top of page
ドットの接続

第64回

「情報漏えい」の確認とは?

ここ数カ月に限っても不正アクセスによる「情報漏えい」が多発しています。医療介護事業を行っているニチイ学館とその子会社ではランサムウェアの被害に遭い、2万件以上の顧客情報が、そしてフランス大手の製薬会社の日本法人であるサノフィでは70万人以上の医療従事者の個人情報が漏えいしています。残念なことに、これらは珍しい事例ではなく、この2か月、そして1万件以上の大規模個人情報漏えいに限っても、20件以上なのです。数件、数十件以上の個人情報漏えいまで含めれば、その数十倍、あるいは数百倍の可能性もあり得ます。毎日、数十件という個人情報漏えい事案が起こっていると言っても過言ではないのです。

 

余談ですが、農業機械を中心として環境事業まで手掛ける世界的企業であるクボタは、その関連会社がイセトーのランサムウェア被害によって6万人以上の情報漏えいが7月初旬に判明したにもかかわらず、二カ月後の9月初旬には同じように、クボタの健康保険組合がソフトウェア開発、運用のヒロケイのランサムウェア被害によって1万6千人以上の情報漏えいを起こしています。もはや情報漏えいは避けられない問題であり、その対策を考え、実行しなければならない最優先重要事項なのです。

 

そのサイバー攻撃による情報漏えいですが、その告知とお詫びにおいて、必ずと言ってよいほど、次の2文のいずれかで締めくくられます。それは、

・現時点で情報漏えいの事実は確認されていません

・これまでに漏えいした情報が悪用された事案は確認されていません

です。

Fig00.jpg

どちらも情報漏えいの直接的被害に遭った当事者を安心させるための文言です。しかし残念ながら安心と安全は別物であって、必ずしも安全、つまり被害はないということを保証しているわけではありません。

 

前者の意味はサイバー攻撃にさらされたと言う事実はあったものの、情報漏えいの確実な事実を把握していない、という意味です。さらに深読みすれば、情報漏えいが行われた可能性はあるものの外部でその情報が発見されたということを自組織(情報漏えいを起こした組織)は確認していないという意味です。実際に、イセトー事案のように、当初、「情報漏えいの事実は確認されていない」と明記したにもかかわらず、後の調査によって、あるいはサイバー攻撃側の漏えいデータ公表によって情報漏えいが明らかとなった事案は少なくありません。

 

後者ですが、組織外に情報漏えいが確認された際の決まり文句です。しかしこの確認の主語は漏えいした組織なのです。組織が認知する範囲では悪用されていないというだけであって、悪用されないことが確認されたわけではありません。もともとサイバー攻撃による情報漏えいは、それを悪用することが目的なのです。漏えい直後でなくとも、何らかの形で悪用されることは確実と言っても過言ではありません。しがたって、その文言の理解としては「今後悪用されることは十分予想されるゆえに、各自、気を付けてください」と解釈すべきなのです。

bottom of page