NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる

先週の情報漏洩ですが件数もさることながら、漏洩情報の属性が気になるところです。

NTT西子会社の"顧客情報900万件持ち出し"、自治体なども被害に 影響範囲まとめ

NTT西日本グループのNTTマーケティングアクトProCX（大阪市）で、委託先の元派遣社員による情報の持ち出しがあった件を巡り、さまざまな企業や自治体が影響を受けた旨を発表している。NTTマーケティングアクトProCXによれば、10月17日時点で最低でも59の企業・自治体の顧客情報約900万件が不正に持ち出されたことが分かっているという

9年くらい前になりますが、ベネッセの情報漏洩事件を思い出します。

過去ブログ：
ベネッセの顧客情報漏洩に思う「大きな勘違い」
ベネッセの思う「重要でない情報」を7つのケースで考える

10年って長期にわたる持ち出し

今回の漏洩、10年もの期間にわたって行われていたというのは、ベネッセ事件があった9年前、すでに持ち出し進行中だったわけで...持ち出す方も、管理する側も、ザルだったとしか言いようがありません。

結局は、どれだけ世間を騒がすことが起きても、管理する側、される側、どちらも他人事なのでしょうね。本当に残念ですよ。「情報を預かる責任ってなんですか？」と是非聞いてみたいです。

900万件という単位は、量り売りじゃない

これ過去に何度も書いてますが「1人の様々な属性の情報」って肉じゃないのだから、グラム単価的な1人いくらにならないですよ。と言っても、情報を売る側、情報を買う側に取っては、単なる単位でしかないです。

結局は、雑に取得した情報を雑に扱い売りさばく、ここで1人の単価が高いか安いか？業者価格は知りませんが、属性と鮮度や流通量によって、10円程度？100円？どっちでもいいです。

ここで金額の目安は見えてくるのでしょうが、1人1人の大切な情報が「百とか千とか万の単位に変わって束にまとまっただけ」です。漏洩した本人も「特定の属性で自分の情報」含まれていれば持ち出し候補から外すでしょうね。今まで見てき人達はその程度です。

今回の気になるのは属性

そもそもマーケティング目的で使っていた情報は、属性が絞られています。東京都に住む全住民情報とか、大規模スーパーのポイントカード情報など、ざっくりし過ぎているものとは違います。

特定の商品購入者、ネット回線申し込み者、奨学金相談センター、BS無料視聴体験...

自治体の特定健康診断未受診者、自動車税納税情報、税金未納者情報、税金催告者情報...

もう充分です。

本来このデータは、正しい目的をもった使い方をするための情報ですが「その方向が逆に向いた場合どうなるでしょうか？」善悪的な考え方で行けば、悪の方向へ向いた場合は？ってことです。

商品購入者なら似たようなものを勧められるだけでなく、そのネタをきっかけに別な話に展開することも出来ます。創造力を働かせれば無限に広がります。

金貸しますよ！みたいなのもいけるでしょうし、特定健康診断未受診者なら、なぜ未受診か？と。忙しいのか、行きたくないのか...ここでも創造力働かせ「その方向が逆に向いた場合...」となったら、どうなるでしょうか？

属性とはこういうものです。

一次的な直接的な使い方よりも、二次的三次的に繋がる使い方や、そのネタとして...色々見えてきます。そんな事件が既に起きているのはご存じの通りです。

そういう情報を漏らしたという認識と責任は、漏らした側、管理する側、にあるのでしょうか？

これどの企業にも当てはまることです。預かり管理する責任、今一度見直されてください。