オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ベネッセの思う「重要でない情報」を7つのケースで考える

»

連日のニュースでも大きく取り上げられ、政府まで巻き込む大きな問題になってきました。

漏洩経路等も解明されつつありますが、どうしても腑に落ちないところが、センシティブ情報(重要な情報)は含まれていないという部分です。

たしかに、住所、連絡先や氏名、生年月日等、個人情報の基本的なものであります。基本的なものだから、センシティブ情報ではない?
情報を「お預かりした」立場個人情報における「プライバシー」の考え方誰が何の情報を「そのように感じるか?」などを考えてみたいと思います。

氏名

極端な言い方ですが、氏名がなければ、救急車も呼ぶことができません、と以前に何かの本で読んだ記憶があります。

街中で知り合いに会えば、名前を呼ばれることもありますし、銀行などの窓口でも同じです。

今回の漏洩では「預けている」情報が漏れました。氏名くらい・・・なのでしょうか?

その1.

どうしても氏名を知られたくない場合、例えば「ストーカー」などで考えた場合、どうでしょうか?

氏名という情報を知られることで、職場や自宅の場所、ネット上での検索、聞き耳・・・他の情報を調べるための第一歩になると考えます。

その2.

振り込め詐欺等の犯罪に利用される場合もあるでしょう。次に書きますが連絡先を知らなければ、電話も出来ませんが、氏名を知っていることで、その方の近い人に「なりすます」ことが簡単にできてしまいます。オレオレと言った後に、相手が**ちゃんかい?と勝手に思い込むものとは違い、氏名そのものを知っているだけで、色々な活用が出来てしまいます。それらの情報収集が後に集積して「結構間違いのないように感じる情報」へと変化していきます。

連絡先

その3.

連絡先が自宅電話の場合、ダイレクトな勧誘電話がかかってきます。最近は地域の電話番号を1個ずつ端からかけてくるケースもありますが(経験済)、ピンポイントでかけてきています。なぜなら、連番で電話番号を持っているので、端からかけていればすぐにわかりますw

結局は、相手も無駄に連絡しても仕方ないので、それなりの属性(学習塾等)と、対象者に向けて利用されます。

その4.

連絡先が携帯の場合、私のケースでは「ほとんどが忙しいとき」にかかってきます。結局は望んでいない連絡が、こちらの都合も知らずにかけてくるので、そういう結果になっていると思っています。

ワン切りのような連絡も多くあるので、知らない番号で後から調べる時間があるときは、電話番号を検索します。迷惑電話等のデータベースに登録されていることが多くあるので、相手がわかります。電話帳に登録して、相手にはもうかけないでくれと依頼してます。

今どき少ないでしょうが、ゴム紐買えの押し売りの如く、繋がった電話を切らせないために、一方的に話をしてきます。5秒で判断したいところですが、もう少し時間がかかります。途中で話を遮って切るようにしています。どこで番号を知ったのか?聞くようにしていますが、ほとんどの場合「個人情報保護法に基づき行っております」と訳のわからないことを連発され、更に突っ込むと一方的に切られるという、何とも後味の悪いものになっています。

生年月日

その5.

時期にあわせたピンポイントで利用できます。学校の入学卒業、受験、就職・・・季節ごとの案内、夏の時期ならば夏期講習など・・・

生年月日が若いほどに、先々の利用できる期限は長くなります。

また詐欺や情報収集の一部に利用される場合、干支もわかりますし、霊感商法的な利用も十分に考えられるのではないでしょうか?

