<ニュース>

2016年6月14日、JTBは、子会社のサーバーに外部から不正アクセスがあり、最大約793万人分の顧客情報が流出した可能性があると発表しました。

この不正アクセスには、ウィルスを仕込んだ「標的型メール」(送信元メールアドレスは取引先を装ったもの)が利用され、JTB子会社の従業員がこのメールの添付ファイルを開いたことにより、パソコンやサーバーがウィルスに感染して遠隔操作が可能になったとのことです。

また、最初にウィルスに感染してから、通信を完全に遮断するまでに、約10日を要しており、この対応の遅れが被害を拡大させた可能性があるとのことです。

<コメント>

企業が顧客情報(個人情報)を流出させた場合、その企業は深刻なリスク(損害賠償責任、信用喪失、業務停止、取引停止、株価下落等)にさらされることになります。
そのため、当然のことですが、企業は、顧客情報の流出を防止するために、必要十分な対策を実施しなければなりません。

※実際には、企業の財務状況を踏まえて、合理的なコストの範囲内で、できる限りの対策を実施することになります。

顧客情報流出の原因は、その大部分が、情報媒体の紛失・置き忘れ、パソコン・メール等の操作ミス、情報媒体・データ等の管理ミスといった、ヒューマンエラーです。
高度な技術を利用したハッキング等を原因とする顧客情報流出は、割合としては、それほど多くありません。

そこで、企業としては、高度な技術を利用した攻撃への対策も重要ですが、まずは、顧客情報の管理体制・規程の整備・運用、従業員教育、顧客情報へのアクセスの制限・記録、顧客情報の保管場所への入退室管理といった、ヒューマンエラーを防止するための対策を実施することが極めて重要です。
顧客情報が流出した場合(又は流出が疑われる場合)の手順の整備(マニュアルの策定等)も必須です。

今回のJTBの件は、ウィルスを仕込んだメールにより攻撃されたもので、単純なヒューマンエラーによる顧客情報流出ではありません。
ただ、顧客情報の管理体制・規程の整備・運用、従業員教育等が適切に実施されていれば、従業員が「添付ファイルを開かない」ことにより、顧客情報流出を防止できた可能性があります。
また、顧客情報が流出した場合の手順の整備(マニュアルの策定等)が適切に実施されていれば、被害拡大を防止できた可能性もあります。

JTBグループの規模、取扱業務、取り扱う顧客情報の数と重要性を考慮すれば、同グループには、より高度の対策が求められていたといえます。

なお、顧客情報流出の原因は様々ですが、「よくあるパターン」や「よく利用される攻撃方法」もあります。
(今回のJTBの件で利用された「標的型メール」も、最近よく利用される攻撃方法の1つです)

そこで、企業としては、実際に発生した顧客情報流出事案から、流出を防止するための対策を学ぶ(学び続ける)ことが必要不可欠です。