ICHIRO BLOG引っ越しました

山本一郎です。最近暑すぎて汗が止まりません。

ところで、相変わらず規模の大小や経緯は違えど個人情報の流出してしまう事件が世界各地で頻発しています。5月6月に報じられた主だった事件を振り返るだけでも、結構な数が報じられており、実態としてどうなっているのか、ネット利用者としてさすがに不安になる内容ばかりで困惑します。

ＪＴＢ個人情報７９３万件流出か？…標的型攻撃の巧妙な手口（YOMIURI ONLINE 16/6/15）
個人情報提供第三者に１３万人分、松山市元職員を逮捕（毎日新聞 16/6/14）
エイサー、3万4500人の顧客情報が流出--クレジットカード情報も（CNET Japan 16/6/20）
米リンクトイン、1億件超のパスワードを無効化外部流出の恐れ（ロイター 16/5/19）

また、過去に起きた情報流出事件の実態が今頃になって明らかにされ当初想定していたよりも被害が甚大であったことが露見するなどという大変お粗末な話もあったりします。

２年前の情報流出 実は６倍の６２万人分と判明（NHKニュース 16/6/21）

会社側は当時、会員の名前や住所、職業やパスワードなど、およそ１０万人分が流出した可能性があると発表していましたが、警察から「被害はもっと大きい」と指摘を受けて調べ直した結果、実際には複数のサーバーが被害を受けていて、およそ６２万人分の流出が確認されたということです。NHKニュース

この手の事件では多くの場合「流出した情報による被害は報告されていない」といった言い訳が出てきたりしますが、一旦流出した情報が未来永劫にわたって悪用されないという保証はどこにもありません。流れ出てしまった情報がデータベース化されていつの日かよからぬことに使われてしまう可能性があることは覚悟しておくしかないのが現状です。

700万件を大幅に上回る情報流出があったJTBの事件の場合、サイバー攻撃の手法が非常に巧妙であったためこれを防ぐのはむつかしかったのではないかという見方もある一方で、事件が発覚した後の対応が杜撰であったという指摘も出ています。

旅行最大手JTB、顧客パスポート情報流出で信用失墜…1カ月も発表遅れ、甘い安全対策（Business Journal 16/6/16）

最初に怪しい動きが確認されたのは3月19日だが、すぐには通信を遮断しなかったと報道されている（NHK報道による）。
（中略）
不正な通信を確認してから3カ月、個人情報流出がわかってから1カ月もたってからの発表だ。流出の被害に遭った顧客に対しての連絡があまりに遅いといわざるを得ない。Business Journal

こうした対応の遅れについてJTB側としては「調査に時間がかかった。流出内容が特定できない段階で公開することでお客様に不安を与えると判断した」という理由を挙げていますが、穿った見方をすれば責任の所在をどうするか社内でゴタゴタした結果としてそのまま何カ月も放置という事態につながったのではないかと思えて仕方ありません。さらに監督官庁である観光庁においてもなにやら責任逃れと覚しき怪しい言動があったようです。

ＪＴＢ情報流出「観光庁の対応も問題」石井国交相（朝日新聞 16/6/17）

観光庁は、５月３１日のＪＴＢ報告の内容があいまいだったため、公表の指示をしなかったとするが、「出すなと言った経緯はない」（田村明比古長官）という。朝日新聞

しかし、これは流出してしまった個人情報の当事者からすればとんでもない話でありまして、せめて迅速かつ誠実な形で事態を公表するなどの対応を見せてほしかったところです。

こういう事故が起きるのを見ていると、情報管理のでたらめな企業やサービスとはお付き合いしたくないと考えるのが人情です。利用しようとするサービスがどこまで信用できるのかはエンドユーザー自らが事前に見極めることが求められる時代でもありますが、それはそれでハードルが高い話でもあります。

当然ながらこうした状況に対して企業側は安心を訴えて製品やサービスを売り込んでくるわけでして、その典型の一つがAppleだったりします。

アップルはボクらのプライバシーを本当に守ってくれるの？（ITmedia 16/6/21）

ビッグデータ的な統計情報の中から個別の個人情報を推測されないように、あえて“ノイズ”を入れる技術「Differential Privacy」（差分プライバシー）が導入され、プライバシーを意識したアプリを開発が可能になります。
（中略）
こういうメッセージが企業から出たことでよしとするのではなく、本当にそれが実行されているかを注視することも重要でしょう。「我が社はプライバシーを重視し、悪いことはしません」ときれい事を言いながら、裏では個人情報をせっせと収集するということもできてしまうからです。残念ながら、こうした事態が実際に起こっているかどうかは、普通の人にはなかなか判断がつきません。ITmedia

このあたりなかなか悩ましい話です。別にAppleに限った話ではないのですが、本当に企業の言っていることは信用していいのかどうか、その判断の根拠はどこにあるのか、さらに第三者の検証があったとしてその第三者の信頼性はどうか等々きりがありません。

悪意をもったサイバー攻撃があふれ、さらに多くのサービスが個人情報そのものを利用して利便性を提供するのが当たり前となってきた今、どうやって自分の身を守ればいいのか、課題はどんどん膨れあがっていきますが、誰もが納得できる答えを簡単に見つけることはできそうにありません。なんとももやもやします。

やはりこのあたりの界隈は、誰かがしっかり汗をかかないといけないのではないかと思うわけですが、どうでしょうか。