個人情報の大量漏洩　問われるデータ管理会社の責任（1）

2月21日、米国の信用調査企業ChoicePointが、個人情報盗難事件があったとして、該当者14万5000人に通知を行うと発表した。

詳細については現在も調査中で、被害者の件数についても増える可能性はある。事件はChoicePointの合法的な事業を装った犯罪者が、1年以上にわたり10数件のビジネスアカウントを利用して不正に個人情報を取得、判明しているだけで、IDを不正に使用された被害者は700人以上にのぼる。

●犯人は他人名義の携帯、クレジットカードを所有

事件発覚のきっかけとなったのはChoicePointの従業員が、MBS Financialという会社名での新規取引申込書を不審に思い、通報したことだ。情報送付先として記入されていた申請者のファックス番号を調べたところ、ハリウッドにあるコピーショップKinko'sのものであると判明した。

そこで2004年10月27日、捜査当局が店舗に急行し、ファックスを受け取ったナイジェリア国籍の男性、オラツンジ・オラワトシン(41歳)を逮捕した。オラワトシンはジョン・ギャロウェイさんという男性名義で、取引申し込みをしていた。

逮捕時、オラワトシンは携帯電話5台を所持していたが、本人名義のものは1台のみで、残りの4台は他人の個人情報を不正に利用して入手したものだった。さらに、3枚持っていたクレジットカードについても、全て他人名義のものだった。

続いて、捜査当局がオラワトシンのノースハリウッドの自宅を捜査。大量のChoicePointの書類を証拠として差し押さえた。その中の1つが、十数件の私書箱についての情報だったが、捜査したところ、情報漏洩の被害にあった市民の住所を不正に変更して転送した郵便物が大量に見つかった。

漏れた情報は、氏名、住所、社会保険番号、そして一部、信用情報についてだ。情報漏洩の被害者の1人は1万2000ドルを口座から勝手に引き出されていた。その他、オラワトシンは、他人のIDを利用して宝石、電化製品などを購入している。

オラワトシンに対しては2月17日に信用報告書、社会保険番号、その他個人情報への不正アクセスにより禁固16ヵ月の判決が下りた。他にも５件の容疑があったが、証拠不十分で棄却された。刑期満了後は国外追放となる。

事件の規模から見ても、1人の犯行とは考えられないというのが捜査側の考えだが、オラワトシンは供述を拒否している。また、コンピュータ犯罪を専門に担当していた、米司法省のルアー元検事は『ロサンジェルスタイムス』に対し、「被害者の数を見ると16ヵ月という判決は軽すぎるように思える」としながらも「個人情報盗難は証明するのが非常に難しい。特に、被害金額の算出は困難だ」と司法側の難しい立場を説明する。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd