個人情報漏洩
沖縄のとある銀行でまたまたずさんな事故が発生。今度は個人情報漏洩だ。
10月25日付で「マグネットテープの誤送付による個人情報漏えいについて」と題されたプレスリリースが出ている。読んでみて、正直なところ笑いを禁じえなかった。あまりにもお粗末すぎる。
僕も流出対象になっている可能性があるので気になっている。疑問に思った点を記しておきたい。
一部業務を委託している○○○○ビジネスサービス株式会社(弊行子会社)において、お客さまの情報が記録されたマグネットテープ(以下MT)を委託先に送付返却する際、誤った運送原票を貼付したため、別の委託先へご送付する個人情報漏えい事故が発生しました。
MTデータは、クレジットや掛金等の引落結果明細。記載されている情報は、「顧客の氏名、支店番号、口座番号、引落金額等」だという。
これは非常に重要なデータだ。顧客氏名と口座番号だけでも事故としてはレッドカード。今回はこれに加え「引落結果」すなわちクレジットが引き落とされたかどうかという信用情報の核心中の核心が流出したことになる。
問題の一点目は、データとして記載された情報について、銀行が漏えい内容を正確に公表していない点だ。「主な記載情報」としたうえで、「氏名、支店番号、口座番号、引落金額“等”」と公表している。銀行が勝手に端折っているのだ。引落が可否が読み取れる可能性が高いだろう。この重要性を敢えて隠蔽している点は悪質という他ない。
当該MT送付当日に、誤送付委託先からMT専用ケースに記載されているコード番号が自社のものと相違している旨の連絡があり、調査した結果、誤送付が判明したものです。
問題の二点目は、この銀行自身で発見することができなかった点だ。誤送付した先が親切で、正直で、誠実だったから、幸運にもMTを回収することができた。この銀行はこの種の幸運は当然のことと思っているのだろうか。チェック機能が全く働いていない。信用情報を扱っているという責任の自覚が欠落しているように感じる。
誤送付発生の確認後、誤送付委託先から即日回収を行い真正な委託先へ送付を行っております。また、誤送付委託先から当該MTデータを読み取ったものでないことを確認していること、これまでにお客さまからの照会や弊行に対する不当要求等、問題となる事象は生じていないことから、外部への情報流出の可能性は極めて低いものと考えております。
うーん、どういうロジックなのだろうか。
問題の三点目は、誤送付した先が「MTデータを読み取ったものでない」ことをどうやって確認したのか不明な点だ。「送付物を開封しなかった」という証拠があるのだろうか。
おそらくそうではなく、今回は先方が開封してしまったのだろう。開封して「MT専用ケース」を取り出した際に、「ん?これは受け取るべきものと違うぞ」と誤送付先の担当者が気づいた、ということなのだろう。想像するに、読み取り器にセットしていない、という証言を先方から得たのだろう。セットしていなかったから、「MTデータを読み取ったものでない」というのが銀行の言い訳と思われる。いやいや、それだけでは何の証明にも弁解にもなっていないでしょう?そもそも「MTデータを読み取ったものでない」という日本語がよくわからないのだが。
問題の四点目は、流出によって発生するであろう問題事象の認識が誤っている点だ。“顧客からの照会”や“銀行に対する不当要求”がないことからといって、外部へ流出した可能性が極めて低いことの証明にはならない。「2か月たっても何の問題も起こってないみたいだから流出してないと思うよ」というに等しい。銀行から漏れ出した個人情報がどのように使われるか、その恐ろしさをもう少し自覚するべきではないか。
問題の五点目は、データの移送にMTを使用している点だ。よくわからないが、今どきデータの受け渡しでMTなんて用いる企業なんて他にあるのかね。MTは記録媒体としては安価かつ技術的にも成熟しているので、バックアップ用としては十分価値がある。しかし今回はたった2千数百件の引落データだよ?今やオンラインで授受したほうがよっぽどリスクが低いと思うけれども(笑)
問題の六点目は、データを暗号化していたかどうか不明な点だ。オンラインでの授受のほうがリスクが低いことと関連するが、今やこの種のデータ交換では暗号化(スクランブル)をかけるのが常識である。「強力な暗号化手段により保護されていますので、解読される可能性は極めて低いです」と記載したほうがよっぼど顧客としては安心である。まさか、プレーンテキストのCSVデータだったわけじゃないですよね。まさか。
問題の七点目は、プレスリリースの責任部署が記載されていない点だ。問い合わせ窓口として「営業統括部お客さま相談室」のフリーダイヤルが掲載されているが、これはおかしな話だ。リリースの責任を負う部署と、対応する部署は峻別されるべきだ。
沖縄のある銀行のプレスリリースには通常「総合企画本部」が銀行名とともに右肩に記載される。今回に限らず、不祥事の場合はこの総合企画本部名はいつも落とされる。総合企画本部にはリスク管理部も含まれているようだが。うーん、これがこの銀行の体質なのだろう。ひどいものだ。