エディオンが顧客情報の流出の可能性に関するお知らせとお詫びを文書で公表
2022/05/23   情報セキュリティ, 個人情報保護法

はじめに

大手家電量販店チェーン、株式会社エディオンは２０２２年４月１１日、グループが運用するサーバーに不正アクセスが行われたことを公表しました。今回の不正アクセスの結果、サーバー内に保存した情報の一部が外部に流出した可能性があるとのことで、その経緯とお詫びに関して文書が出されています。今回は本件の経緯について解説していきます。

事件の経緯

２０２２年４月８日１２時ごろ、エディオンが運営業務を委託している当社グループ会社「Hampstead」（東京都品川区）からエディオンに対し、「サーバーに外部から不正アクセスがあり、サーバー内の情報が削除された」旨報告がありました。対象となるデータは７７,６５６件にのぼり、データは単に削除されただけでなく、流出した可能性もあると考えられています。流出した可能性のある情報の内容としては、エアコン等の配送設置情報に紐づけられた氏名や住所、電話番号などの個人情報、ほか荷物の受け取り時の写真などです。幸いクレジットカード情報などは含まれていませんでしたが、重大な個人情報が攻撃を受けたことになります。

不正アクセスの原因および対応

今回の不正アクセスの原因は明らかになっていませんが、一部稼働を開始した新たな配送管理システムを管理しているサーバーへの不正アクセスであることが判明しています。また、不正アクセスを受けてエディオンは即座にセキュリティ対策を実施しました。不正アクセス後の対応としては、個人情報等が流出した可能性がある顧客へのお詫びと説明、個人情報保護委員会および警察への被害の報告を行うなどしています。再発防止策としては、外部有識者による対策チームを設置し、セキュリティ体制の強化を図るとしています。

不正アクセス禁止法で定められた対策とは

「不正アクセス行為の禁止等に関する法律」では、今回のような不正アクセス行為、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止しています。ここで言う「不正アクセス」とは、利用権限のないコンピュータに対して、不正にアクセスしようとする行為を指します。実際に権限のないコンピュータへ侵入したり、利用・データの移動や削除などを行うことも不正アクセスに含まれます。 日本国内ではインターネットの普及と共にコンピュータへの不正アクセス被害が急増したため、これらの不正アクセスを処罰する不正アクセス禁止法が施行されたという経緯があります。本法律は罰則が設けられており、それぞれや罰金や懲役刑が科されるなど、厳しく処罰されます。また、同法第８条には「アクセス管理者による防御措置」という項目があり、アクセス管理者は不正アクセス行為から防御するため必要な措置を講ずる努力義務があることが明記されています。

【努力義務の内容】 ・管理するアクセス制御機能に係るパスワード等の適正な管理を行うこと ・常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他不正アクセス行為からの防御措置を講ずること

努力義務のため、法令上の罰則はありませんが、この義務を懈怠しているとみなされた場合、管理責任を問われ民事上の損害賠償請求を受けるリスクがあります。

事件の経緯

現代社会において、大なり小なりインターネットを利用した事業運営は不可欠です。そのため、本件のような不正アクセス被害を受ける可能性は、どの企業においてもあると言えます。不正アクセス被害を受けないための対策としては、まず第三者に簡単に解析できないIDやパスワードを設定することです。IDやパスワードは単に攻撃を受けて特定されるだけではなく、わかりやすい文字列など脆弱なパスワードによっても被害を受ける可能性が高まります。定期的にパスワードを変更するなどし、セキュリティ体制を整えることが大切です。今回は幸いクレジットカード情報など、より重大な経済的損害に繋がるデータに関する被害は確認できませんでしたが、不正アクセス被害を受ければ直ちに顧客などに対する説明責任を果たす必要が出てきます。脆弱なセキュリティ体制は会社の信頼性の失墜にもつながる重大なリスク因子と捉え、セキュリティ担当部署と連携を取りながら、社内のセキュリティ意識を高めることが重要です。