米国鉄道大手「アムトラック」に秘書として勤務していた職員が、米国司法省管轄の法執行機関である麻薬取締局(Drug Enforcement Administration、DEA)に対して、乗客に関する個人情報を売却していたことが発覚しました。
このセキュリティ事故は、アムトラック監察総監室(Office of Inspector General、OIG)が発行している四半期レポート [1]によって明らかになりました。このレポートを受け、米国アイオワ州上院議員の Chuck Grassley氏がニュースリリース [2]を含め書簡 [3]で説明を求める騒動に発展しています。
■19年間で約 8,700万円相当の個人情報を売却
この事故の最も特徴的な部分は、職員が乗客に関する個人情報を 1995年から 19年間継続して不正に売り続けていた点にあります。つまり不正行為が 19年間誰の目にも止まることなく継続して行われていたということです。この個人情報の不正売却により、職員は累計で 854,460米ドル(2014年8月15日時点、約 8,700万円)を受け取っていたことも明らかになっています。
また今回の事故においては、当該 2組織が加盟するタスクフォースを通じて無償で入手できる情報であるにもかかわらず、税金がこのような形でこの情報に支払われ続けていた点も問題をより複雑にしています。さらには事故発覚後、この職員は最終的に自己都合退職していることもレポートにて報告されています。
そもそも今回の事故がどのようにして発覚したのかはレポート公表内容には含まれていませんが、なぜこのような個人情報の外部流出、不正売却が 19年間という長期間行われ続けることができたのかという点で、内部統制やセキュリティ対策の状況が疑問視されます。
■5社に 1社が社内システムからの情報漏えいを経験
情報漏えいの事故は国内外で後を絶ちませんが、実際トレンドマイクロが 2014年3月に国内で実施した「組織におけるセキュリティ対策 実態調査 2014 [4]」においても、調査対象となった 1,175サンプル中 19.8% に当たる 233件で社内システムからの情報漏えいを 2013年に経験したと回答しています。つまり、5社に 1社が社内からの情報漏えいを経験しているという計算になります。そして、情報漏えいを含む何らかのセキュリティ事故を 2013年に経験していると回答した 778サンプル中 3.6% に当たる 28件で「盗まれた情報が悪用された」事実を確認したと回答しています。もはや情報漏えい事故は、他人事ではありません。
■組織的な取り組みは急務
これまでは情報漏えいというとサイバー攻撃といった外部から行われるものはもちろん、社員による「うっかり」といったものがとかくクローズアップされがちですが、今回の事例を見ても「内部犯」による情報漏えいは無視できない問題であることがわかります。このような問題に対して、企業としては、セキュリティポリシーやガイドラインといったものを整備し全社的に浸透させることや、社員教育や注意喚起といった取り組みを通じて一般社員のリテラシー向上や抑止力向上を行う必要があります。
また、標的型サイバー攻撃などにおいては、「侵入は必ず起きるという前提で対策をする」ことの重要性が昨今うたわれ始めていますが、今回の事例を含めて、情報漏えいにおいても「内部犯行は必ず起きるという前提で対策をする」という考え方を企業においては持たなくてはいけないことを示しています。
参考情報:
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=143 [4]
http://www.grassley.senate.gov/sites/default/files/news/upload/OIG_Status_Update_-6-30-2014.pdf [1]
http://www.grassley.senate.gov/news/news-releases/grassley-seeks-answers-dea-payment-854460-amtrak-passenger-information [2]
http://www.grassley.senate.gov/sites/default/files/news/upload/CEG to DEA %28Amtrak%29%2C 8-7-14.pdf [3]