パスワードを忘れた? アカウント作成
10985 story

Winnyで情報流出、今度は保険会社から病歴情報が 233

ストーリー by Acanthopanax
いつまで続く 部門より

Anonymous Coward曰く、"もはや飽き飽きした感もある、Winny経由での情報流出事故だが、毎日新聞の10月7日の記事によると、アメリカンファミリー生命保険の専業代理店から半年間にわたって顧客情報が流出し、564人中79人分が癌などの病歴を含むものだったという。原因は例によって、業務用パソコンにWinnyをインストールした従業員がいて、誰かがトロイの木馬をダウンロードして実行してしまったためらしく、本社サーバーから呼び出したデータが流出したのだそうだ。
「不正利用などは現時点では確認されていない」とされているが、病歴が漏れたというのに、不正利用がなければよいというものでもなかろう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by NAT33 (17123) on 2005年10月10日 13時17分 (#811546)
    >「不正利用などは現時点では確認されていない」

    他社がセールスに利用したとしたら、不正利用されているかどうかなんて分からないだろうに.......

    対象者全員に調査したのかもしれんが、本人に分かるとも思えず。
    • Winny利用者から同社に通報があったってんだから、もうWinnyのネットに流れちゃった情報は、二度と回収できないと知りながら、「不正利用などは、現時点では確認されていない」ってねぇ。「知りません、存じません、確認できません、これは他所から流れたんじゃないですか」とでも言うのかな。

      それにしてもやるなぁ。絶対に漏洩しちゃいけないセンシティブ情報を扱うPCにWinny入れてファイル交換か。今までの情報の扱い方もすごいしね。

      • 3/30 お客様情報が記録された磁気テープの所在不明について [aflac.co.jp]
        当社では、全社員がお客様情報の大切さについて深く認識するとともに、お客様情報を厳密に管理するためにさまざまな施策を講じてまいりました。今回このような事案が発生したことは誠に遺憾であり、厳粛に受け止めております。捜索を継続することはもちろんのこと、二度とこのような事態を発生させないよう、お客様情報の取扱いに関する社内態勢を強化し、その取扱いについて再徹底を図ってまいる所存です。
      • 4/1 組織変更及び人事異動について [aflac.co.jp]
        4月1日からの「個人情報の保護に関する法律」の全面施行に伴い、さらなる個人情報保護推進態勢の強化を目指し、現在コンプライアンス・検査部内に設置している「個人情報保護推進室」を同部から独立させ、当社の個人情報管理責任者(契約管理・顧客サービス部門担当役員)の直轄とします。
      • 個人情報の取扱いについて [aflac.co.jp]
        お客様の個人情報を保護するために、安全管理措置を講じるよう努めます。また、アフラックダイレクトでは、個人情報保護、安全管理に係わる取扱規程を定めるとともに、これからの規程を実効性あるものにするために、継続的に改善するよう努めます。
      駄目だな、この会社。何べんでも懲りずに同じような個人情報の漏洩や紛失事件を起すだろう。「不正利用などは、現時点では確認されていない」という開き直りが、この会社の実態を良く証ししている。
      親コメント
  • 監督責任 (スコア:3, 参考になる)

    by Anonymous Coward on 2005年10月10日 15時41分 (#811624)
    アフラックの「個人情報の取り扱いについて」 [aflac.co.jp] というページには

    "アフラックでは、従業者に対する指導・教育等を通じ、
    適切に個人データが取り扱われるよう必要かつ適切な監督を行うとともに、
    個人データを委託先に提供する場合には、
    委託先に対して必要かつ適切な監督を行っております。"

    と明記されています。

    つまり今回は半年以上も「必要かつ適切な監督」を行なわなかったことになります。

    業務用PCにWinnyを入れること自体が不正利用を幇助する行為ですので、
    それを防止できないアフラックには監督能力がないということでしょう。
  • 個人に属するPC? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年10月10日 13時18分 (#811547)

    Winnyをインストールした従業員がいて

    日本では箸や茶碗のように個人に属することを良しとする文化があり、これは他の国では見られない光景なのだそうです。
    PCも同様に、従業員のほぼ全ては会社から与えられたPCを、あたかも個人の所有物であるかのように取り扱ってしまうことが多く、それにより今回のような情報流出が後を絶たない結果になってしまっているような気がします。

    P2Pは素晴らしい技術だと言うことは十分承知していますが、各企業は早急にP2Pを含めシステム管理部署の目が届かないローカルなアプリケーションのインストールをきちんと管理して規制する必要があるように思います。

    • by Anonymous Coward on 2005年10月10日 15時58分 (#811639)
      個人に属することを良しとしつつ、問題が起きないようにと考えるべきでしょう。単純にローカルなアプリケーションのインストールを規制するのは、いろいろな面での阻害にしかなりません。
      親コメント
  • もうこうなったら (スコア:2, すばらしい洞察)

    by t-blue (23568) on 2005年10月10日 13時23分 (#811550)
    knoppixとかCDブート+USBメモリーみたいな感じにして、
    そういうのを入れられないようにするしかないのかね。
    もしくはシンクライアントみたいなのとか。 #もちろんWineは抜きで。
    • by gonta (11642) on 2005年10月10日 13時40分 (#811557) 日記
      日立がそんなパソコン出しましたっけねぇ。これかな [hitachi.co.jp]?

      私が導入決定者で、予算が十分にあったらLinuxのPXE bootで環境作りたい。実際だと、VBAのランタイム環境とか、Access/ExcelあたりのODBCとの連携に何が有るのかな?OpenOfficeも、そこまで機能が充実してないかも。
      --
      -- gonta --
      "May Macintosh be with you"
      親コメント
    • by NAT33 (17123) on 2005年10月10日 13時28分 (#811553)
      ついでに外部からのメディア持込も禁止しないとダメだと思う。
      その意味ではUSBメモリでも危ないかもしれず。

      ネットワークドライブ以外は書き込めないような設定が必要かも?
      親コメント
      • by ncube2 (2864) on 2005年10月10日 17時15分 (#811675)
        シン・クライアントの売りの一つに「情報漏洩の防止」があるので、USBメモリも含めて外部記憶装置を使えないように設定できる製品or 通常のPCでもこのようなことを実現できる管理ソフトがありますです。
        (物理的に個人のPC持ち込み不可、ノートPC持ち出し不可な会社が結構ありますが、ノルマを持たされた社員から「これじゃあ本業に差し支える」の大ブーイングで頭をかかえる情報システム部門が多数あるらしいぞ)
        親コメント
  • 新たな市場の予感 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年10月10日 13時46分 (#811560)
    Winny保険がキますね。
  • つーか (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年10月10日 14時21分 (#811582)
    業務用のPCにWINNY入れて、そのまま使えるネットワーク使ってる代理店が駄目駄目。
    そんなところと代理店契約してるアメリカンファミリーも駄目駄目。

    という事が常識な世の中になるといいですね。
  • by Anonymous Coward on 2005年10月10日 17時37分 (#811686)
    違法コピー/不正使用していたアホ社員は、刑事罰も受ける事無く orz

    #無力なニートではなく、こーゆーヤツらこそ「見せしめ逮捕」してくれないと、
    #管理者として社内に示しが付かないのですが・・・何考えてるんだ>京都組
  • 今回の情報流出元は「アメリカンファミリー生命保険」ではなく、代理店です。

     保険代理店は日本に沢山存在していて、これらの会社は個人経営も多く、情報システムに
    対する高い意識と技術とを兼ね備えているかというのは微妙でしょう。

    保険会社を糾弾しておけば、今後安全という性質の事件ではないと思います。
    • > 情報流出元は「アメリカンファミリー生命保険」ではなく、代理店です。

      それは被害者の顧客には通用しないでしょう。「センシティブ情報が Winny で漏洩し、もう二度と回収できないのは事実ですが、代理店がやったことですのでウチは無責任です。代理店と補償交渉してください」とはならないでしょう。監督不行き届きですね。個人情報施行前でさえ、こういった判決が出ています。

      ですから

      > 保険代理店は日本に沢山存在していて、これらの会社は個人経営も多く、情報システムに
      > 対する高い意識と技術とを兼ね備えているかというのは微妙でしょう。

      情報システムに対するお粗末な意識と、センシティブ情報を扱うPCにWinny入れて、案の定「漏洩しちゃう」という最低最悪な技術力を備えた劣悪な保険代理店なんかに個人情報を扱わせたのは、「アメリカンファミリー生命保険の勝手」であり、これは「不幸な事故」でもなければ、顧客が忍耐すべき性質の物ではないと思います。

      > 保険会社を糾弾しておけば、今後安全という性質の事件ではないと思います。

      糾弾して反省する保険会社じゃなさそうだとは思いますが、不良代理店と契約して結果的に顧客のセンシティブ情報を漏洩し、そのくせ「お客様の個人情報を保護するために、安全管理措置を講じるよう努めます」なんて平気で載せておいて、漏洩の件はマスコミ取材に、顧客に個別に説明したと答えるのみで現時点では自社 Web にリリースも出さない [aflac.co.jp]ような問題隠し体質が疑われる会社に理解できるのは「こんな事をすれば消費者の間に悪評が立ち、新規契約獲得は難しくなるぞ」という事だけでしょう。消費者として、漏洩を起す保険会社なんかに加入する義理はありませんからね。

