会員名簿ネット流出

パソコン通信やインターネット・ダイヤル接続などで、ユーザーのパスワードや個人の住所などの情報が盗まれ、悪用される心配がある事件の総称。NTT系のインターネット接続プロバイダであるNTTPCコミュニケーションズが運営するInfoSphereの会員約7000人分の接続用のパスワードが、不正なアクセスによって外部に漏れている可能性があることが1997年6月23日までに分かり、インターネット・ユーザーの間で話題になった。InfoSphereが外部から不正アクセスを受けたのは1997年5月末で、NTTPCコミュニケーションズでは発覚した後の1997年6月2日になって、対象となる会員に電子メールで通知し、強制的なパスワード変更を促し、変更が行われるまでは基本料金以外の接続料金を徴収しないことになった。詳細情報はURL(http://www.sphere.ad.jp/)で知ることができる。リムネットも1997年8月から9月にかけて、約80人分のIDとパスワードを記録した「パスワードファイル」が、ホームページの掲示板などに掲示された。また、ソネット(So-Net)でも、同じころ一部の会員のパスワード・ファイルが米国のホームページなどに掲載された。1998年1月13日には接続料金が月額固定で800円からと低価格のサービスをアピールしていた新宿区のプロバイダ「ポンポンネット」のコンピュータが不正アクセスを受け、会員のアカウント名、IDやパスワード、漢字表記の会員の実名のほか居住するマンションの部屋番号を含む住所、会員が受けている料金コース、入会した年月日までがホームページに掲載された。警視庁原宿署は1998年2月19日に、東京都大田区在住の私立高校1年の男子生徒(16)を電子計算機損壊等業務妨害、強要未遂の疑いで逮捕した。プロバイダの監督官庁である郵政省は1998年1月16日に、ホームページで公開された実名や住所は、重要な個人情報と判断し、同時にネットワーク上の安全基準を示した同省のガイドラインに違反する疑いがあるとして、新宿区のプロバイダに対しても事情聴取を開始した。プロバイダは聴取に対して、個人データの管理が甘かったかもしれないなどと、認識の甘さを認めた。また、プロバイダの会員への対応に関しても不満の声がユーザーから多いことも事実である。プロバイダの選び方の重要なポイントとして、セキュリティがクローズアップされるようになっている。1998年1月に都内のコンピュータ・システム開発会社のプログラマ(28)が自分個人のパソコンに人材派遣業大手のテンプスタッフに登録している女性約9万人分の個人データをコピーして持ち出し、情報を販売している神奈川県の運営業者に譲渡してインターネットのホームページ上で売り出されてた。このプログラマはデータ持ち出したことを認めている。しかし日本の場合、刑法の規定する窃盗罪は、具体的な形を持つ「モノ」が盗まれたことを想定しているため、電気信号である情報データのコピーは、処罰の対象となっていない。やはり1998年1月に発覚した「さくら銀行の顧客データ流出事件」も顧客データの項目説明書を持ち出していたことで業務上横領罪で起訴し、窃盗罪ではない。ソネット(So-Net)ユーザーのパスワードの一部が漏れて、1998年5月8日にソネット(So-Net)のWeb掲示板コーナーに、ホームページを開設できるオプションサービス「U-Page Pro」を受けている約6,000人のうち約280名分のtelnet/FTP用IDおよびパスワードが掲載され、数時間後、ソネット(So-Net)側が発見して削除した事件が起こった。同様の内容は他の掲示板などにも転載され、転載掲示板の発見と削除依頼が続けられた。リムネットは1998年4月20日ごろから5月にかけて、不正アクセスを受け、多数のアカウントで無差別にアルファベット順でパスワードを入力して接続を試みる攻撃を受けた形跡が見つかった。リムネットでは、会員に多額の請求が届く可能性もあり、接続記録を参照し不審な場合にはサポートデスクに連絡するよう、訴えている。この種の不正アクセスの防止は困難で、会員側が定期的にパスワードを変更しない限り、盗用の可能性はどんなプロバイダの利用者にもある。企業向けサービスを展開していた日本法人のPSINet社は、1998年9月に国内大手で老舗プロバイダのリムネットを買収し、本格的に個人ユーザーの取り込みに入った。最近トラブルが多かったリムネットであったが、技術的に優秀なPSINetが資本参入することで安定したサービスの提供が可能になることだろう。