海外における個人情報流出事件とその対応「大規模メールアドレス漏えいで懸念される危険とは」（1）年間400億通の大量メールを送信する会社

●大規模メールアドレス漏えいで懸念される危険
米国の大手マーケティング企業であるEpsilon（イプシロン）が4月1日、同社メールシステムへの権限なしの不正侵入によって顧客データが漏えいするインシデントが発生したというプレスリリースを発表した。Epsilonは、日本にもクレジットカード決済代行を中心とする業務を行う同名の会社があるが、事件があったのは米国に本社を持つ別の会社だ。

発表によると、Epsilonがインシデントを探知したのは3月30日。これはクライアントの顧客データの一部が流出したというもので、Epsilon側ではメールアドレスと顧客の氏名のみが漏えいしたとしている。厳密なアセスメントの結果、氏名以外に個人を特定するような情報の被害はないという。現在、徹底した調査が行われている。

気になるデータ件数については、3月30日付けでは一部データとされていた。ただし4月4日に情報が更新されており、合計顧客の約2％となっている。続いて4月6日、Epsilonの親会社であるAlliance Data Systems Corporationが、被害を受けた情報はメールアドレスと顧客の氏名のみで、社会保険番号やクレジットカード番号、アカウント情報などの流出はないと確認している。約2％という数字については、Epsilonのクライアントベース全体に対するものだ。

Epsilonでは連邦政府の捜査機関や外部のフォレンジック専門家と協力して、犯人特定のために努力を続けている。一方、「メール業務における追加のセキュリティ対策」を導入し、セキュリティ体制を強化したという。

「このインシデントがEpsilonの顧客の一部とその顧客に影響を与えたことについて、極めて遺憾に思います」とEpsilonの社長であるBryan J. Kennedy氏はコメントしている。そして、「消費者のプライバシーを非常に重要視していて、顧客情報保護に懸命に取り組んでいます。消費者の皆様にご迷惑をおかけしたこと、そして、このインシデントの結果、迷惑メールが送信されるかもしれないことについて、お詫びを申し上げます」と謝罪の意を表明した。

Epsilonでは同社の事業へのクライアント、そしてその顧客の信頼を回復するための改善策を講じている。フォレンジック専門家の調査により、確実に、必要とされる追加の防御措置が迅速に実施されるようにした。Epsilon内で、システムへのアクセスを管理するセキュリティプロトコルに対する厳密な見直しも行っている。

Epsilonだけでなく、Alliance Dataも謝罪を行っている。Alliance DataのCEOであるEd Heffernan氏も「今回のインシデントがクライアントとその顧客に与える影響を十分に認識しており、心からお詫びします」と語った。「すでに起こってしまったことは戻すことはできないものの、クライアントとその最も重要な資産である顧客を守るために必要な、すべての措置を取っていきます」という。

●年間400億通の大量メールを送信する会社
ホームページによると、Epsilonは専門的なコンサルティング、マーケティング用データ、テクノロジー、代理などのサービスを提供する会社だ。テキサス州ダラスに本社を持ち、北米のみでなく欧州や北京、香港や上海、シンガポール、東京などのアジア各地でも事業展開している。パーミッションベースのメールマーケティングのプロバイダとしては世界最大で、年間400億通のメールを送信。クライアント数は2,500を超える。

Epsilonの発表では、漏えいの被害を受けたのは合計顧客のうちたったの2％足らずと、割合だけを見ると大きな事件ではないようにも見える。しかし、「hack of the century（今世紀最悪のハッキング）？」（Computerworldブログ）、「Massive Breach at Epsilon（Epsilonでの大規模漏えい）…… 」（Security Week）、「Massive Epsilon breach affects JP Morgan Chase…（大規模なEpsilonでの漏えいで、JPモルガン・チェース…などが影響を受ける）」（Help Net Security）と、多くのメディアやIT関連Webサイトが取り上げている。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)