サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

セディナ個人情報漏洩事件から考える<内部犯行が企業に与えるダメージの大きさ>



cedyna

情報漏洩事件の中でも、漏洩した情報の数の多さが際立つ事件となったのが2011年に起きたセディナの個人情報漏洩事件です。

三井住友フィナンシャルグループという大企業の傘下であるクレジットカード会社セディナから情報が漏洩したという事もあり、また世間的に認知度の高い会社であった為、メディア等でも大きく取り上げられ、世間の関心度は高かったといえるでしょう。

古くはYahoo! BBやジャパネットたかたなど、2004年頃から件数が増加している「情報漏洩事件」ですが、ハッカーやウィルスによる外部攻撃に比べ、故意・過失による内部犯行の方が漏洩件数を始めとする実質的被害、また社会的な信頼失墜などの二次的被害共に規模が大きいのです。

ですので、企業にとって意味のあるサイバーセキュリティ対策とは、外部のみではなく内部に対しても一定の不信感を持った姿勢が必要となります。

今回は、セディナの情報漏洩事件を基に、企業が講じておくべき内部対策について考えてみたいと思います。

事件概要

2011年8月16日、セディナは前身であるオーエムシー(OMC)カード利用者15万8248人分の情報が委託業者の従業員によって不正に持ち出され、さらに転売された可能性がある事を発表しました。

転売した従業員のいる委託業者とは、セディナの運営する保険代理店の委託業務を行っていた業者であったとされています。

持ち出された情報

・利用者の氏名
・生年月日
・住所
・電話番号

漏洩後何が起こったか

事件発覚直後、セディナは該当委託業者との契約を打ち切り、当局及び警察への報告を行っています。
(ちなみに、事件当初から現在に至るまで契約業者名事態は発表されていません)

利用者に対しては情報漏洩についての報告と謝罪、また現在でもセディナのHP上では本件に関するお客様お問い合わせ窓口を開設し対応に当たっています。

現在のところ、本件に関連しての不正使用等は確認されていないとのことですが、この様な情報漏洩により誘発される二次的被害に関しては因果関係が立証しにくい問題ですので、不正使用の事実確認に時間を有するケースも考えられます。

また、現在においても情報が売却された事実確認や経緯確認は調査中とされています。

なぜ情報漏洩が起こってしまったのか

今回の漏洩事件の原因は、悪意ある人間が情報を入手し転売してしまった事にありますが、大前提として委託先の従業員が膨大な個人情報を扱える、あるいは抜き取れる状況にあった点が根本的な原因と言えます。一度転売された情報は、組織が利用する情報網から完全に消し去る事はほぼ不可能です。

加えて二次被害が起きた場合にも、今回の情報漏洩との因果関係を立証する事が難しく、補償等が認められにくい点も問題として挙げられます。

つまり利用者が二次被害を被った際には、情報漏洩元を立証できない限り、被害者自身で解決しなければならないということです。

セディナは、情報を不正に持ち出され悪用された被害者でもありますが、一方で適切に情報管理を行っていなかった加害者でもあります。委託先従業員が個人情報にアクセス可能という、杜撰なシステム運用を良しとしていた企業体制に大きな問題点があったと言えます。

内部犯行に対し企業が行うべき対策とは

セディナでは、この事件を機に情報管理の徹底を強化していくとのことでしたが、その後2014年にヒューマンエラーによる情報漏洩を起こしています。

2011年の事件後セディナではセキュリティ対策が徹底されたはずではありますが、数年後には新たな対策が必要な事象が起こってしまったという事です。

業務を効率的に進めるために行われる関連企業間での情報共有が、機密情報へ接続可能な人・端末を増加させ、管理方法が煩雑化している現代。セキュリティ対策の手法も、日々変化していくことが必要なのです。

内部への一定の不信感も必要

アクセス制御

また、対策を考える上では内部への一定の不信感は必要不可欠です。

性善説でサイバーセキュリティを考える事は非常に危険な姿勢であり、企業にとって有益性は何もありません。

内部対策として多く用いられるものがアクセス制御ですが、これは従業員側の不正への関与を否定する為にも有効だと言えます。

アクセス制御に関しては、正当な権限を持つユーザーのみを認証し、さらに役職によってアクセスできる情報を個別に制御するなどの段階的な構造を取るべきです。

さらに”アクセスされた情報そのものがどの様に操作されているか”に関しても監視する事で、大量にデータが移動される等の不審な行動を検知し漏洩防止に役立つと言えます。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。