5月半ばに婚活アプリを運営する企業のサーバーに不正アクセスがあり、最大で171万人(アカウント数)の個人情報が流出した可能性があることが報道されました。人気のあるアプリであったことと、流出されたと言われるデータの数が非常に大きかったことから「自分は大丈夫だろうか?」と不安に思った人も多かったのではないでしょうか。
今回は個人情報の取り扱いに関して、アプリと結婚相談所の違いをお話していきます。
婚活アプリの個人情報管理は大丈夫なの?
今回の「情報流出」はどういう事件だったのか、何が問題だったのか、まずはその点から見て行きましょう。
今回の事件の概要
今回の情報漏洩が報道されたのは5月21日でした。外部からサービス会社のサーバーに不正アクセスが数回あり、調査の結果、171万人(アカウント数)の個人情報が流出したと発表・報道されました。流出したデータは個人の確認用の画像データ(免許証・保険証・パスポートなど)がほとんどだったようです。
報道によると、外部から不正アクセスがあったことに気が付いたのはもっと前で、公表や利用者への連絡開始までに3週間以上かかっていたそうです。サービス会社の発表では、管理者に成りすました犯人が画像データを流出させた可能性が高いとの事でした。
このサービスが始まったのは2012年からで、利用者は累計約600万人(アカウント)と非常に多いのですが、そのうちの171万人ですから3割近いデータが流出したことになります。この中には既に退会した人のデータも入っているそうなので、過去に利用していた人も驚いたことでしょう。
個人情報の提出と問題点
婚活アプリを使用する人は急激に増えています。同時になりすましや既婚者の流入などのトラブルも増え、サービスを提供する会社もそのような「悪質な人」を排除するために身分証明書などの提出を求めるようになってきました。
「身分証の提出があるので安心!」といった表現も良く見かけますよね。反対にそういったことをしていないアプリなどの信用度は低くなり、結果として提出が必要なアプリの人気が高まったとも言えるでしょう。
アプリの良さはスマホひとつで手続きからマッチングまで全てが行えることにあります。身分証明書の提出も、多くは免許証などを写真に撮って画像を送付するという方法が取られていますよね。そのこと自体はいいのですが、問題はその個人情報がどういう風に使われるのか、どのように管理されているのかなどが、サービス会社に「おまかせ」になっている事ではないでしょうか。今回の情報流出では、企業がどれだけ個人情報管理に力を入れているか、また利用する個人がどれだけその危険性を理解しているかといったことが問題になったのではないかと思います。
個人情報管理が甘すぎだった?
流出を発表した日から、サービス会社は対象者にお詫びや説明を始めました。また電話相談窓口を設けたり、問い合わせフォームを設置したりといった対応を行っています。
しかし、ネット上で一度流出した情報を回収することは不可能です。「膨大なデータの海の中から砂粒を探すようなもの」と言っても過言ではありません。しかもデータはいくらでも複製が可能なため、悪意を持って集める人も少なくないのが現状です。
免許証などの写真は本人確認にそのまま使うことができます。例えば携帯電話の契約も銀行口座もWEBで行う場合には免許証だけで申し込みが可能である場合が少なくありません。それほど免許証の信用は高いのです。
今までも情報の流出騒ぎは何度となく繰り返されてきました。しかし、また今回のような事件が起こってしまったのは、企業の中で「個人情報の管理」の重要性がきちんと認識されていなかったという事になります。
婚活サービスと個人情報
個人情報の電子データ化に伴い、流出や悪用などの犯罪が増えたこともふまえて法律が整備されました。ここではその内容と今回の事件について考えて行きます。
個人情報保護法
個人情報の取扱いに関する法律と言えば、「個人情報の保護に関する法律」(通称「個人情報保護法」)ですね。平成17年に施行され、現在はグローバル化などに対応した改正版(平成29年施行)に基づいて運用されています。
個人情報と言えば免許証やパスポートなどを思い浮かべますが、銀行などで使われている指紋認証のデータなども含まれています。もちろん顔写真や履歴書なども個人情報です。そして個人・法人に関わらず、個人情報を集めて持っている者は「個人情報取扱事業者」と呼ばれ、法律で定められた方法で情報を管理する必要があります。事業を営んでいなくても、例えば町内会名簿なども個人情報なので管理者は「個人情報取扱事業者」となります。
個人情報を取得する際は、その目的を明らかにしなくてはならず、事前に決めた目的以外に利用してはいけないと決まっています。また情報漏洩などを防ぐための措置を取ることと、管理を委託する場合も、委託先をきちんと管理することが求められ、不要になったデータは速やかに消去するように努めることとされています。
また個人情報を第三者に提供する時は個人の承諾を得なければなりませんが、オプトアウト方式と言って、あらかじめ本人に「こういう目的で使うことがありますよ」と明示しておけばその範囲内で利用することが可能になります(現在は事前に国の機関にオプトアウト方式を取っていると届け出る必要があります)。
婚活アプリでどこまで情報は管理されているの?
