サイバー攻撃で国をまたいだデータの漏えいが起きたときどうするか

サイバー攻撃を受けて個人データの漏えいが起きた場合、被害者本人への通知が重要になる。難しいのは国をまたいだ漏えいが起きた場合だ。もう一つの課題は被害者に何を伝えるかだ。

[Matt Kapko，Cybersecurity Dive]

　2022年4月に施行された改正個人情報保護法により、個人データの漏えいが起きて個人の権利利益を害する恐れがある場合は、個人情報保護委員会への報告と被害者本人への通知が義務化された。

被害者に何を伝えるのか

　企業と被害者の組み合わせが日本国内に閉じている場合と比べて、海外の企業や海外の被害者が関係している場合は対応が難しくなる。

　Identity Theft Resource Center（ITRC）が2023年1月25日に発表した年次報告書「2022 DATA BREACH REPORT」によれば（注1）、情報漏えいを起こした企業が発表するデータ侵害通知には課題がある。どのような課題だろうか。

　2022年に発表されたデータ侵害通知のうち、約3分の2は個人や企業が潜在的リスクを判断するために役立つ十分な詳細を含んでいない。

　攻撃や被害者の詳細が記載されたデータ侵害通知は、2019年には全届け出の72％を占めていた。ところが、2022年は34％に下がった。この数値は5年ぶりの低水準だ。

　「こうした傾向を受けて通知の信頼性が低下した。個人や企業、政府関係者がデータ侵害のリスクや侵害後の対応について、十分な情報に基づいて意思決定する能力が損なわれた」（ITRCのCEO、エヴァ・ベラスケス氏）

　ITRCは2022年、米国で1802件のデータ侵害通知を確認した。これは2021年よりもわずかに少ないものの過去2番目の高水準だった。潜在的な被害者の数は2021年比41％増の4億2200万人だった。最も被害者が多かったのはTwitterにおる情報漏えいで、被害者の数は約2億2000万人だった。なお、Twitterは別の情報漏えいで約5500万人の被害者を出している。

　「ほとんどの州は個人またはビジネスパートナーに対するデータ侵害のリスクを判断する責任を、不正アクセスを受けた企業（情報漏えいを起こした企業）に課している。だが、データ侵害通知の詳細が不明だということは、各州が定めたデータ侵害通知法が不十分だということを意味している」（ベラスケス氏）

　ITRCは個人情報漏えいのリスクを最小限に抑えることを目的とするNPO（民間非営利団体）だ。ITRCによれば、不正アクセスを受けた企業は意識的に情報を隠しているのだという。

　特にDoorDash、LastPass、Samsungの3社に対して、ITRCは「州が定めた規則に従いつつも、何が起こり、誰が影響を受けたかについての詳細が限定的だったり、全く説明されていなかったりする侵害通知を発行した」と指摘した。

　パスワード管理ソリューションを提供するLastPassの侵害による潜在的な被害は親会社のGoToにも影響を与えた（注2、注3）。マスターパスワード以外の全てが攻撃で漏えいしたとLastPassは顧客に通知しており、憂慮しなければならないレベルにまで状況がエスカレートしている（注4）。

　データ侵害の被害者を支援する組織や専門家は、適切な対応を勧告するのに十分な情報を得られないことが多いというのが結論だ。

　「私たちが知っていることよりも、知らないことが問題だ。切実なケースが増えている」（ベラスケス氏）

出典：Most data breach notices lacked detail in 2022（Cybersecurity Dive）

注1：2022 DATA BREACH REPORT（PDF）

注2：What we know about the LastPass breach (so far)（Cybersecurity Dive）

注3：Breach hits GoTo, the parent company of LastPass（Cybersecurity Dive）

注4：What’s at stake for 33M compromised LastPass users?（Cybersecurity Dive）