HISで個人情報流出・・・個人情報は流出する前提で考えるべし

HISで1万人を超える個人情報が流出しました。

流出原因は、このサイトをリニューアルした際、旧サイトの申し込み済み顧客の予約データを誤って公開領域に保存していたことだという。第三者が外部からこのデータに不正アクセスしており、圧縮ファイルがダウンロードされていた痕跡が見つかった。情報流出は8月17日に同社が契約しているセキュリティ技術者の指摘で発覚。このサイトに関する情報が外部サイトに記述されていたという。

同社は21日までに警視庁新宿警察署へ相談するとともに、観光庁や個人情報保護委員会、日本旅行業協会、日本情報経済社会推進協会に事態を報告した。情報が流出したツアーの代表者にもメールで連絡している。

問題の起きたウェブサイトは、他のオンライン予約サイトとは分離して運営されているといい、同社では不正アクセスによる影響はないと説明。今後は第三者専門機関によるセキュリティ診断などチェック強化や内部チェック体制の厳格化、システム開発管理体制の強化と情報セキュリティリテラシー向上のための情報システム部門スタッフへの教育研修体制を実施して、再発防止に努めるという。

HISで約1万2000人分の個人情報流出、圧縮ファイルで外部転送か

なぜ、HISで個人情報が流出したのか？

国内バスツアーサイトのサイトリニューアルをした際、サイト上の公開領域に、顧客データが保存されていた模様です。で、顧客データが、外部から閲覧できる状態だったということです。

HISの社内の人間のエラーなのか、外部のウェブ制作会社やシステム運用会社のエラーなのかは、公表されていないので分かりません。

人間が作ってるシステムなので、どうしてもミスはあると思いますが、これはひどくね？個人情報をサーバの公開領域に保存しておくとか、ウェブサイトやシステムのことを理解している人間ならば、絶対にやっちゃいけないことですから。

どのようなヒューマンエラーなのか、真相のところはよく分かりません。でもね、個人情報の管理は、ダブルチェックは当たり前で、トリプルチェックできちんと対応するべきところだと思いますけどね。

顧客情報流出の窓口

HISでは、2017年10月末までの期間、顧客情報流出の窓口を開設しています。

• HISの相談窓口　0120-447-583　10:00〜18:30

JTBでも個人情報流出がありました

2016年6月に、JTBが793万人の個人情報を流出するという事件がありました。

JTBの個人情報流出は、今回のHISの流出方法とは異なります。標的型攻撃メールを開いてしまったことにより、PCがウィルスに感染し個人情報が外部に流出してしまったのです。

JTBが個人情報流出・・なぜメールを開いてしまうのか？

JTBで最大793万人の個人情報が流出したようです。 旅行を予約する場合、住所や電話以外にパスポート番号などを入力しないと、予約できないシステムになっているので、もっとしっかり顧客情報を管理してよって思いますけどね。もう最悪です。JTBは情...

ischool.co.jp

2016.06.15

標的型攻撃メールによる被害

添付ファイルからウィルスに感染することで、以下の被害が起きます。

• 感染したPCを通じて、組織のネットワーク内の情報を外部に送信する
• 外部への送信ポートを勝手に開く
• 感染したPCが踏み台となって、組織のネットワークやシステムの基幹部分を操作する踏み台になる

今回のJTBのケースは、一番上の「感染したPCを通じて、組織のネットワーク内の情報を外部に送信する」が該当します。

インターネットの普及で、生活は便利になった

インターネットの普及によって、僕達の生活は大きく変わりましたよね？とにかく便利になりました。

欲しいものを検索できるし、検索した商品をすぐに購入することもできます。

家電、PC、日用品、書籍、洋服などはECサイトから購入できるようになったし、旅行だってネットから予約できます。飲食店もネットで予約できるし、美容室もネット予約ができます。

購入したり、予約の度に、個人情報やクレジットカード情報を入力するのは面倒じゃないですか？なので、Amazonやリクルートなどの大手プラットフォームは、会員登録させて、個人情報やクレジットカード情報を紐付けておき、ログインすれば、自動的に決済が完了する仕組みを作っています。

日本の企業では個人情報の流出が何度もある

日本の企業の場合、会員情報と個人情報がリンクすると、必ずといっていいほど個人情報が流出しているんだよね。

例えば、Yahooや楽天では、過去に何度か個人情報が流出したことがあります。
また、ネット通販業者が、顧客情報を流出させるという事件は、よくニュースになっています。今年の6月には、メルカリでも個人情報が流出しています。

このブログでも、過去に何度か、個人情報流出についての記事を書きました。

資生堂の子会社「イプサ」で顧客情報流出・・・クレジットカードが流出したらどう対応する？

資生堂の子会社のイプサの公式サイトに、不正アクセスがあり、クレジットカード情報を含む顧客情報が流出しました。 クレジットカード情報が流出するのは、マジで怖いですよね？ 資生堂は２日、化粧品子会社のイプサ（東京・港）の通販サイトに外部から不正...

ischool.co.jp

2016.12.03

メルカリが個人情報を流出・・・メルカリのセキュリティは大丈夫なのか？

メルカリで54,180名の個人情報が流出しました。 流出した内訳はこんな感じ↓ 名前・住所・メールアドレス・電話番号・・・459名 銀行口座情報、クレジットカードの下4桁と有効期限・・・1855名 購入・出品履歴・・・22458名 ポイント...

ischool.co.jp

2017.06.23

Google・Apple・Amazonの強固なセキュリティを真似るべし

個人情報の管理をしっかりやっているのは、Google・Apple・Amazonだけのような気がします。

すでに、上記の3社には、名前・住所・電話番号・クレジットカード番号などの個人情報を預けている方が多いはずです。

Androidを使うにはGoogleアカウントが必須だし、iOSを使うにはApple IDが必要だし、ネットショッピングするユーザーなら、Amazonのアカウントを持っていない方を探すほうが難しいでしょう。

日本のIT企業は、Google・Apple・Amazonの強固なセキュリティを真似るべきだよね。

まとめ

日本企業は、Google・Apple・Amazonと比較すると、セキュリティへの意識が低いです。

なので、日本国内でECをしたり、ネット上で旅行を予約したりする場合、個人情報は流出することが前提で付き合う必要がありますね。

もっとセキュリティにコストを掛けて、個人情報が流出しない仕組みを作って欲しいよね。