日本航空(JAL)立て続けの個人情報漏洩事故発生
プライバシーマーク
日本航空(JAL)は2014年9月24日、同社の顧客管理システムが不正アクセスを受け「JALマイレージバンク」会員の個人情報最大75万件が漏えいした恐れがあると発表した。
社内の一部PCにマルウェアが仕込まれ、遠隔操作で外部にデータが送られた可能性があるという。
流出した可能性があるのは、マイレージ会員の氏名、生年月日、住所、電話番号、勤務先、電子メールアドレス、会員番号、入会年月日などだが、具体的な中身は特定できていないという。
流出した件数も特定できていないが、外部に送信されたデータ量は把握しており、1人当たりの情報量で割ると11万件になるが、データが圧縮されていた場合は最大75万件に上ると推定している。JALマイレージ会員の総数は2800万。
原因は特定できていないが、社内のPCにマルウェアが仕込まれ、外部からの遠隔操作ができる状態になっていた可能性があるという。
マルウェアは7月30日以降、23台のPCに仕込まれ、内12台が顧客管理システムにアクセスできる端末。実際に外部にデータを送信したPCは7台だったという。
8月18日以降、外部にデータが送信された可能性があるという。
9月19日にデータベースへのアクセスが集中し、レスポンスが遅延。特定プロセスを削除して問題は解消したが、22日の昼前に問題が再発し、調査したところ、通常使用されていないPCから顧客管理システムにアクセスがあったことが判明。24日に不正アクセスを確認したという。
日本航空(JAL)「JALマイレージバンク」は本年1月31日~2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談を受けて不正ログインが発覚しており、この際には、不正ログインを受けた可能性があるユーザーは60人と発表。
2月6日までに、「JALマイレージバンク」のログインパスワードについて、セキュリティを強化する対策を検討していることを発表していました。
ベネッセに続き、たて続けに大きな個人情報流出事故が発生いたしました。
弊社にも少なからず両社の個人情報漏洩事故を背景に情報セキュリティに関する問合せが増えております。
「セキュリティと利便性は相反する」と良く言われますが、企業にとってはどちらも非常に重要です。
情報セキュリティは必ずしも本業に直結はしません。
なおかつセキュリティを厳しくすればするほど、会社の自由度は低下すると考える傾向にあります。
その結果として情報セキュリティへの取組が後手にまわっているように思います。
しかし、その判断は「本当に正しいのか」考える必要があると思います。
これからの時代「情報セキュリティとは会社を存続、成長、飛躍させるための大きな「材料」として、もしくは破滅に追いやる「爆弾」として極めて慎重に扱うこと。
同時に他社、他業態の追撃をかわす、もしくは上位企業に追いつき、追い越すチャレンジ精神の「道具」となる」と考え、「セキュリティと利便性の共存共栄に取組む」ことが重要であると思います。