セキュリティ対策は万全ですか？米銀大手キャピタルワンで起きた大規模な個人情報流出事件！

個人情報の流出は企業がもっとも気を付けるべき事柄の１つとして対策をされているにもかかわらず情報漏えい事件の報道が後を絶ちません。

このほどアメリカで1億人分という桁違いの個人情報流出事件が世間を騒がせました。このような事件は対岸の火事ではなく、実際に日本でも起こっている事件なのでより一層に注意が必要です。

本記事では、当該事件の概要をふまえ、セキュリティ対策をより万全にするためにおさえておきたいポイントについて解説していきます。

1 キャピタルワンで起きた個人情報流出事件とは？犯人は意外な人物
2 他人事ではない！日本でも多発する個人情報の流出事件
3 個人情報流出はいつどこで起きるかわからない！平時からの「入口対策」に加え「内部対策」と「出口対策」が何より重要

キャピタルワンで起きた個人情報流出事件とは？犯人は意外な人物

2019年7月、主にアメリカでクレジットカード事業や銀行事業などを展開する大手金融持株会社「キャピタルワン」で、大規模な個人情報の流出事件が起きました。

クレジットカード番号や申込情報などを中心として、なんと1億600万人分もの個人情報が外部へ流出した恐れがあるというのです。流出の可能性があるのは2005～2019年にかけてクレジットカードの申込をした人で、本人の氏名や住所、収入など基本的な情報のほか、社会保障番号や口座番号まで流出してしまった人もいました。

事件の規模の大きさはさすが大国といったところですが、それ以上に驚かされるのが、この個人情報流出を引き起こした不正アクセスがわずか2日間で行われたという点です。

しかも、不正アクセスがあったのが2019年3月22～23日であるのに対し、キャピタルワンがそれに気づいたのは7月になってからでした。実に4カ月近くもの間、キャピタルワンは不正アクセスどころか、自社の個人情報が流出していることにさえ気づいていなかったのです。

しかも、システムの脆弱性を指摘したのが自社のIT部門などではなく外部機関だったということですから、情報セキュリティ対策の甘さに厳しい目が向けられたのは言うまでもありません。これが企業としていかに不適切な事態か、簡単に想像できるでしょう。

すでに不正アクセスをした犯人は逮捕されましたが、その正体にまたも驚かされることになります。

キャピタルワンが利用していたクラウドサービス「Amazon Web Services（AWS）」の元エンジニアが不正アクセスを行っていたのです。AWSは世界最大級の通販サイトであるアマゾンが提供するサービスであり、利用している企業は世界中に数多く存在します。

不正アクセスを行った時点ではすでにアマゾンを退社していましたが、元従業員という立場の人間による個人情報の流出リスクを再認識させられる事例だといえるでしょう。

他人事ではない！日本でも多発する個人情報の流出事件

キャピタルワンほどの規模ではないにしろ、日本でも個人情報の流出事件は数多く発生しています。

たとえば、2019年6月には流通大手であるイオングループが運営するイオン銀行において、カード会員向けに提供されているサイトが不正アクセスを受けました。不正に入手したパスワードリストを利用した犯人が不正ログインを行い、登録情報やカード番号などを閲覧した可能性があります。これにより、カード会員1917件分の個人情報が流出した恐れがあるほか、合計で約2200万円分ものカード不正利用が発生してしまいました。

また、佐賀銀行では2016年に行員による個人情報流出事件が起きています。借金を抱えた行員がヤミ金融業者に対し、返済の一環として富裕層を中心とした顧客情報を提供したのです。幸い顧客宅に窃盗犯が入るなどの被害は確認されていないものの、顧客の生命にも危険が及びかねない深刻な事件となりました。

さらに、流出件数こそ少ないものの、社会に大きなインパクトを残した事件もあります。

2015年6月、りそな銀行に来店した有名アイドルに接客した行員が、その事実や手続き内容などを娘に暴露していたのです。その行員が家族とはいえ外部に個人情報を漏らしたのは、一件だけではありません。以前にも接客した複数の芸能人に対し、運転免許証を不正にコピーして自宅に持ち帰ったり、手続き内容を話したりしていました。しかも、娘はその内容をSNSに次々と投稿して個人情報を拡散し、社会から大きな非難を浴びたのです。その結果、りそな銀行も従業員教育や情報管理の甘さを公に謝罪する事態となりました。

個人情報流出はいつどこで起きるかわからない！平時からの「入口対策」に加え「内部対策」と「出口対策」が何より重要

これまでの事例から、個人情報流出の要因が外部のハッカーだけとは限らないとわかったのではないでしょうか。社内システムを自由に利用できる従業員が引き起こすケースもあるため、ウィルスや外部からの不正アクセスを防ぐ従来の「入口対策」だけでは不十分なのです。

外部からの高度な侵入や従業員による不正は気づきにくく、知らないうちにアクセスされ入口の防御だけでは確実には防げないこともあるため、万が一不正アクセスされた場合に備えた、「内部対策」や「出口対策」も講じておかなければなりません。

いまや情報セキュリティにおいては「ゼロトラスト」が大前提とした対策が必要不可欠なのです。
企業にとって、個人情報流出は社会的信用にも関わる深刻な事態であるため、徹底したセキュリティ対策を施すことが大切です。

「入口対策」に加え「内部対策」と「出口対策」をしっかりすることが今後ひとつのキーとなるでしょう。