日本年金機構、ベネッセ、JTB、鳥貴族……さまざまな企業で情報漏えい事件が起きている。実際にクレジットカード番号やマイナンバーが流出する被害を受ける人も出てきた。情報漏えいが他人事でなくなりつつある今、自分の身を守るためにできることとは?

2015年5月、日本年金機構から約101万人、約125万件もの個人情報(年金情報)が流出した。この事件は大きく報道されたので、記憶している方も多いだろう。その前には2014年7月には進研ゼミなど通信教育の最大手、ベネッセコーポレーションで起きた情報漏えいも記憶に新しい。約3000万件もの顧客情報が名簿業者に売られていたというものだ。最近では6月16日、大手旅行代理店のJTBが、最大約793万人分もの顧客のパスポート番号を含む情報漏えい事件を起こしている。個人的に気になった事件では、居酒屋チェーンの「鳥貴族」が、車上荒らしで盗難された資料の中に従業員のマイナンバーが入っていたという件も話題になった。

サイバー攻撃を受ける、会社内にいる従業員が情報を持ち出す、そして物理的に盗難が行われる……世はまさに「大・情報漏えい時代」になってしまった。

幸い、私自身はこれらの事件で被害を受けていない。だからといって、安心だとは全く思えない。この記事では、こうした情報漏えい事件に関して我々はどう受け止めるべきか、被害にあったらどうしたら良いかについて考えてみよう。

情報漏えいの被害にあった人は、1年間で496万人

2016年6月、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が、2015年に発生した情報セキュリティインシデントをまとめた調査資料の速報版を公開した。それによると、2015年だけでも「情報漏えい」の対象となった人数はのべ496万人、想定する損害賠償総額は2541億円を超え、一人あたりの平均損害賠償額は2万8000円であるとしている。

→NPO日本ネットワークセキュリティ協会 報告書・公開資料 http://www.jnsa.org/result/incident/

これはJNSAがニュースサイトの記事やWebサイトで公表された謝罪文/被害レポートをもとに集計したものであるため、非公表の事件などは含まれていない。漏えいの原因で最も多いのは「紛失・置き忘れ」で243件/30.4%。サイバー攻撃を受けて起こるいわゆる「不正アクセス」は64件/8.0%とそれほど大きな割合ではない。しかし漏えい人数でみるとトップ10のうち5件が不正アクセスによるものであり、「1回の不正アクセスで大量の件数が漏えいする」という性質を持っている。

なぜ個人情報が狙われるのか

このような事件で流出する情報は住所、氏名、電話番号といった個人を特定することができる「個人情報」だ。これに加え、大きく報道されるのは(=事件として深刻なのは)金銭に直接結びつく「クレジットカード番号」や、最近加わったものとしては「マイナンバー」が流出したケースである。こうした情報がネット上または物理的にやりとりされ、結果的に企業の中に蓄積されてビジネスが回っていく。それを悪意ある者が「サイバー攻撃」や物理的な「窃盗」によって盗んでいくという状況だ。

ではなぜ悪意ある者はそのような情報を狙うのか? 答えを簡単にいうと「お金になるから」だ。例えば住所、氏名に加え、家族構成や年収情報が組み合わされた個人情報を手に入れれば、いわゆる「名簿屋」へ売却できる。ベネッセコーポレーションの事件ではこの経路で情報が売却され、それが利用されたことで発覚した。さらにクレジットカード番号の情報であれば、ECサイトなどで不正利用することで直接的に金銭を得ることができてしまう。サイバー闇市場では流出したクレジットカードの情報が売買されており、サイバー犯罪者もクレジットカード番号を盗み取る者とそれを使う者が手を組んで、犯罪のエコシステムを形成している。つまり、ひとたびあなたの個人情報が流出すれば、こうした「犯罪のプロ」に狙われるというわけだ。

情報漏えい事件を起こした企業に憤っても仕方がない

おそらくほとんどの方は、情報漏えい事件を起こした企業に対し大きな憤りを感じるのではないだろうか。しかし、企業側にも若干同情の余地がある。サイバーセキュリティとはあくまで「防御」であり、どうしても後手に回らざるを得ない。セキュリティは「鎖」に例えられることが多く、攻撃者はたくみにその鎖の一番弱いところを狙ってくる。

しかも、情報を提供する私たちの側でできることは、ほとんどない。「私は完ぺきなセキュリティを実現している企業にだけしか情報を渡しません!」というのは理想だが、残念ながらどのサービスもこの理想を実現してはいない。そのため、リスクとバランスを考えて利用するしかないというのが実情だ。

では、私たちはその「バランス」をどうやって取ればいいのか? 以下、すぐに始められる対策を紹介する。

▼対策1:パスワードは流出する。だから「使い回さない」

私たちにできる対策、その第一歩はやはり「パスワード」だ。以前は脆弱性と呼ばれる「プログラムの弱い部分」を攻撃され、IDとパスワードが漏えいする事件が多かった。しかし今は、情報漏えいで流出したIDとパスワードのセットを使って別のサービスにログインする、という方法で不正アクセスが行われている。多くの人が同じIDとパスワードのセットを複数のサービスで使っているために可能な手口だ。

おそらくほとんどの人は、IDがメールアドレスで、パスワードは自分で決めた1つのものを複数のサービスで使い回しているというのが現状だろう。これらをすべて変えることは本当に大変な事だが、いますぐ「お金に関係するサービス」と、「人生に関わるサービス」の2つだけは個別のパスワードを設定してほしい。具体的にはお金に関わる「銀行」のサービス、そしてなりすましで投稿されると“炎上”で社会的に抹殺されかねない「SNS」がそれに当たると私は考えている。普段使うパスワードにほんのちょっと文字列を付け足すだけでもいい。とにかく「同じパスワードを使い回さない」ことが重要だ。

