NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる
先週の情報漏洩ですが件数もさることながら、漏洩情報の属性が気になるところです。
NTT西子会社の"顧客情報900万件持ち出し"、自治体なども被害に 影響範囲まとめ
NTT西日本グループのNTTマーケティングアクトProCX(大阪市)で、委託先の元派遣社員による情報の持ち出しがあった件を巡り、さまざまな企業や自治体が影響を受けた旨を発表している。NTTマーケティングアクトProCXによれば、10月17日時点で最低でも59の企業・自治体の顧客情報約900万件が不正に持ち出されたことが分かっているという
9年くらい前になりますが、ベネッセの情報漏洩事件を思い出します。
過去ブログ:
ベネッセの顧客情報漏洩に思う「大きな勘違い」
ベネッセの思う「重要でない情報」を7つのケースで考える
10年って長期にわたる持ち出し
今回の漏洩、10年もの期間にわたって行われていたというのは、ベネッセ事件があった9年前、すでに持ち出し進行中だったわけで...持ち出す方も、管理する側も、ザルだったとしか言いようがありません。
結局は、どれだけ世間を騒がすことが起きても、管理する側、される側、どちらも他人事なのでしょうね。本当に残念ですよ。「情報を預かる責任ってなんですか?」と是非聞いてみたいです。
900万件という単位は、量り売りじゃない
これ過去に何度も書いてますが「1人の様々な属性の情報」って肉じゃないのだから、グラム単価的な1人いくらにならないですよ。と言っても、情報を売る側、情報を買う側に取っては、単なる単位でしかないです。
結局は、雑に取得した情報を雑に扱い売りさばく、ここで1人の単価が高いか安いか?業者価格は知りませんが、属性と鮮度や流通量によって、10円程度?100円?どっちでもいいです。
ここで金額の目安は見えてくるのでしょうが、1人1人の大切な情報が「百とか千とか万の単位に変わって束にまとまっただけ」です。漏洩した本人も「特定の属性で自分の情報」含まれていれば持ち出し候補から外すでしょうね。今まで見てき人達はその程度です。
今回の気になるのは属性
そもそもマーケティング目的で使っていた情報は、属性が絞られています。東京都に住む全住民情報とか、大規模スーパーのポイントカード情報など、ざっくりし過ぎているものとは違います。
特定の商品購入者、ネット回線申し込み者、奨学金相談センター、BS無料視聴体験...
自治体の特定健康診断未受診者、自動車税納税情報、税金未納者情報、税金催告者情報...
もう充分です。
本来このデータは、正しい目的をもった使い方をするための情報ですが「その方向が逆に向いた場合どうなるでしょうか?」善悪的な考え方で行けば、悪の方向へ向いた場合は?ってことです。
商品購入者なら似たようなものを勧められるだけでなく、そのネタをきっかけに別な話に展開することも出来ます。創造力を働かせれば無限に広がります。
金貸しますよ!みたいなのもいけるでしょうし、特定健康診断未受診者なら、なぜ未受診か?と。忙しいのか、行きたくないのか...ここでも創造力働かせ「その方向が逆に向いた場合...」となったら、どうなるでしょうか?
属性とはこういうものです。
一次的な直接的な使い方よりも、二次的三次的に繋がる使い方や、そのネタとして...色々見えてきます。そんな事件が既に起きているのはご存じの通りです。
そういう情報を漏らしたという認識と責任は、漏らした側、管理する側、にあるのでしょうか?
これどの企業にも当てはまることです。預かり管理する責任、今一度見直されてください。