米国大手の無料電子メール・アドレスを提供しているHotmailでもパスワードが漏洩し、1998年8月25日にあるエキスパートが膨大なアカウントを見せ、どの電子メールサービスのアカウントでも攻撃に弱いことを警告した。インターネットで市場調査などを行っている「ガジェット」は1998年10月26日に、コンピュータ・ネットワーク経由で不正アクセスされ、氏名や住所、電話番号、銀行口座などの79人分の会員情報が流出し、ホームページ上の掲示板に勝手に掲載され、コンピュータ内にあった財務・販売データが削除された。個人情報の漏洩ではないが、米国の労働省が本来、米国東部時間1998年11月6日午前に発表される予定であった雇用統計のうち雇用者増に関する情報が、1998年11月5日午前に民間アナリスト向けにインターネットで提供しているデータの中に誤って混ざり、情報はまたたく間に市場を駆け巡るという人的なミスが起こった。労働省ではいったんデータを消したが、既に多くの人が見ていたため、再び掲載して雇用統計全体を1日繰り上げて発表した。NTTとNTT移動通信網(NTT DoCoMo/NTTドコモ)が業務に利用しているデータベースから顧客の住所、氏名、電話番号などが不正に流出した疑いが出てきたことから、郵政省は1999年7月2日にNTT東西両地域会社とドコモに対し、事実関係の調査を指示した。NTTでは再編成直前の1999年5月に、兵庫県の姫路営業支店の社員が加入者の住所や電話番号などの個人情報を有料ウエブサイトの運営者に提供し、現金を受け取った収賄容疑(NTT法違反)で逮捕され、起訴されている。この事件を重視した郵政省は、6月に再発防止と個人情報保護の徹底を求める行政指導を行い、NTT側は1999年6月25日に、監査ログの分析ソフトウエアの開発や社員教育の徹底を柱とする防止策を発表したばかりであった。東芝は1999年11月に、「個人情報保護方針」の公式サイトをURL(http://www.toshiba.co.jp/privacy/index_j.htm)で公開した。郵政省は1999年12月27日に、個人情報漏えい事件に関してジェイフォン東京に対する措置等を発表した。また、米国では教育目的で、セキュリティ情報サイトで、ハッカー情報やハッキ ング情報などを提供しているOnline上にあるAntiOnlineが登場した。詳細情報はURL(http://www.antionline.com/)で知ることができる。米国のNCES(National Center for Education Statistics)は2003年3月31日に、教育関連のセキュリティ・レポート「Weaving a Secure Web Around Education: A Guide to Technology Standards and Security 」を公開した。詳細情報はURL(http://nces.ed.gov/pubsearch/pubsinfo.asp?pubid=2003381)で知ることができる。オリエンタルランドは2004年1月4日に、東京ディズニーランド、東京ディズニーシーの年間パスポートを保有している個人情報が漏洩した疑いが浮上し他と報告した。詳細情報はURL(http://www.olc.co.jp/news/20050104_01.html)で知ることができる。ニューヨーク・タイムズ(The New York Times)は2005年7月26日に、データ泥棒の深刻な問題を調べ、「Main Street in the Cross Hairs」というレポートを紹介した。データ泥棒は顧客データ、しばしば国家の消費者チェーンを選び、彼らが店の外に車を駐車するか、地方のスターバックスでセットアップして、店の周りで利用できる信号を探し、店のコンピュータ・システムにアクセスして個人情報を受信すると考えられ、それを実際に可能かどうかをテストした。FTC(Federal Trade Commission/米国連邦取引委員会)と共に、の不法な行為と戦うため、商工会議所、クレジットカード会社、銀行などが立ち上がったと報告している。詳細情報はURL(http://www.nytimes.com/2005/07/26/business/26card.html?adxnnl=1&adxnnlx=1122438059-lleoyU9PhkxZHiPqKj5+8Q)で知ることができる。ただし、最近の企業が紛失したり、間違え手捨てたり、簡単に不正アクセスを受けて個人情報を流出する事件が多発して、中には報告すれば許されるとでも考えているのではと疑いたくなるような無責任な銀行や企業までいる。