ニュース
2004/01/23 19:26:00 更新


ACCS、個人情報流出事件を総括した報告書を公開

「ASK ACCS」から個人情報が流出した事件の経緯と原因などについてまとめた調査報告書をACCSが公開した。

 コンピュータソフトウェア著作権協会(ACCS)は1月22日付けで、同協会が運営するWebサイト「ASK ACCS」から個人情報が流出した件の経緯と対応、原因などについてまとめた調査報告書を公開した。

 この問題は、著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付ける質問サイト「ASK ACCS」で、質問フォームに記入された相談者の個人情報が、容易に流出可能な状態にあったというもの。サイトが開設されてから2003年11月9日に第三者からこの問題に関する指摘があるまで、約3年あまりにわたってこの状態が放置されており、約1200人分の個人情報が流出の危険にさらされていた。

 このたび公開された調査報告書は、中川達也弁護士が委員長を務めるASKACCS個人情報流出事故調査委員会が提出したもので、問題の発覚からその後の対応まで、一連の経緯がまとめられている。

流出範囲は?

 これによると、保存してあった2003年10月6日以降のアクセスログを確認したところ、情報提供者以外には、同様の手法で個人情報が流出した事実は確認されなかった。また問題を指摘した情報提供者は、取得していた個人情報データを破棄したことを確約したという。

 なおこの情報提供者は、11月に開催されたあるセキュリティイベントのステージ上で、ASK ACCSに用いられていたCGIプログラムの欠陥について指摘するとともに、実際に個人情報が流出しなねない状況にあることを公開している。そのサンプルとして4人分の個人情報を含んだプレゼンテーション資料が用いられ、このファイルはイベント会場内でダウンロード可能な状態となっていた。

 したがって、このイベント会場で個人情報を含む資料がダウンロードされた可能性は残っている。ただし調査報告書では、「各種ファイル交換ソフトを含むインターネット上の監視を行っているが、ASK ACCSから流出したと思われる個人情報は、上記レジュメファイルを含め、いっさい発見されていない」としている。

 なおACCSでは、通知を受けて問題を確認した直後にASK ACCSのWebサイトを閉鎖。問題に関する記者会見を行っている(11月12日の記事参照)。また過去にこのサイトを通じて相談を寄せた人々には、電子メールで説明および謝罪を行ってきたという。

根本原因は?

 今回の問題のもともとの原因は、サイト上の質問フォームだ。質問フォームで利用していたCGIプログラムの作りが安易だったため、ある程度CGIに関する知識を持った人間ならば、特定の文字列を入力することで、先にフォームから入力された相談内容のほか、相談者の氏名、住所、電話番号といったセンシティブな個人情報を入手できる状態となっていた。

 調査報告書は、直接的な(技術的な)原因として上記のCGIプログラムについて言及したうえで、より本質的な2つの要因に触れている。

 1つは、ACCSがそのホームページについて、十分なセキュリティチェックを怠っていたことだ。ここで用いられていたCGIプログラムは、ACCS自身が作成したものではなく、Webサーバ運用を委託していたレンタルサーバ会社が提供したもの。この利用に当たって、ACCSでは特にセキュリティ上の検証は行っていなかった。

 ちなみに昨年成立した個人情報保護法では、個人情報を一定数(5000件)以上保持し、事業に利用している事業者には、さまざまな義務が課せられる。そしてその中では、個人情報の安全管理のために必要かつ適切な措置を取るとともに、従業者・委託先に対して必要な監督を行う旨が定められている。このことを考え合わせると、ACCSに限らず、今後のWeb運用には細心の注意と継続的なセキュリティ検証が必要になるだろう。

 調査報告書が挙げているもう1つの本質的な原因とは、必要以上の個人情報を収集していたことだ。ASK ACCSの本来の目的を考えれば、連絡先など最低限の個人情報だけでも十分だったはずだが、実際にはその他の個人情報まで入力するよう要求していた。

 これもACCSに限った話ではないが、何らかのアンケートや質問フォームなどで、むやみにさまざまな個人情報を入力させるつくりはよく見かける。「その情報は本当に必要か」を検討したうえで、必要最小限の情報だけを預かるようなWebサイト運用を検討すべき時期にきているだろう。

 こうした要因を踏まえたうえで調査報告書はACCSに対し、「内部におけるセキュリティ体制の強化」「外部の第三者によるセキュリティチェック」「ホームページの製作・運営などを外部に委託する際の基準の策定」「取得すべき個人情報の再検討」などを行うべきと提言している。

 なお、当該Webサーバを運用していたレンタルサーバ会社からは、この問題について、プレスリリースなどの公的なアナウンスはいっさいなされていない。

関連記事
▼「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置

関連リンク
▼コンピュータソフトウェア著作権協会

[高橋睦美,ITmedia]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -