プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:個人情報流出

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される
(画像は杉並区のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

(私のコメント)
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