      親コメント
      • by Anonymous Coward on 2005年10月11日 1時05分 (#811875)
        今回の件はたまたまアフラックだったというだけで、どこの保険屋でも代理店なんて同程度ですよ。
        そもそも、今回のようなのを不良代理店と言うなら、日本中に不良じゃない代理店なんて存在しません。

        保険代理店と言うと、それ専業のように思えるかもしれませんが、専業でやってるのは一部個人ぐらいで、法人でやってる所の多くは不動産屋とか車屋とかが副業としてやってます。
        (もちろん、専業法人も0ではありませんが)
        副業でやってるとか個人でやってるという事は、その保険代理業務に割けるコストはそれ程多くは無いという事を意味しています。
        保険業務専用にPC一台用意しろというのも難しいというのが現実。

        仮にそうやってPC一台用意させたとしても、そのPCからデータを出せなくするとか、そのPCに他のソフトをインストールできないようにするというのは、また難しい問題です。
        データが参照/更新できれば保険業務自体はできるかもしれませんが、営業活動という面から見れば、そのデータを加工して他の使い方をする場合も少なくないでしょう。
        たとえば契約者に年賀状送るとか。
        「そんなの保険の業務じゃないんだからやらなきゃいい」と考えるかもしれませんが、実際やらなきゃ他社に取られちゃうんだから、フォローアップはやらないといけない。
        その「保険業務専用PC」から、仮にデータが抜き出せなくしても、結局保険会社が管理できない別のPCに打ち直して入力されてしまうだけの事。

        元のdoctor_dさんが言ってるのは「実際漏洩したのは代理店なんだから保険会社は無罪放免」という事じゃなくて「現実の保険代理店の事を知らずに(考えずに)、保険会社だけ叩いとけば安全になるという考えは間違い」という事でしょう。

        「個人情報の入ったPCにWinny入れて漏洩」という場合、全部ひっくるめて「仕事のPCにWinny入れるな」と叩いておしまいという場合が多いですが、こういう場合でも良く見ると2通りのパターンがあります。
        一つは社給PCにWinny入れる場合、もう一つは私有PCに個人データを入れる場合。
        前社は「バカ」と言ってクビにでもしてれば良いですが、後者の場合が難しい。
        後者というのは、得てして仕事に熱心な人程やりがちだから。
        仕事に熱心な余り、家に帰ってまで仕事をやろうとして私有PCに会社のデータを入れてたりする訳ですよ。
        で、得てしてそうやって熱心に仕事してる人程、営業成績が良かったりする訳で、そのような私有PCへデータを持ち込む事を禁止するというのは、競争力の低下に直結します。
        今回の代理店は、一応法人ですが個人に毛が生えた程度のようなので、形としては後者に近いでしょう。

        このご時世に「営業力は落ちてもいいから情報を安全に扱え」なんていうノンキな事言う会社はありませんから(あってもすぐ潰れるでしょう)「情報は安全に。ただし、これまで通り(あるいはこれまで以上に)営業成績を上げろ」という無茶な要求になって来る訳で、要求された方としては数字に表れない情報の安全より、数字に表れる営業を優先して、結局これまで通りとなってしまうという現実を認識する必要があります。

        っと、こう書いたら「後者の場合は止むを得ない、アキラメろ」と言ってるように見えるかもしれませんが、そういう意味ではありません。
        前者の場合は上からの統制を強めて、またシステム的な対応を取って(他の私用ソフト含め)Winnyを締め出す事は容易ですし、それで(会社として)失うものはありませんが、後者の場合は同じ対応では済みません。
        もっと幅広い利害得失を考慮した上で、個人情報を安全に保つ仕組み(システム的な仕組みだけでなく、人的仕組み、業務的な仕組み)を考えて行かなくてはいけない。
        単に統制を強めただけでは、掛け声だけで終わるか、会社の競争力を失う結果になってしまいます。

        親コメント
  • by guest09 (21647) on 2005年10月10日 13時42分 (#811558)
    Winnyを使っている人の中で、

    世間的にニュースになるような組織に勤務していて、
    デスクトップに勤務先のわかる重要なデータを保存しており、
    さらにワームに引っかかり、
    さらに問題が表面化し、ニュースになる確率

    たびたび報道されるニュースが氷山の一角だとしたら、
    未だにWinnyを使用しているユーザーはかなり多いんでしょうね。
  • by Anonymous Coward on 2005年10月10日 15時56分 (#811637)
    そしたらWinny被害はなくなると、おもうよ。

    って、ムーミン谷の岸田今日子さんがいってたお。
  • by OKSoft (27172) on 2005年10月10日 16時21分 (#811657) 日記
    これはキンタマ [xrea.com]なのかぬるぽ [symantec.com]なのかどっちなんですか?
    #実は自分がWinnyユーザーOKSoft
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...