大規模な個人情報流失/紛失事件、アリコジャパンとりそな銀行で発生 36
ストーリー by makeplex
あるAnonymous Coward 曰く、
大規模な個人情報流出/紛失事件が2件、相次いで発生している。
まず7月22日に発表されたのが、りそな銀行が顧客情報33万件を紛失するという事件。顧客の氏名や口座番号が記載された伝票6万1244件と、顧客がATMを使った際に残る明細記録13万3680件などがなくなっていたとのことで、保管期限を過ぎた書類と一緒に誤って廃棄した可能性が高いそうだ。
そして7月23日には、アリコジャパンがクレジットカード情報を含む顧客情報最大11万件が流出した恐れがあると発表。こちらは流出した情報を元にカードの不正利用が行われている可能性もあるとのことで、流出経路や原因は調査中。2002年7月から2008年5月までに同社に直接申し込んでカードを作った顧客で、カードで保険料を支払い、証券番号の下1けたが「2」か「3」の顧客が対象という。
特にアリコジャパンの件はクレジットカード番号等が流出されている可能性があるとのことで、心当たりの方は不正使用がないか明細をチェックした方が良いだろう。
紛失はりそなだけ? (スコア:1)
http://www.resona-gr.co.jp/saitamaresona/kojin/oshirase/index.html [resona-gr.co.jp]
お知らせのページに発表がでてないから、埼玉りそな銀行は大丈夫なのかな。
# うちは埼玉りそな銀行なもので
Re:紛失はりそなだけ? (スコア:1)
同じりそなHD傘下ではあるけど一応別会社だから、発表なければ大丈夫なんじゃないの?
合併・分離して随分立つけど、社風とかも似てきてるのかな。
友愛された? (スコア:1, 興味深い)
http://www.resona-gr.co.jp/holdings/news/newsrelease/pdf/180718_1a.pdf [resona-gr.co.jp]
に、友愛政経懇話会の振込先口座のりそな銀行衆議院支店
が含まれているようだけど、なんかきな臭いな
Re: (スコア:0)
おや?誰か来たようだ。
合致条件 (スコア:1, 参考になる)
アリコジャパンから、メールで直接連絡がありましたが、タレコミ及びリンク先よりちょっと詳しく、
◆2002年7月から2008年5月までの期間に通信販売にて弊社へ
直接お申し込みくださったお客様のうち、
◇クレジットカードで保険料をお支払いいただいており、かつ、
◇証券番号の下一桁が2または3を含む契約をお持ちのお客様。
とのこと。私は、通信販売ではないから、大丈夫だと思いますとの旨書かれていました。まぁ、明細
をチェックするのは当たり前として。
Re: (スコア:0)
つーかさ (スコア:0)
>りそな銀行が顧客情報33万件を紛失するという事件
>保管期限を過ぎた書類と一緒に誤って廃棄した可能性が高い
保管期限を過ぎた書類の廃棄方法は、顧客情報を紛失と表現しなければいけないほど適当な方法で廃棄しているということ?
こっちのほうが問題。
そういう意味ではない (スコア:4, 参考になる)
タレコミ文からリンクされている共同通信の記事を読みましたが、「紛失」と表現しているのは、破棄と紛失が似たようなものだからではないでしょう。
保管期限が過ぎた書類と一緒に廃棄したことが確実なら、「紛失した」ではなく「誤って破棄した」と表現するでしょうね。絶対に破棄したとは言い切れないから、「紛失した」と表現しているのだと思います。
紛失→漏洩はどのくらいある? (スコア:1)
ちょっと話はずれますが、紛失や誤廃棄から流出したケースって、実際にどのくらい発生しているんでしょうか? 昔読んだ本で、ゴミ箱あさりで内部情報を入手して、というのが、アメリカで実際に行われていたような話が書いてましたが、日本でそういった、廃棄・紛失から漏洩事件に発展したケースは無いのかなぁ、と。
下記のページのように、「流出・漏洩」と「紛失・廃棄」をひとまとめに「流出・漏洩」としていると、違和感を感じるんだけど
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1953 [so-net.ne.jp]
Re:紛失→漏洩はどのくらいある? (スコア:1)
が、「紛失」として公表されている場合、「不正利用の形跡はない」で締めくくられるのが多く、
紛失・誤廃棄から悪用されたケースはあまり見つかりませんでした。
昭和シェル石油での紛失事故 [security-next.com]が該当しますかね。
これはクレジットカードを使って不正アクセスがあったので調べてみたら、
昭和シェル石油でクレジット利用控えが無いことに気づいた、と。
紛失というより盗難の可能性が高いわけですが、盗難とも言い切れないので紛失と
発表したんだと思います。
ゴミ箱あさりは悪意を持って行われるので事件性は高いでしょうが、
過失による紛失とは分けて考えたほうがいいかと。
>> 下記のページのように、「流出・漏洩」と「紛失・廃棄」をひとまとめに「流出・漏洩」としていると、違和感を感じるんだけど
そも、「流出」という言葉には、持っている個人情報が自身のコントロール外に
でてしまうことを指すので、「流出」の中に「紛失・誤廃棄」は含まれてもおかしくはないです。
Re:紛失→漏洩はどのくらいある? (スコア:1)
そういえば、確かにそうですね。
よく、セキュリティ対策の教科書に「まずはリスク評価」という話が出るけど、実際に悪用された事が少なければ、直接的な被害額の期待値は十分小さくて、それ以上に世間が騒ぐから、風評被害の方が大きい、というのが現実かなぁ、と。
といっても、PC 一つの紛失でも、管理者権限を持つアカウントでオートログオンだったら、論外、って気がする(^^;
Re: (スコア:0)
これはまったくの別物だろう。
少なくともこれだけ重要な情報を破棄したなら記録が残っていないとおかしい。
記録も残さずに破棄していたなら、元コメの指摘通り、そもそも情報管理に問題がある。
記事を読む限り、破棄されたものは把握しているから、破棄の記録はしていたようだけどね。
ただ、捨てるべきでないものが、捨てるべきものに混ざるような管理していたという点において、問題があるけど。
広報としては「破棄したとは言い切れないから」と表現したくなるだろうけど、「漏洩したとも言い切れない」のだよね。
そもそも杜撰な管理をしているところに大丈夫と言われても安心出来ない。
Re:そういう意味ではない (スコア:2)
僕もそう思いますけど、どうして僕のコメントへの返事でそのことを書かれているのかわかりません。もしかして、僕が「破棄と紛失が似たようなもの」とでも思っているとお考えでしたら、僕の #1611040 [srad.jp] を読み間違えていると思います。
えっとですね。りそな銀行の情報管理に問題がないなんて、誰か言っているのでしょうか。少なくとも僕は言っていませんよ。
それと、「元コメの指摘通り」というのも僕にはわかりません。コメント #1611031 [srad.jp] が誤解に基づいているということは、 #1611040 で書いた通りです。
表現したくなるも何も、「破棄したとは言い切れないから」と書いたのは僕であって、りそな銀行の広報ではありません。
破棄したとも漏洩したとも言い切れないのは当然その通りです。だからこそ、りそな銀行は「紛失した」という以外のことは何も断言していないわけです。
Re: (スコア:0)
Re:そういう意味ではない (スコア:2)
教えていただきありがとうございます。 #1611040 [srad.jp] を読み返してみると、ちょっとわかりにくかったかもしれません。
の部分を
などと書いた方が良かったと思います。
Re: (スコア:0)
区別がつかない人たちが多い (スコア:0)
確かにどちらも管理がなってないという言い分はあります。
ただ物理的な紙やディスクとデジタルデータを混同して、デジタルデータが無くなったのを流出とパニックになる人もいます...
だから紛失/流出などを報道する時はそういう人たちが聞いているのを考慮に入れた言葉を選んでほしいもの。
銀行だけでなく報道機関も学んで欲しい (スコア:0)
しかし煽り一辺倒で読みづらい記事ですねぇ。
|顧客の氏名や口座番号が記載された伝票6万1244件、顧客が現金自動預払機(ATM)を使った際に残る明細記録
ってことはトランザクションですよね。
個人情報が含まれていますので「個人情報」には違いないんでしょうが33万人分の個人情報ではないでしょう。
それに個人でなく法人も含まれるんじゃないかと。
期間も長いことからして重複も多いでしょう。
記事中には「33万人分」とは書いてませんけど誤読を誘ってるように思います。
# そんな誤読するの俺だけ?
どいうか、何が流失したのか理解せずに書いているような。
# 編集も同様だと思う。
「個人情報」というより「顧客との取引情報」のほうが適切なような。
リンク先の記事読んだけなんで誤読や間違いがあるかもしれんけど。
Re:銀行だけでなく報道機関も学んで欲しい (スコア:5, すばらしい洞察)
りそなのケースは、問題といえば問題だけど、ぜんっぜんたいしたこと無いと思う。無視できるレベル。むしろ、内部調査で見つけちゃって、公表しちゃうのがすごい
でもアリコはひどいでしょ。実際に不正利用があってから発覚して、流出の原因もわからないというんだから。
Re: (スコア:0)
>実際に不正利用があってから発覚して、流出の原因もわからないというんだから。
原因が簡単に解る位なら、発覚が遅れるなんて事もないでしょうから当然といえば当然なのでしょう。
この期に及んで言い訳がましい釈明をしているのが見苦しいですね。
[続報]アリコの顧客情報流出が拡大、テストデータ流出の可能性も [nikkeibp.co.jp]
Re: (スコア:0)
アリコ顧客情報流出:テストデータ流出? アクセス可能社員を調査 [mainichi.jp]
Re:銀行だけでなく報道機関も学んで欲しい (スコア:1, 参考になる)
紛失内容が公表されてたのでリンク。
http://www.resona-gr.co.jp/resonabank/kojin/oshirase/2009/detail/09072... [resona-gr.co.jp]
でも報道機関は (スコア:0)
正確な中立な情報を出す気が無い。
Re: (スコア:0)
根性論ではなく、具体的な例をお願いします。
アリコジャパンとりそな銀行 (スコア:0)
プライバシーマーク (スコア:0)
http://privacymark.jp/certification_info/list/kana/list_ri.html [privacymark.jp]
ここにリストされてるりそなの関連会社に大してなにかある?
Re: (スコア:0)
「関連会社だから」という理由では何もないでしょうね。
今回の流出に関与していたと立証されれば剥奪もあり得る……剥奪されない場合もある [srad.jp]。
言いたい事はわかるが (スコア:0)
心当たりがあるとかないとか使ってるカードがアリコジャパンのかどうかは関係なく、クレジットカードを持つ以上明細を確認するのは利用者の責任(義務と言ってもいい?)だと思うんだが…
楽天は我々を守ってくれません (スコア:0)
asahi.comの記事 [asahi.com]によると、
とのことで、楽天市場は不正利用し放題な上利用者を守る気はない会社と宣言した模様です。
Re:楽天は我々を守ってくれません (スコア:1)
楽天って元々そういう会社だというイメージを持ってましたけど。
確か、顧客情報も売ってる会社じゃなかったでしたっけ?
Re: (スコア:0)
利用者を守るのはカード会社の責任だろ。
カード会社が自分の顧客を保護する仕組みを後付で導入したいのなら、
導入してもらえるように努力すればいいだけ。