この数年、インターネット上で個人情報が流出してしまう事案が後を絶ちませんね。
最近ではエステティックサロンTBCのホームページで顧客情報が公開状態にあり、それが2ちゃんねる掲示板にリンクされて明るみになってしまったことで被害者がTBCに対して集団訴訟を起こしています。
また、女性向アダルトグッズの通信販売サイトから顧客名簿が漏れてしまって、それがまた2ちゃんねる掲示板で公開されてしまって騒ぎになったことも耳に新しい事件です。その時は、手に入れた名簿をもとに女性に変態電話をかけまくった男もいるとか。
その他、私自身が目にした例では、香港のミラマホテルの宿泊予約ファイルが公開状態にあって、日本人6名を含む670名分のカード情報などが見れてしまったケースなど、枚挙にいとまがありません。
そこで今回は、インターネットに関係して個人情報が流出するケースと、どのように自分の個人情報を守って行くべきかについてお話しします。
まず前段として、個人情報と呼ばれるものについて、大きく分けて2つのカテゴリがあることを理解しておいて下さい。
その一つは氏名、住所、電話番号、生年月日などの基本属性情報です。そしてもう一つは、医療・健康情報、信用情報、犯歴、宗教などのセンシティブ情報と呼ばれるものです。
これらの情報のうち、複数が絡み合って誰にでも個人の特定が容易な状況になった場合に初めて、法律上保護されるプライバシー情報となります。言い換えれば、名前だけとか、メールアドレスだけが流出しただけではプライバシーが侵害されたとは認められないと言うことです。
ではそうした個人情報は、どのような経緯で漏れてれてしまうのでしょうか。
パターンとしては次の5つが考えられます。
- 第三者が悪意を持って公開する
- 第三者が保有するデータが不注意により流出する
- 自分が運営するホームページから不注意により流出する
- 不正アクセスにより意図的に持ち出される
- 個人情報収集目的のサイトに騙される
1.第三者が悪意を持って公開する
自分の個人情報を知る第三者が、それをネット上で公開することはいとも簡単で、しかも未然にそれを防ぐ方法はありません。様々な防犯知識を身に付けている私だって、誰かが私の携帯番号をネットに投稿することを未然に防ぐ術はないのです。インターネットが一般 化するに伴いこうした被害相談も年々増加傾向にあります。
相談事例
とあるアダルトサイトの掲示板で私の本名、携帯電話番号、メールアドレス、身長、年齢などが書き込まれ公開されてしまいました。それから非通 知の電話が日に100件弱、気持ちの悪いメールがたくさん送られてきます。犯人は友達が出会い系サイトで知り合った人らしく、友人の携帯電話から私の個人情報を盗み書き込みをしたそうです。 とりあえず携帯電話を解約し、新しい番号を取得しようと思うのですが、個人情報が流出してしまったので不安でなりません。記事も消えないままですし…。
おやおや。この方は友人のトラブルの巻き添えを食ってしまったようです。自分の管理が及ばないところで自分のプライバシーが漏れてしまうことは良くあることで、このケースのように友人の携帯電話から漏れてしまうことは、その典型例といえます。
このケースでは幸か不幸か住所までは書き込まれていないようですから、誰もが被害者個人を特定可能な個人情報とは言えませんね。
アダルトサイトの掲示板に他人の名前を利用してメッセージを投稿する行為は、刑法上の名誉毀損罪や侮辱罪に該当する行為ですが、この犯罪を構成するためには、書かれた内容から「客観的に個人が特定可能」である必要があります。
だからこのケースのように名前と携帯電話番号とメールアドレスが書かれたというだけでは、警察が刑事事件として捜査をする可能性は低いと思われます。ただし民法上は、不法行為として損害賠償請求の理由にはなりますので、書き込んだ相手が特定できれば訴えることは可能です。
その為には、書き込まれた掲示板の管理者に投稿日時とIPアドレスを教えてもらう必要があります。その後、掲示板の管理者に投稿記事の削除依頼を行うなり、悪戯電話がひどい場合には非通知の着信拒否や最悪は番号変更することが当面の対処法となります。
ただし今後も継続してこのような嫌がらせが行われ、身に危険を感じるような状況になった場合にはストーカー行為としての立件も可能となりますので、居住地を管轄する警察署の生活安全課へ相談しに行きましょう。
2.第三者が保有するデータが不注意により流出する
冒頭で紹介した事例に代表されるように、ウェブサーバー上に蓄積されている個人情報が管理者のミスによって流出してしまうケースがこれに該当します。
そしてその具体的なミスの原因は概ね次の2通りとなります。
・ アクセス対策ミス
ホームページをお持ちの方ならお分かりでしょうが、注文フォームや登録フォームから送信されたデータは、通常はメールで受け取ってサーバー上には保管しないようにしておくか、保管するにしてもHTMLファイルとは別の専用領域(CGI-DATAなど)に蓄積し、その領域には外部からアクセスできないようにアクセス制限をしますね。
ところがこうした初歩的な対策を怠った場合にデータファイルがウェブ上で公開状態になってしまう結果になります。いくら自分では非公開にしているつもりでも、ウェブサーバー上にあるファイルと言うものはロボット検索エンジンに見つかってしまうこともあるわけで、大半の個人情報流出事件は、そうしたロボット検索によって偶然誰かに見つかってしまっただけなのです。
ロボット検索でヒットしたサークルの名簿
ロボット検索でヒットした出会い系サイトの私書箱転送リスト
この仕組みは「かくれんぼ」を例に説明すると分かり易いでしょう。普通のかくれんぼでは、隠れる人は自分の隠れ場所は秘密にしています。だから鬼さんが自力で探し出さない限り見つかることはありません。ところがウェブサーバー上のかくれんぼでは、鬼さんにあなたの隠れ場所を教えてしまうお節介なキャラが登場します。これがロボット検索エンジンです。
