2012年ウィルゲートが起こした約1万1,500件の顧客情報漏洩事件について|サイバーセキュリティ.com

2012年ウィルゲートが起こした約1万1,500件の顧客情報漏洩事件について



2012年、インターネット関連会社である株式会社ウィルゲートが、メーリングリストに誤って無関係のメールアドレスを追加。その結果、当アドレスを経由して大規模な情報漏洩を行ってしまった事件です。

個人情報の中には、機微情報が含まれており、大きな波紋を呼ぶこととなりました。今回は、この事件についてまとめます。

事件概要

2012年10月1日 ウィルゲート内で社内業務用に運用されていたメーリングリストに、無関係のメールアドレスが混入。結果としてウィルゲートが保有する顧客の個人情報約1万1,493件が、外部に流出。
2012年10月20日 ウィルゲードが情報漏洩の事実を公表。
2012年10月21日 ウィルゲートは顧客情報の大部分を占める、同社が運営するサービス「保険ゲート」のサービス提供を停止。
2012年10月24日 ウィルゲートが社内のメーリングリスト及びPCのログインパスワードの運用をルール化を発表。
2012年11月6日 JUAS(一般社団法人日本情報システム・ユーザー協会)がウィルゲート事件を受けて、ウィルゲート側に個人情報管理に対する改善勧告を実施。

流出した情報

ウィルゲート事件で流出した情報は、同社が運営する個人向け保険案内サービス「保険ゲート」に登録した約1万1,493件。

情報項目には「氏名や住所電話番号やメールアドレス」などの基本的な情報の他に、センシティブ情報とも呼ばれる機微情報項目である「年収、病歴や服薬歴、配偶者の氏名」などが含まれていました。

原因(問題点)

本件の問題点は複数挙げられますが、根本的な部分はいずれも「個人情報に対する認識の甘さ」が原因です。具体的な問題点は以下の通り。

  • センシティブ情報を含めた個人顧客の情報を、暗号化することなく日常的にメールで送受信していたこと。セキュリティ的に脆弱な体制であったことが伺える。
  • メーリングリストにアドレスを追加できるのは、外部の人間などではなく、権限を持つメンバーのみ。つまり、不正アクセスなどとは異なり、従業員のヒューマンエラー。
  • 情報漏洩が起きた事は1日に把握できたはずなのに、発表は19日後の20日。この体制の甘さは被害者より痛烈な批判を浴びた。

情報セキュリティ意識の欠如

本件はサイバーセキュリティ問題でよく取り挙げられる、「不正アクセス」によるトラブルではありません。あくまでウィルゲート内の従業員の1人が、誤ってメーリングリストに無関係のアドレスを混入させたことが、直接の原因です。

従って、第一義的に取るべき対策は、社内システムの運用の見直し及び、従業員の個人情報に対する意識教育に集約されます。社内全体で個人情報の取り扱いに対する認識が甘かったことは、暗号化処理も行わず日常的にメールを経由してやり取りしていたことから明らかです。個人情報の取り扱いは限られたを限られた人員に限定し、情報管理体制を根本的な部分から見直すべきでしょう。

ウィルゲートは仮にもプライバシーマークを取得した企業であり、このような杜撰な管理体制を取り続けることは、社会通念上、到底容認できるものではありません。

また、社内にこのようなリスクに対して目を向ける人材がいれば、漏洩事件発生の前に、事態の発生を防ぐことができたと考えます。各従業員が個人情報を取り扱うことの重大性を認識していれば、今回のようなオペレーションミスも激減するでしょう。

事態の発生を素早く報告し、誠実に謝罪すべき

少し論点がズレますが、ウィルゲートは不祥事に対する企業対応の甘さも認識すべきと考えます。事件発覚からおよそ20日も経過してから事実を公表する行いは、多くの顧客から不信感を買うきっかけとなりました。

昨今のSNSの爆発的な広がりに伴い、不祥事に対する対応姿勢の是非は、より重要性を増しています。企業は情報漏洩の事実が確認できた時点で即座に事実を公表し、謝罪する体制を見せる必要があるでしょう。

ウィルゲートが行うべきだった対応とは

結論として、今回のウィルゲートのような情報漏洩に対しては、下記のような対応が望ましいと考えます。

  • 個人情報を暗号化されていないメールでやり取りするなど、セキュリティ上問題のある方法で取り扱わない。
  • 社内端末のセキュリティを強化し、個人情報を閲覧する人員は必要のある者に限定する。
  • 従業員全体のセキュリティ及びコンプライアンス意識を向上するため、研修やセミナーを実施する。

個人情報の漏洩が企業に与えるダメージは、時として計り知れない規模となります顧客情報の取り扱いを軽視することなく、より厳重に管理すべき事案です。

また、個人情報の取り扱いは、従業員全体の認識がなければなりません。その意味でも、従業員教育の重要性は、事故発生を防ぐ根本的な対策の1つです。


SNSでもご購読できます。