非常に簡単に個人情報保護法の説明をしてきましたが、気になる点がいくつもありました。
ひとつは「情報漏洩を防ぐための措置」です。法律には具体的な方法は書かれていませんが、ガイドラインに指針があります。組織として誰が管理者になるのかはっきりさせることや、従業員などの意識を高めるための教育を行うこと、個人データを扱える人を制限したりパスワードを設定すること、技術的にセキュリティを強化することの4つです。
今回の事件では「管理者になりすました人物」が犯人とされていますが、今までいくつもの情報漏洩があったことを考えれば、ハッキングされる可能性があることは多くの企業である程度認識されていたのではないかと思います。その中でデータを数多く持ち、かつセキュリティが甘そうな婚活アプリが狙われたとも言えるのではないでしょうか。もしかしたら他のアプリも攻撃を受けていた可能性があります。流出したデータには暗号化などの処理が施されていなかったことを考えれば、管理が甘かったと言われても仕方ないのかもしれません。
次に不要になったデータが削除されていなかったという事実です。アプリの登録のために集めたデータですから、退会すれば間違いなく不要になります。しかし今回は退会者のデータも流出していることから、きちんと削除が行われなかったことは明らかです。情報漏洩の被害をなくすのに一番有効な手段は「データを持たないこと」ですから、この点でも徹底していれば件数を抑えることができた可能性は高いと考えられます。
最後に「第三者への提供」についてです。これについては規約に色々と書かれているはずですが、細かく読む人はどのくらいいるのでしょうか。入会した後も規約は読めるようになっていますが、同意しなければ入会はできません。オプトアウト方式の場合、登録した時点で同意したとみなされますのでどのようなところにデータが渡っているのか不安になりますよね。カード会社やネットサービスなどからDMが届いたりすることがあるのも規約の中にある使われ方の1つなのでしょう。しかし提供先が増えるほど流出の機会も多くなることも覚えておきたいところです。
婚活アプリと結婚相談所の決定的な違いとは
結婚相談所と婚活アプリは個人情報管理という点で見ると大きな違いがあります。ここでは結婚相談所の個人情報の取扱いについて見て行きたいと思います。
身分証明書が「紙」で提出される
結婚相談所の場合、資料は「紙」で提出されることがほとんどです。そのため資料をスキャンしない限り電子データでの保管はされません。金庫を持って行かれたり、資料の保管場所に侵入者がいたりすれば別ですが、ハッキングよりは安全性は高いでしょう。
書類を揃えて店舗に足を運ばなければならないため、手間と時間がかかるのはデメリットです。しかし、それを行っても結婚したいという本気度も高くなるのではないかと思います。
情報提供の内容と範囲が狭い
大手の結婚相談所の場合、複数の店舗で情報の共有はなされているはずです。しかし、個人の証明となる書類まで共有することは少ないのではないかと考えられます。またIBJなどネットワークで情報共有が行われる場合にも、店舗で開示される情報以上のものは無いはずです。あくまでそれぞれの結婚相談所が個人情報を管理し、店舗間で必要な情報のみが交換されるからです。
また、よほどの大規模な相談所でない限り、データの数は限られます。退会した時にデータの破棄もそれほどの手間ではありません。気になるようであれば、入会の際にきちんと口頭で確認することができるのも結婚相談所の安心のひとつではないでしょうか。
まとめ
今回のニュースを聞いたとき、正直「あぁ・・・」と思ってしまいました。何度も繰り返されているのはハッキングする犯人とセキュリティ強化が「いたちごっこ」だということもありますが、それ以上に「自分のところは大丈夫だ」という気持ちが強いのではないのかなと感じています。セキュリティ強化にはいろいろな方法や技術が開発されていますが導入にはお金がかかります。どのレベルまでやれば絶対安心と言えるのかも分からないため、企業側も悩むのではないかと思います。
また、第三者への情報提供に関しては、よくよく読んでみると「自社の関連企業」や「共通するID(FacebookなどSNSのIDを使用している場合)を使ったサービス」なども含まれていることが多いようです。正直、ここまで読む人はなかなかいないと思いますが、一度「プライバシーポリシー」から確認することをお勧めします。
コメント