カード情報がアングラ・サイトで売買されるなどビジネスとして成り立つようになり、カード情報漏洩による不正利用事件が続発しています。カード情報漏洩には内部反抗と外部攻撃の2つの原因があります。今回は情報漏洩が起きる要因と防止策について解説します。

内部犯行によるカード情報漏洩

近年、内部犯行による情報漏洩が多発している理由はデジタルデータを簡単に大量コピーできることが多い
近年、内部犯行による情報漏洩が多発している理由はデジタルデータを簡単に大量コピーできることが多い
2009年7月、外資系生命保険会社アリコジャパンからカード情報が流出したと発表。対象となったのは2008年2月26日から4月10日までの間、ホストコンピュータ内にあったカード情報です。

アリコジャパンによると情報が流出した可能性がある契約者は1万8,184人で、何者かがカード情報が入ったファイルをプログラムで抽出し、社外へ持ち出しました。ファイルには氏名や住所、電話番号は含まれておらず、カード番号と有効期限が流出しました。

アリコジャパンでは、委託しているシステム開発事業者が顧客情報にアクセスできるようになっており、事業者のコンピュータから不自然な複数回のアクセスがあったことが履歴から特定できました。データを抽出した人物を絞り込み特定でき次第、刑事告訴する方針です。

流出したカード情報はカード番号と有効期限だけで購入できるネットショップで不正使用され、2009年9月10日時点で4,292件となっています。カード不正使用件数では国内最大になりました。

2004年2月、Yahoo! BB登録者約450万人分の個人情報漏洩事件が発生。元派遣社員が、外部からデータベースのアクセス用IDとパスワードを使って個人情報にアクセス。アクセス用IDが個人ではなくグループ用IDだったため、派遣社員が辞めても消去されなかったことが原因です。

内部犯行によるカード情報漏洩を防ぐ対策

対策としては個人情報の入ったサーバーへのアクセス履歴をチェックし、おかしな動きがないか定期的に確認。アクセスできる人間を極力減らして特定しやすくし、心理的な抑止力が働くようにする。退職者が出たらグループIDも含めてパスワードを全て見直す。これを徹底するしかありません。

極端な例では社内にカメラを設置して録画するなどです。ただし、従業者がモラルダウンするおそれがあります。事前に教育をし、しっかり目的を理解してもらいます。もちろん教育は、正社員だけでなくパートやアルバイトも含みます。

システム開発を委託する場合、本番データではなく本番データと遜色がないテストデータを用意し、検証は委託先にまかせず委託側でしっかり行うことが必要です。今までシステム開発事業者に丸投げしていた部分を自社で行うことになりますので、労力と予算が相当かかります。