2500万人の個人データ紛失、英国政府機関の大失態
国民の約4割の個人情報を政府機関が紛失するという事件が英国を揺るがしている。英財務省は11月20日、約2500万人の個人情報が入ったディスク2枚が紛失したことを明らかにした。現在のところデータが直接悪用された痕跡はみつかっていないというが、対応にも問題があって、騒ぎは収まりそうにない。
問題のディスクはCD-ROMで、育児手当受給者の氏名、住所、生年月日、健康保険、銀行口座など725万世帯分のデータが入っていたという。育児手当は、16歳までの子供、または18歳までの学生を持つ世帯が対象で、関係する国民は非常に多い。
紛失は、歳入関税庁(HMRC)が監査局(NAO)に送った過程で起こった。HMRCの職員が配送サービス事業者TNTを利用してNAOにディスクを送付したのが10月18日。これが届いていないことに関係者が気づいたのは3週間後の11月8日。財務相と首相に報告されたのはさらに2日後の11月10日だったという。
紛失の発覚を受けて、HMRCのPaul Gray長官は引責辞任。Gordon Brown首相とAlistair Darling財務相は謝罪するとともに、調査と今後の対策を国民に約束した。Darling財務相は、銀行など関係する金融機関はすでに対策を講じていること、現時点では不審な取り引きやデータ悪用の形跡は確認されていないことを強調している。
また、「ディスクはまだ政府の敷地内にある可能性が高い」とも述べている。11月末現在、警察が捜査中で、100人以上を動員して、イングランド北部にあるHMRCのオフィス、ロンドンにあるNAOのオフィスなどを調べている。財務相は、暫定的な調査結果を12月半ばに、完全な調査報告書を来年はじめに発表すると約束している。
だが、その後の対応にもまずさが目立つ。HMRCは、謝罪の書簡を該当する世帯に送ったのだが、間違った世帯に届いた例が複数報告されている。これは、火に油を注ぐ結果となり、国民の不信感は募るばかりだ。英国では現在、個人の身元確認を強化する取り組みの一環で国民用IDカードの発行計画が進められており、今回の事件の影響で難航する可能性も出ている。
米Gartnerは、この事件が英国金融業界に与える影響を分析したリサーチノートを発表している。それによると、銀行はまず該当口座のモニタリングを強化する必要があるという。そして、データがID窃盗者の手に渡る可能性は「1%以下」としながらも、もしデータが犯罪者の手に渡ったと確認された場合、金融機関は口座を一度閉鎖し、再度開設することになり、総コストは控えめに見積もって5億ドルに相当する、と分析している。
個人情報の管理は、情報化のなかで浮上した大きな問題だ。個人情報管理の失敗は、ID窃盗の危険につながる。保護対策は世界各国の企業と政府に共通した課題である。大規模データ紛失では、2006年に、米退役軍人局が約2650万人のデータを紛失した例がある。
だが、英国のケースは紛失したデータの内容も問題だ。Gartnerは、紛失したデータはID窃盗を試みる者には高い価値があるものだとしている。闇市場では、銀行口座情報はクレジットカード情報よりも高く取り引きされており、1件当たりの相場は400ドルという。英BBCも、闇市場ではIDは1件あたり60英ポンド(約13,200円)で取り引きされており、紛失したディスクの価値は15億英ポンド(約3300億円)に相当すると述べた議員のコメントを伝えている。
この事件での問題点は、まずCD-ROMという物理的媒体を用いた点が挙げられる。しかも、配達は書留ではなく普通扱いだったという。さらに、CD-ROMはパスワードの保護がかかっていたが、暗号化はされていなかったという。実にずさんなセキュリティ対策といわざるをえない。
Gartnerは、政府や企業へのアドバイスとして、機密情報の暗号化、ディスクなどの持ち歩き可能な記憶媒体に機密情報を格納しないこと、データを伝送する際には暗号化したデータを電子的手段を使って行うことなど推奨している。
英Ovumのアナリストは、今回の事件は「規模の点では驚きに値するが、事件が起こったプロセスは従来のケースと似かよっている」と指摘。政府はセキュリティポリシーを根本から見直す必要があると強調している。実際、今回の事件はHMRCにとって、今年3回目のデータ紛失・漏えいなのだという。
そして、職員に責任を押しつけるのではなく、どのようなミスが生じる可能性があるのかなど「リスク分析にフォーカスすべきだ」とコメントしている。
この事件は他のデータ紛失事件と同様、さまざまな教訓をもたらしてくれる。日本の政府や企業にとっても、まったくの対岸の火事ではないはずだ。