そして可能であれば、「二段階認証」という仕組みも覚えたい。これはIDとパスワードだけでなく、スマートフォンを使うことで、情報漏えいに対抗するというものだ。これであればパスワードが漏えいしても、スマートフォンを盗まれない限り、カジュアルな不正アクセスを防ぐことが可能だ。

→Google 2段階認証プロセス https://www.google.co.jp/intl/ja/landing/2step/

▼対策2:クレジットカード番号は流出する。だから「複数枚を使う」

クレジットカードも「自分のお金」に直結する情報だ。最近ではカードの裏に書かれた3~4桁のセキュリティコードを利用することも多く、クレジットカード番号だけでは決裁できないECサイトも増えてきた。しかし不正利用はあとを絶たない。流出については個人でいくら守ったとしても止められないので、クレジットカード番号については「流出したあと」のことを考えておくべきだと私は思う。

マイルやポイントをためるという観点からは、1枚のカードですべての支出をまかなうほうが効率が良いのだが、もしそのカード番号が流出してしまった場合、水道光熱費や携帯電話、数が増えたクラウドサービスなどの支払いに登録したカード情報を変更するのは大変だ。

そこで、そのような「定期的に支払いが発生するもので使うクレジットカード」と、「海外旅行や店舗で使うカード」を分けることをおすすめする。通常、クレジットカード番号が漏えいしやすいのは、海外旅行においてカードを利用した場合に、スキミングをされるというケースだろう。漏えいしてカードを再発行することになり、番号が変わったとしても、定期的に支払いが行われるものには影響がない。もちろん定期的に支払が発生するサービスがサイバー攻撃を受け、カード番号が漏えいしてしまう場合もある。それも心配だという場合は、カード番号を複数持てるデビットカードなどもあるので、このようなサービスも活用したい。

→JNBカードレスVisaデビットの使い方|ジャパンネット銀行 http://www.japannetbank.co.jp/service/payment/cardless/merit_4a.html

クレジットカードの場合はカード会社の補償もあるため、むしろ現金よりも安心できるとも言える。しかしそれにはユーザー側が「明細を必ずチェックすること」が必要だ。今の時代、お金にからむサービスについては、以前よりも少しだけ気をつかうべきだと私は考えている。

▼対策3:マイナンバーも流出する。だから「どこに出したかをメモする」

そしてこれからより身近になり、真剣に考えざるを得ないのが「マイナンバー」だ。会社員の方はおそらく、自分の勤め先にマイナンバーを知らせているはずだ。私はフリーランスのライターをしているため、個人事業主として多くの取引先へ自分のマイナンバーを渡す必要がある。正直なところ、取引先の企業が自分のマイナンバーをどれだけ丁寧に扱ってくれるかは全く分からない。かといって「あなたの企業はマイナンバーの取り扱いが不安なので、取引しません」などと言えるわけがない。相手を信じつつ、過信しないというスタンスが必要なのではないかと思っている。

そのため、私には「マイナンバーをいつ、どこに提出したか」のリストを作ることくらいしか取れる手がない。そして可能であれば「マイナンバーの事故が起きたらすぐに知らせてくれ」と取引先にお願いしている。マイナンバーは基本的には1人に1つ、永久に変わらないものが配布されているが、万が一流出事故が起きた場合には再発番を申請できる。その作業を知っておくことも重要だろう。

マイナンバーという12桁の番号は、それ自体にはほぼ意味がない。しかし、名前や住所、勤務先といった情報と組み合わせることで、強力な「名寄せの鍵」になってしまう。今後、マイナンバーの流出を防げないことは、過去の情報漏えい事件の内容を見れば明らかだ。そのため、どこかで漏えいが発生した場合には、自分のマイナンバーが含まれているかどうかを判断できるようにしておき、万が一の場合はすぐに市役所などへ相談しにいくということを頭に入れておこう。

→【保存版】マイナンバーはどれくらい危険なのか? 11の疑問を“中の人”が徹底解説 http://president.jp/articles/-/16711

いま求められるのは「流出を前提とした情報管理」?

このように、もはや大規模情報漏えいに対して個人で対抗することはほとんどできないと言っていいだろう。セキュリティへ投資している大企業でも、大きな情報漏えい事故を起こしてしまう。セキュリティベンダーが作るソフトウェアでも、脆弱性は発見される。セキュリティに完ぺきを求めることは、そもそも不可能なのだ。

だからといってあきらめてはいけない。個人も企業も、できる限りのことをすべきだ。そうしていないと、万が一のときに「世の中はそういうものです」と切られてしまう。そうならないように、個人も企業も目を光らせ、いかにリスクを減らしていくかという良い方向にスパイラルを回して行かなくてはならない。

私たちに今できること、それは「流出することを前提とした情報管理」だろう。特にパスワードの使い回しをやめることは、この記事を読み終わった直後にもできること。できる範囲で構わない。もしこの記事を読んでほんのちょっとでも「気をつけよう、できることから始めよう」と思っていただければ幸いだ。

宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。書籍「デジタルの作法~1億総スマホ時代のセキュリティ講座」も角川EPUB選書から発売中。エンターテイメント分野では広義の“ディズニー”を追いかけるニュースサイト「dpost.jp」(https://dpost.jp/)を運営する。