なぜ個人情報が狙われるのか

このような事件で流出する情報は住所、氏名、電話番号といった個人を特定することができる「個人情報」だ。これに加え、大きく報道されるのは(=事件として深刻なのは)金銭に直接結びつく「クレジットカード番号」や、最近加わったものとしては「マイナンバー」が流出したケースである。こうした情報がネット上または物理的にやりとりされ、結果的に企業の中に蓄積されてビジネスが回っていく。それを悪意ある者が「サイバー攻撃」や物理的な「窃盗」によって盗んでいくという状況だ。

ではなぜ悪意ある者はそのような情報を狙うのか? 答えを簡単にいうと「お金になるから」だ。例えば住所、氏名に加え、家族構成や年収情報が組み合わされた個人情報を手に入れれば、いわゆる「名簿屋」へ売却できる。ベネッセコーポレーションの事件ではこの経路で情報が売却され、それが利用されたことで発覚した。さらにクレジットカード番号の情報であれば、ECサイトなどで不正利用することで直接的に金銭を得ることができてしまう。サイバー闇市場では流出したクレジットカードの情報が売買されており、サイバー犯罪者もクレジットカード番号を盗み取る者とそれを使う者が手を組んで、犯罪のエコシステムを形成している。つまり、ひとたびあなたの個人情報が流出すれば、こうした「犯罪のプロ」に狙われるというわけだ。

漏えい原因を見ると、紛失・置き忘れや誤操作といった「うっかり」系が多い。サイバー攻撃を受けて起こるケースは少ないものの、「1回の不正アクセスで大量の件数が漏えいする」という特徴がある。

情報漏えい事件を起こした企業に憤っても仕方がない

おそらくほとんどの方は、情報漏えい事件を起こした企業に対し大きな憤りを感じるのではないだろうか。しかし、企業側にも若干同情の余地がある。サイバーセキュリティとはあくまで「防御」であり、どうしても後手に回らざるを得ない。セキュリティは「鎖」に例えられることが多く、攻撃者はたくみにその鎖の一番弱いところを狙ってくる。

しかも、情報を提供する私たちの側でできることは、ほとんどない。「私は完ぺきなセキュリティを実現している企業にだけしか情報を渡しません!」というのは理想だが、残念ながらどのサービスもこの理想を実現してはいない。そのため、リスクとバランスを考えて利用するしかないというのが実情だ。