どこの家庭にも、色々と人には言えない問題を抱えているものです。生まれ年や、月日から、何でもこじつけることが出来るでしょう。インチキ占い師のように、抽象的に言うことで聞き出したり、利用する側のスキルによるでしょうが、生年月日を知っているのに、遠回しにお子さんは小学生低学年くらいで、暑い時期にお生まれでしょうか?・・・などなど、初めから知っているのに、あたかも今見えます!的な話に持ち込むことなどなど・・・

情報そのものを直接利用せず、間接的に利用されては、受け側は何もわかりません。漏洩情報を抹消するために**費用がかかりますが、今後のことも考えて・・・などと、実際に出来もしないことを言ってくるのが、詐欺師の常套手段です。つけ込まれるネタになってしまいます。

住所

その6.住所はDM等郵送ならば、捨てるだけですが、これを嫌がる人も多くいます。なぜ知ったのか?どこで収集したのか?など・・・

しかし、ポイントカードや、アンケート、懸賞等、かなり多くの場所でこれらの情報を提供しています。どこから来たのかわからないケースも多いです。以前は、個人情報の提供先ごとに符号をつけて管理していた時期もありましたが、結局面倒になり今はしてません。

符号とは、今回の漏洩でも発覚した住所や名前の一部を変えることです。名前に1文字足したり、ひらがな、カタカナに変えること。住所ならば、1-2-3のような住所の後に、4-5-6を足すことです。実際には1-2-3の住所なので4-5-6は無視され郵便物は届きます。マンションならば-101を-101abcなど余計なものを足すことで提供先別に管理することが出来ますが、現実的ではありません。私の場合、20件くらいまでは記録していましたが、記事項を別途ノートなどに転記しなければならないので・・・結局続きませんでした。

しかし、住所って言うまでもなく住んでいる場所です。先の救急車は来ることが出来ますが、それ以外に郵送物でないものまでも来る(行く)ことが出来ます。

住んでいる場所を知られたくない人は、結構多いのではないでしょうか?

これらの情報が組み合わされば

その7.

振り込め詐欺に使われれば、今までの基本情報といわれたその1~その6迄の情報を元に、それ以上の情報を聞き出すことが出来てしまいます。振り込め詐欺に関するブログ

最近では国勢調査になりすました電話が発生しています。実際の国勢調査は5年に一度、来年2015年ですが、ほとんどの方はその時期を知りません。でも、国勢調査です・・・などと言われると、答えなければならない義務のようなものを感じてしまい、勧誘の連絡では「絶対に答えないような質問」にまで、素直に言ってしまうものです。

情報の1つずつは、大した問題でないかも(実際は大した問題)知れませんが、情報が収集、集約され、間接的に利用されれば、釣りで言う「大きなエサ」になってしまいます。

起きうる可能性で言っているのではなく、実際に先の事例のように断片的に利用されている事実を知らなければなりません。

それでも重要な情報ではないのか?

情報セキュリティでもそうですが、情報ってものの性質をよく知っておきたいものです。

今回はこれらの情報がベネッセから漏れましたが、同じような情報を自身でも何処かへ何らかの形で提供しているものです。

自身でも言っていることならば、今更。。。とはなりません。基本的な個人情報であっても、それが嫌と思うのは、個人情報の本人、家族です。本人や身内以外の人には判断できないことなのです。

前回も書きましたが、何らかの事情により、いまそこにいない人、亡くなってしまった人・・・

嫌と感じれば、嫌なのです。嫌の感じ方は「人それぞれ」違います。他の人がどのように感じようと、思おうと関係ありません。嫌なものは嫌なのです。

情報を預ける側が出来ることは、預けて大丈夫な相手か?と自身で確認することくらいしかできません。今どき、情報なんて「既にどこにでも」ありますがら、今更何ができるのか・・・な感じもしています。

預かる側は、たとえ一般的にありそうな普通の情報であっても、それらの情報を収集するために「どれほどの労力とコスト」をかけているのか・・・十分に知っているはず。

乱暴な言い方をすれば、管理出来なきゃ預からないのが、一番いいでしょう。ないものは漏洩も起きません。金融機関がお預かりしている預金が流出してしまった? お預かりしているのはお金です。ほとんどないことと思いますが、情報と何が違うのでしょうか?

例えとして、個人情報が詰まった紙のファイル(100万円分の価値)と、現金100万円の管理の方法は、どうでしょうか? ファイルはカバンに入れて電車に乗っても棚に置きますが、100万円が入ったカバンならば、とても置けないと思います。外見は同じカバンです。

情報の管理、お預かりしているものの管理、こんな感じですが、どちらも大きくかわりません。難しいところでもあります。

Comment(4)