「個人情報流出の可能性」発表から学ぶこと

　2016年6月14日、大手旅行代理店から「個人情報流出の可能性」について発表されました。約793万人（発表当初）が対象の可能性があるとのことで、社会的にも大きな影響を与えました。

約2年前にも、「大規模情報漏洩事件の教訓」として大手教育事業会社からの個人情報漏洩事件についてコラムを執筆いたしましたが、その後も情報漏洩事件は多く発生しています。
　今回の事件についても、当初発表から約1か月を経て事件の概要も分かってきましたので、そこから学ぶべきことについて整理したいと思います。

　まず本事件について、発表された内容等から時系列で簡単にまとめます。

・3/15　標的型攻撃メールの添付ファイルを実行し社内の端末がウイルス感染。
・3/19～24　不審な通信を検知　→不審な通信の遮断・調査
・4/1　「外部からの不正侵入者が3/21に作成して削除したデータファイル」の存在を確認。
・5/13　データファイルの復元と不正なアクセスの調査・分析・対応を継続した結果、復元したデータファイルに個人情報が含まれることが確認され個人情報流出の可能性があることが判明
・6/14　個人情報流出の可能性を発表

　以上が本事件の概要です。

　このなかで、どこに問題があり、どのようなことを学ぶべきでしょうか。

１）ウイルス感染への対応

　発端となった標的型攻撃メールによるウイルス感染についてですが、社内では疑似的な標的型メールでのトレーニングや教育を実施していたようです。必要な対応を実施しても、巧妙な標的型攻撃メールを排除しきれない、と認識すべきでしょう。
　継続的なトレーニング、教育を実施するのはもちろんですが、それでも防ぎきれない、という想定で、感染時の報告ルールの明確化等、対応を準備しておく必要があります。

２）対応策の定期的な見直し

　不審な通信を検知し、遮断した点についても課題があります。
不審な通信を検知する術がないWebサイトもありますが、本件では大量の個人情報を扱う旅行予約サイトということもあり、通信監視については対応していたようです。
　但し、グループ内のWebサイトも含めると、遮断するまでに時間を要していました。また、通信ログの一部欠落もありました。
　データを共有しているグループ企業間での情報連携フローや、ログ取得設定の見直しなど、改善すべき課題が浮き彫りになりました。
　現在行っている対策について、最適になっているか、網羅的になっているか、を定期的に再確認すべきということをあらためて認識しましょう。

３）発表の時期

　最後に、一連の動きでの大きな問題点として5/13の個人情報流出の可能性発覚から、6/14の発表まで、1か月もの期間を要した点が挙げられます。　
　詳細状況が調査継続中だったことや、企業イメージや補償問題など大きな損害が想定されることなどから、流出の事実が確定するまで発表しにくい、という要素もあったでしょう。
　しかし、不審な通信と、個人情報を含むデータファイルが作成されていた、という事実が判明した時点で発表すべきだったと考えます。発表について、事前に適切な基準、時期を定めておくことで、問題発生時の判断の助けになります。

　以上のようなことに留意し、有事に備えることが求められます。

　旅行業界においては、本件に限らず情報流出事案が相次いで発生していることを受け、観光庁に「旅行業界情報流出事案検討会」が設置されました。
　第１回「旅行業界情報流出事案検討会」が7/8に開催され、各社の報告書検証、論点の整理がされたようです。
　今後、「旅行業界情報流出事案検討会」では問題点の検証及び再発防止策のとりまとめがされていく予定です。このなかで、適切な発表時期の指針なども検討されることが期待されます。旅行業界に限らず、ひろく参考となる内容が含まれると期待し、この検討会の動向も注視したいと思います。

関連サービス

• システムアドバイザリーサービス
• システム監査
• ITインフラクリニック