Yahoo!Japanグループ会社 顧客情報流出事件
2016年2月2日、ヤフー株式会社の子会社、ワイジェイFX株式会社の元従業員により、同社の顧客情報が持ち出され、インターネット上に流出していることが発表された。
元従業員により持ち出された185,626件。当該元従業者が持ち出した顧客情報をインターネット上に保存したことにより、検索エンジン等を通じて顧客情報の一部がアクセス可能な状況になっていた。
同社によると、流出した顧客情報には、氏名、住所、銀行口座、生年月日、メールアドレス+取引情報等が含まれており、外部からのアクセスの状況は下記の通りとのことである。
・閲覧可能な状態には置かれていたが、アクセスがなかった情報 128,220件
・検索エンジンの自動巡回装置によりアクセスがあった情報※ 56,665件
・第三者により閲覧があった情報 741件(氏名+取引情報等が2件、取引情報等のみが739件)
1月26日に外部からの通報により、流出の事実が明らかになり、1月29日に流出した情報をインターネットから遮断、検索エンジン事業者へ検索結果からの削除を依頼した。持ち出し経路、流出状況等の詳細の調査を終え、事故の発表に至った。
※詳細はワイジェイFX社からのリリースをご確認ください。
今回の事件は、2015年12月に発覚した堺市の有権者情報流出事件と共通点が多い。
2014年夏以降、各社が内部不正対策を強化したのだが、悪意者が特権ユーザである場合には、事故を未然に防ぐことは極めて困難であると考える。
堺市の事例では、同市の杜撰なセキュリティ体制が原因であるが、今回のケースは状況が異なる。ヤフー株式会社は2004年にグループ会社で大量の漏えい事件が発生、以降セキュリティ対策に力を入れてきた。グループ会社で金融情報を扱うワイジェイFX社においてもセキュリティレベルは一般の企業と比較すると高いことが推測される。
サイバーセキュリティ対策においても同様であるが、予防的統制は不可能と考え、発見的統制の強化に注力するべきだ。それによる抑止効果を予防につなげるという考えた効果的である。
その上で、今回の対応は、情報セキュリティインシデントにおいて幾多の修羅場を潜り抜けたヤフーグループだけあり、迅速だったと言える。
元従業者がどのような方法で、どのような目的で顧客情報を持ち出したかについては、続報を待ちたい。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ
一覧へ