漏洩した個人情報の悪用

情報化社会の発展と共に、情報漏洩インシデントの発生頻度や情報漏洩の流出件数も増加しています。情報漏洩は、故意による情報流出から、人為的ミス、システム設定ミス、プログラムの不具合など様々な要因が考えられます。

昨今ビジネスがウェブサービスで提供され事が増え、個人が複数のサイトにIDを登録する際、同じアカウント名、メールアドレス、パスワードで登録することがあります。 その場合、あるサイトに脆弱性があり、アカウント名やパスワードが漏洩した場合、同じID情報で別のサイトにログインが可能なため、一度漏洩してしますと他のサイトへの漏洩リスクも非常に高くなります。またID情報が売買され、犯罪に利用されるケースがあります。

情報漏洩した多くのデータは以下のように個人情報に関連するデータが多く見られます。

1. 氏名、誕生日、住所、電話番号、SNS、IPアドレス

2. ログイン情報（ログイン先/ユーザー名/パスワード）

3. クレジットカード番号

「ユーザーは自分の情報が漏洩したことに気づくのでしょうか？」

通常、気づくことはありません。ただ、会員制のサイトであれば、管理者（組織のサポート窓口）から「貴方の個人情報が漏洩した可能性があります」などの連絡を受け取ることがあります。または、テレビ番組のニュース、新聞、または、インターネットから情報漏洩の事件を知るかもしれません。

「一旦情報漏洩してしまった個人情報などはどうなるのでしょうか？」

一度、インターネットの世界に情報が流出してしまうと、ほぼその情報を削除するのは、不可能です。残念ながら、それらの漏洩した情報を収集して、悪用されるのも事実です。

具体的な悪用事例としては、

1. 他人のログイン情報（LinkedIn、Twitter、Facebookなど）で「なりすまし」を行う

2. 「なりすまし」て、ビジネスメール詐欺 (BEC: Business Email Compromise)を行う

3. クレジットカードで、買い物をする

4. 他人のログイン情報（Dropbox、ファイルサーバーなど）でアクセスして個人・企業の機密情報を盗む

このように情報を悪用されると、個人だけではなく、企業も痛手を受けることが多々あります。 組織がこの状態に適切に対応するには、同じIDやパスワードを利用した場合のリスクをユーザーに教育すること、システムをホストする側としては、固定のパスワードではなくワンタイムパスワードを活用するなど、ユーザーを保護する対策が求められます。

また漏洩しているデータを認識し、漏洩可能性があることが発覚した場合は、IDの削除やパスワードなど変更、情報公開元への削除依頼（意図的にデータを公開して漏洩を確認するサイトなど）へ適切に行うことが求められます。