ロボットは、日頃からあらゆる隠れ場所を巡回して、どこに誰が隠れているのかを常にマークしています。そして鬼さんが「名犬ヨッシーはどこにいる?」と尋ねた場合には、即座にその場所を教えられるように準備をしているのです。
だから、「これはどうしても隠しておきたい」というファイルがあるならば、あらかじめロボットとの間に「ここは教えちゃダメ」という約束を取り交わしておく必要があります。この約束のことを一般的にロボット対策と呼んでいます。
ロボット対策にはいくつかの方法がありますので、以下のサイトを参考にして最適な方法で対策を取っておいてください。
(ロボット対策参考サイト)
No Need Robot Club
http://www.juraihelm.com/NNR/
Robotはぢきについて
http://c-moon.jp/robots.shtml
・データファイルの管理ミス
データファイルと言うのは、注文フォームなどのCGIが受け取ったデータを保管するファイルのことです。このファイルには、顧客の注文内容や連絡先等の重要なデータが含まれるので、管理者としては外部から覗かれないように注意しているはずなのですが、何らかの理由によってデータファイルのファイル名が知られてしまうと、誰でもブラウザで簡単に閲覧が可能となります。
ファイル名が知られてしまう理由にはいくつかありますが、比較的ありがちなのは無料で配布されているCGIスクリプトを使用している場合です。何故なら、無料で配布しているということは、誰でもそのスクリプトをダウンロードして設置マニュアルを読むことが出来るわけで、それを読めば、データファイルが初期設定では何と言うファイル名になっているのかが分かります。
従って、そんな公開型スクリプトを初期設定のまま使用していたのでは、同じスクリプトを使用している者には容易にデータファイルの設置場所を知られしまうと言うことです。それだけにマニュアルにはちゃんと「データファイル名は必ず任意のものに変更して下さい」と書かれています。なのにそのまま使っている管理者が結構いるもので、出会い系掲示板を対象に1時間ほど調べただけでも4件のサイトでデータファイル名が初期設定にままになっていました。
データファイルの名称が初期設定のままだったために、メールアドレスが記載されたデータファイルが閲覧可能だった掲示板サイト(右がdatファイル)
仮に独自のスクリプトであっても油断はなりません。
そのデータファイルの名前が送信元CGIのファイル名から容易に連想可能なものだった場合にも危険です。例えばアンケートの送信フォームが「unquite.cgi」で、そのデータファイルが「unquite.dat」であれば即座にばれてしまいます。
いずれにせよ、こうした初歩的なミスにより自分が保有する顧客情報が漏れてしまった場合には、重過失により損害賠償を請求されかねないので十分注意しましょう。
(対策)
1. データファイルの拡張子は「.dat」や「.csv」ではなく「.cgi」にする。
2. データファイルのファイル名は推測が困難なものにしておく。
<\ hr>
3.不正アクセスにより意図的に持ち出される
これについても、前述の裏返しと考えてください。大半の事件では管理者の設定ミスや不注意により容易にデータファイルが閲覧可能になっていただけの話であり、意図的にサーバーのセキュリティホールをついて侵入したり、セッション・ハイジャックなどの高度な技術を駆使して情報を盗み出すような事例は極めて稀だと思います(たぶん)。
何故ならそういう手口により苦労して盗み出した情報をタダでネット上で公開するなんて考え難く、ひいてはサイト管理者が情報を盗まれたことにすら気づかないからです。
しかし本格的な不正アクセスの対策となると、自社で専用のサーバーを運用している場合はともかく、レンタルサーバーなどでサイトを運用している一介のウェブマスターが取りうる対策には限界があり、不正アクセスにはほとんど手の打ちようがないのが実情です。
そういう点で、あまりにも利用料が安いレンタルサーバーなどはセキュリティ対策に最低限の対策さえ講じていないんじゃやないかと思えてなりません。へたなレンタルサーバーを借りるくらいなら、プロバイダのサーバーでホームページを開設した方が安全ですよ。
4.個人情報収集目的のサイトに騙される
魅力的な賞品が多数当選するようなうたい文句の懸賞サイトや、ダイエット商品のモニター応募、アダルトグッズ関係の資料請求など、ネット上で自ら個人情報を送信してしまう機会は無数に存在します。
もちろん全てが危険だとは言いませんが、中には最初から個人情報の収集だけを目的にしたダミーサイトが存在する可能性も否定できません。
そのようなサイトに個人情報を送ってしまった場合、それが名簿業者へ転売されたり、ダイレクトメールやスパムメールの宛先名簿として悪用される結果となります。中には、性的嗜好や復讐代行など、人には知られたくないような秘密を収集しておいて、後でそのことをネタに口止め料を要求するような悪質なサイトがあることも事実です。
万が一そのような恐喝を受けた場合には、決して応じることなく速やかに警察へ被害届を出すようにして下さい。一度でもお金を払ってしまえば、それ以後も繰り返し同様の要求をされるのが目に見えています。
尚、日頃、自分の個人情報を送信する場合には、その相手方が信頼できるかどうかを「プライバシーポリシー」の内容や「プライバシーマーク」の有無で見極めて、必要最小限の情報だけを提供するように心がけましょう。個人的な感想を言わせてもらえば、単なるアンケート調査に何故、住所や電話番号などの詳細な個人情報が必要なのか理解できません。その情報の利用方法や収集目的が明確でないサイトには、不用意に情報を渡さないこと。この一言に尽きます。
日本情報処理開発協会 http://privacymark.jp/
PAGE END
