海外における個人情報流出事件とその対応　第231回 W杯観戦者データ漏えいで問われるFIFAのデータガバナンス（2）チケット販売会社の職員が不正にデータを取引

●チケット販売会社の職員が不正にデータを取引
データを売り出していたのは、チケット販売業者の従業員だったといわれている。料金は最高で50万ポンド（約6500万円）だったらしい。『Guardian』では、FIFAの認可を受けてチケットを販売していた、Match Hospitalityのスタッフがデータをブラックマーケットで不正に取引していたようだとして、会社名を明らかにしている。また『Dagbladet』がデータ販売を持ちかけるe-mailも証拠として入手していると報じている。

『Daily Mail』では、今年、南アフリカで開催されたワールドカップのチケット販売に関係していたByrom社に取材を行っている。そして、ノルウェーで販売されていた、2006年のワールドカップ観戦者の情報に関心がないか、問い合わせを受けていたことを確認している。ドイツ大会を観ているということは、南アフリカ大会にも興味があるはずだ。チケット購入を希望している可能性は高い。販売されていたデータは、Byromのマーケティングに役に立つ情報だったといえる。

『Dagbladet』は、Match Hospitalityの最大の株主のMatch Event ServicesのJaime Byrom会長から話を聞いている。Match側は情報が販売されていたことに気づいていなかったというもので、従業員が極秘情報を入手したことを、Matchでは知らなかったようだ。Match HospitalityはFIFAのジョセフ・ゼップ・ブラッター会長の甥、セップ・ブラッターが所有している企業で、2010年および2014年大会におけるホスピタリティパッケージの独占販売権を獲得していた。今年、南アフリカで開催された大会で空席が目立ったのは、パッケージの価格が高すぎたためとして、Match Hospitalityは批判を受けたが、さらに非難が集まる可能性がある。

事件についてInformation Commissioner's OfficeのMick Gorrillが9月4日に声明を発表している。その中で、個人情報を不正に取引することは、データ保護法に反する犯罪行為であると明言し、また、捜査の過程では、データ保護を取り扱う国際的な組織と協力していくと語った。ただし、漏えい被害者へのアドバイスなどは、もう少し捜査が進んでからになりそうだ。

ワールドカップのことを、Wikipediaはテレビの視聴者数では五輪をしのぐ世界最大のスポーツイベントと位置づけている。人気があるために、サイバー犯罪者に悪用されがちで、今年、開催された際にもマルウェア拡散に使われたり、スパムメールが送られたりした。

しかし、今回報じられた事件は、内部関係者による漏えいとデータ管理、すなわちデータガバナンスに関する“内側”での問題だ。データの盗難や不正アクセスを避けるためにも、組織はデータのアクセス制御を行い、内部関係者が不正にデータを取得するのを防ぐとともに、データ管理に関する法律に従って、データの保管や削除をしていく必要がある。

●MI6でも元職員が情報を不正販売と、難しいデータガバナンス
ワールドカップのチケット購入者のデータ漏えいが報じられたのと、ほぼ同時期に、英秘密情報部(Secret Intelligence Service。通称・MI6)の元職員に、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)