大容量ファイル転送サービス「宅ふぁいる便」の大規模な情報漏えいが波紋を呼んでいる。運営元のオージス総研(大阪市)は1月25日、一部サーバーへの不正アクセスにより約480万件の顧客情報が流出したと発表。メールアドレス、ログインパスワード、生年月日などの漏えいが確認された。
●ファイル流出は「調査中」
また、流出したログインパスワードは、暗号化されていなかったことが判明。オージス総研広報部は弁護士ドットコムニュースの取材に「今現時点で(利用者が送受信した)ファイルが流出していることはないが、まだ確認している最中で調査を続けている。パスワードが暗号化されていなかった理由も調査中」と話した。
同社は他社サービスで「宅ふぁいる便」と同じメールアドレス、ログインパスワードを使っている場合は、パスワード変更することを呼びかけている。
「宅ふぁいる便」を使ったことのある都内の男性会社員(30代)は1月29日朝、報道で情報漏えいの事実を知り、5つのサイトのパスワードを変更したという。「パスワードが平文で保存されているとは思っていなかった。自分のパスワード管理もずさんだったと思い直しました」と話す。
今回の情報漏えいをどう見るのか。2014年に発覚した「ベネッセコーポレーション」の顧客情報流出をめぐる集団訴訟で、原告側代理人を務めている金田万作弁護士に聞いた。
●国内企業ではかなり大規模
ーー今回の情報漏えいの規模感をどう見ますか
2019年2月1日時点で、漏えいが確定した情報としては、氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、居住地の都道府県名、他のメールアドレス、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、職業・業種・職種、配偶者や子供の有無です。
職業・業種・職種、配偶者や子供の有無は選択肢から番号を選ぶ形式のようですが、従前の入力フォームを把握していれば番号から復元できるので、これらの情報も漏れたと考えて良いでしょう。
それが、不正アクセスで約480万件外部に漏えいしたのですから、国内企業ではかなり大規模なものです。
ーーログインパスワードが暗号化されておらず、衝撃が広がっています
望ましくないことですが、一般的に利用者は複数のサービスで同じパスワードやログイン用メールアドレスを使用しているケースがあります。
ログインパスワードが暗号化されずに漏えいすれば、同じパスワードを使用している他のサービスでも容易に不正アクセスが可能になり、情報漏えいによる二次被害が懸念されます。
ログイン情報を預かる企業として、万一情報漏えいが起きたときを想定して、ログインパスワードを暗号化するのは当然で、あれ程の規模の会社でそのようなことをしていないとは驚きです。
●暗号化は「最低限の対策」
ーーベネッセ事件と比較してどうでしょうか
ベネッセ事件と異なるのは、まず外部からの不正アクセスである点です。パスワードの暗号化などの最低限の対策はすべきでしたが、外部からの不正アクセスを完全に防ぐのは難しいので、過失の有無の判断基準も変わってきます。
次に、漏えいした情報に詳細な住所や電話番号といったインターネット外の連絡先(もちろん、他の名簿などの情報と突き合わせば分かる場合もあります)が含まれていない一方、ログインパスワードや職業・勤務先に関する情報が含まれている点もベネッセ事件とは異なります。
ログインパスワードについては上記の通り不正アクセスの恐れも高いです。
メールアドレスについては、住所や電話番号と違い電話営業や訪問販売などに利用される可能性は低いですが、現代社会においてメールは私生活やビジネスにおいても重要な連絡手段ですので、職業・勤務先に関連した詐欺やなりすましメールの被害も予想されます。
●「精神的損害」訴え、集団訴訟も考えられる
ーー現時点で流出した個人情報による二次被害は確認されていないようですが、今後ユーザー側から集団訴訟のようなアクションは取れるものですか
個人情報の漏えい自体で精神的損害が発生するという考え方であれば、ベネッセ事件のように集団訴訟も考えられます。
また、今回の情報漏えいによって不正アクセス等の被害があったとしても、流出した個人情報による二次被害かを確認する手段は現実的にはありません。
しかし、そのような被害がある、または可能性が高いことを前提として、損害賠償を提起し、認められる可能性は十分あると考えますので、集団訴訟も可能と考えます。
「宅ふぁいる便」はファイル共有サービスとして便利です。利便性だけでなくセキュリティにも気を使い、万一の情報漏えいを想定し、不要な情報をそもそも保持せず、不要になれば削除し、重要な情報は暗号化するなどの対策を望みます。
利用者もリスクを意識し、できる限り安全なサービスを選ぶ必要があります。
