海外における個人情報流出事件とその対応 第178回 確固とした対策が求められる従業員のP2P使用 (2)期待される法律成立
●重要な"もしも"の時の対応
国際
海外情報
情報漏えい事件を起こしたワグナーはP2Pに関するリスクについては、認識が甘かったかもしれないが、対応は迅速だった。TiversaとFirstAdvantageという2つの会社に依頼して、被害者への対応と、流出したファイルの回収にあたった。6月27日には全てのファイルをネット上から除いたという。
残念なことではあるが、近年、毎日のようにセキュリティ事件が報じられているのが現状だ。2005年から2006年にかけて見ただけでも、米国だけで200を超える組織でセキュリティに関する事件が報告されているという。これは、2006年にPonemon Instituteが発表した調査結果だ。このような現状の下、さまざまな企業がセキュリティ事件に対応するためのサービスも提供していて、ワグナーではそれを効率的に利用して、被害者に誠意を見せた。
FirstAdvantageはセキュリティ・インシデント・レスポンス・ノーティフィケーションというサービスで、顧客のデータに関するセキュリティ事件があった場合、迅速に通知を行えるようにして、影響を最低限にとどめようとする。同社のウェブサイトでのサービス説明では、
・48時間以上に漏えい被害者への通知を印刷し郵送する
・個人情報盗難の被害に遭わないように、情報が漏えいした顧客などにソリューションを提供。ソリューションの内容については、事件のあった組織がフレキシブルに選択することができる
・被害者からの苦情や質問に対応できるよう、それぞれの漏えい事件に対して、専用のフリーダイヤル番号を設置
・トレーニングを受けたカスタマー・サービスチームが、事件に関する質問に答え、また、不正や個人情報盗難に対してヘルプする
などを行う。
ソリューションの選択肢は、大手信用報告機関の1社、Experianによる信用報告書、Equifax、Trans Union,、Experianという米国大手3社による総合信用報告書、インターネットでのモニター、公共記録のモニター、2万5,000ドルの保険など。また漏えい被害者へのサービス提供期間も、例えば3ヵ月間や1年間というように、サービスを利用する組織がそれぞれ選択できる。
迅速に通知を行うことで、情報漏えいの被害者も早いうちに個人情報の不正使用に備えることができる。結果的に、被害も最低限に抑えることができるはずだ。
Tiversaについては、P2Pインテリジェンスのエキスパートと称する企業で、P2Pネットワーク上で、1日あたり15億件の検索を行い、流出したファイルがないか調べる。企業や政府機関、個人に対してサービスを提供し、監視以外にもフォレンジック調査も行う。
●過去に何度も報告されている情報漏えい
職場での従業員によるファイル共有ソフトの使用。その結果、顧客情報などの重要データが流出する事件が、過去に何度か起きている。
2007年7月、ファイザー製薬の従業員の配偶者が、会社のノートパソコンにP2Pソフトをインストールした結果、現在の従業員および元従業員、1万7,000人の社会保険番号が流出した。配偶者が行ったことであるため、ファイル共有ソフトを使っていたのは自宅のみのようだが、結果的には会社の重要な情報がネット上に漏えいした。
1万7,000人のうち、1万5,700人分は実際にアクセスされたり、コピーされていたことが分かっている。事件が明らかになり、ファイザーではすぐに問題のノートパソコンを回収して、保管されていたデータなどを調べるとともに、ファイル共有ソフトを使用できないようにして、これ以上の漏えいが起こらないようにしている。
ファイザーではExperianのサービスパッケージを利用。情報が漏えいしてしまった従業員などには、1年間の無料の信用モニターサービスおよび、事件により個人情報盗難の被害を受けたとき、損失をカバーするため、限度額2万5,000ドルの保険も提供した。
2007年9月には、米国の大手ローン会社、ABN Amro Mortgage Groupのエクセルファイルが、LimeWire上で見つかった。スプレッドシートには5,200件の社会保険番号、氏名をはじめとする、個人情報が含まれていた。ABN Amro Mortgage Groupは2007年1月にCitigroupが買収していた。
事態はウォールストリートジャーナルの関連会社ダウジョーンズ。ニュースワイアの記者が気付いた。そして、P2Pセキュリティ企業のTiversaが調査を行い、データが流出しているのは事実だと確認した。
情報はフロリダのABN Amro Mortgage Groupの元従業員のPCに保管されていたものだった。この元従業員の履歴書や、家族旅行をしたときのTravelocityからのコンファメーションのe-mailなども流出していた。
さらに2008年5月にはWalter Reed Army Medical Centerで、以前、病院を利用した患者1,000名の個人情報が流出。P2Pネットワークを通じての事件のようで、氏名、社会保険番号、生年月日などが被害に遭っている。事件後、スタッフに対して、脆弱性を高めるようなプログラムのインストールやダウンロードは行わないように求めた。
●安全確保のため、期待される法律成立
2007年6月にダーマス大学のTuck School of Businessが、ファイル共有ソフトの危険について調査結果を発表している。調査期間は2006年12月から2007年2月の7週間で、米国の金融機関上位3社が対象となった。
サーチ・エンジンを用いて、P2Pのトラフィックを分析。多数の検索で…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》