴体験…

自治体の特定健康診断未受診者、自動車税納税情報、税金未納者情報、税金催告者情報…

もう充分です。

本来このデータは、正しい目的をもった使い方をするための情報ですが「その方向が逆に向いた場合どうなるでしょうか?」善悪的な考え方で行けば、悪の方向へ向いた場合は?ってことです。

商品購入者なら似たようなものを勧められるだけでなく、そのネタをきっかけに別な話に展開することも出来ます。創造力を働かせれば無限に広がります。

金貸しますよ!みたいなのもいけるでしょうし、特定健康診断未受診者なら、なぜ未受診か?と。忙しいのか、行きたくないのか…ここでも創造力働かせ「その方向が逆に向いた場合…」となったら、どうなるでしょうか?

属性とはこういうものです。

一次的な直接的な使い方よりも、二次的三次的に繋がる使い方や、そのネタとして…色々見えてきます。そんな事件が既に起きているのはご存じの通りです。

そういう情報を漏らしたという認識と責任は、漏らした側、管理する側、にあるのでしょうか?

これどの企業にも当てはまることです。預かり管理する責任、今一度見直されてください。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。