再度注目される個人情報管理! JAL・ANA・LINEの事例からの新たな3つの教訓は?

2005年に個人情報保護法が施行されて以来、個人情報保護の重要性について確実に浸透してきました。守るべき対象としての個人情報という概念は一定程度定着し、個人情報を扱う多くの企業が個人情報保護ポリシーを公開し、それに基づいた情報管理を行っています。

しかし、東京商工リサーチの調査によれば、国内上場企業およびその子会社における個人情報漏洩事故件数は2014年から2019年まで横這い、そして2020年には増加傾向に転じており、個人情報漏洩がいぜんとして重要な課題であることは変わりません。

個人情報漏洩事故件数の推移(東京商工リサーチ調べ)
そんな中、2021年に入って個人情報漏洩に関する大きなニュースが2件発生しました。 日本航空 (JAL)・全日本空輸(ANA)のマイレージプログラム会員情報の漏洩と、LINEの個人情報管理に関する報道です。

この記事では、この2件に特徴的な部分を取り上げ、さらにそこから得られる個人情報管理の重要なポイントについて解説します。

JAL・ANAのマイレージプログラムに登録された個人情報が大量流出

2021年3月上旬、JALとANAは、それぞれのマイレージプログラムに登録されている会員情報の一部が漏洩したことを相次いで発表しました。
漏洩の原因は、SITA社のSITA Passenger Service System (PSS)に対する不正アクセスによるものです。 同社はスイスに本拠地を置く航空機旅客システムベンダーで、PSSはSITA社が航空会社に提供しているシステムでした。
漏洩したのはアルファベット表記の会員氏名・会員番号・会員ステータスの3点で、漏洩件数は両社合わせて最大190万件以上にのぼります。 被害は両社のみにとどまらず、JALやANAが加盟しているアライアンスに属する複数の航空会社に広がりました。

この事例はいわゆるサプライチェーン攻撃に属するものですが、特徴的な点は、JALやANAはSITA社との直接的な業務委託関係にないにもかかわらず被害を受けたことにあります。

今回の不正アクセスの対象となったPSSは、航空便の座席予約・販売・チェックインを管理する航空会社にとって不可欠なシステムです。SITA社は多くの航空会社にPSSを提供していますが、JALもANAもSITA社製ではなく他社のPSSを使っていました。

それでも今回の個人情報漏洩が発生したのは、JAL・ANAが属するアライアンス内でマイレージプログラムのデータが共有されていたことによります。同一アライアンス内であれば、1社のマイレージプログラムの会員が他社でも優遇されたサービスを受けることができる仕組みになっており、そのためにマイレージプログラムの会員情報はアライアンス内で共有されています。

JALはワンワールド、ANAはスターアライアンスと、それぞれにワールドワイドなアライアンスに加盟していたため、他社のPSSへの攻撃が今回の個人情報漏洩につながってしまいました。

LINEは個人情報管理の甘さを指摘されて炎上

2021年3月17日、国内最大の利用者数を誇るSNS「LINE」の利用者の個人情報に対して、中国にあるLINEの関連会社、さらにLINE関連会社の業務委託先である中国国内の企業からアクセスが可能になっていることが報道されました。

これらの中国国内企業はLINEの開発業務や通信のモニタリング業務を実施していたもので、情報漏洩等の具体的な被害が発生しているわけではありません。 また、LINE上で交換された画像や動画を韓国内のデータセンターに保管している点もあわせて報じられていますが、こちらも具体的な被害は出ていません。

しかし、この報道は大きく問題視され、国の行政機関でのLINE使用の見直しや地方自治体の行政サービスでのLINE使用の停止につながています。 LINE側は3月23日に急遽会見を開いて、中国からのアクセス遮断の実施と韓国内にあるデータの国内移転計画を明言するに至っています。

この事例では、具体的な被害が発生する前であるにも関わらず、ここまで大きくとりあげられたことがポイントです。

LINE側は、プライバシーポリシーとして「個人情報をユーザーの居住国以外の国または地域にある委託先などの第三者および第三国に移転する場合がある」と明記していました。しかし、その第三国が個人情報保護に関する考え方が日本と異なる中国となると、多くの利用者が言い知れぬ不安感を持ってしまいます。今回の件が大きく取り上げられたのは、その不安感が大きく影響したことによると思われます。

JAL・ANA・LINEでわかる個人情報管理防止のための新たな教訓

JAL・ANAの個人情報漏洩事故とLINEの事例について見てきました。どちらの件も、特徴的なポイントがありましたね。
次は、これらの事例から汲み取るべき個人情報漏洩防止のための教訓を3点抽出しましょう。

自社だけ守っていてもだめ! サプライチェーンの予想以上の広がりに備えた対策が必要

JAL・ANAの事例では、個人情報はJAL・ANAから直接漏洩したわけではなく、SITAというスイスを本拠とした企業を介したものでした。しかも、JAL・ANAはSITAと直接的な業務委託関係にはありません。

SITAと業務委託関係にあるのは、JAL・ANAと同じアライアンスに加盟している別の航空会社です。JAL・ANAはマイレージ会員の個人情報をアライアンス内で共有していたため、今回の漏洩被害を受けました。

この件はサプライチェーンからの情報漏洩ではありますが、JALやANAにはSITAの業務に介入することが難しいため、事前の対策が困難な事例であったと言えます。

しかし、航空業界に限らず、直接的な取引関係にないものも含めてサプライチェーンはグローバルに広がっているのが実情ですので、今回のような事例は今後も増加するでしょう。

対策としては、他社と共有する情報を必要最小限にとどめて置くことが有効です。
今回の事例でも、共有されていた個人情報に個人への連絡先やクレジットカードナンバー等が含まれていなかったため、被害が最小限に食い止められた可能性が大きいと思われます。

個人情報漏洩が発生していなくても管理の甘さは問題視される

LINEの件で特徴的なのは、個人情報漏洩そのものは発生していないにもかかわらず、個人情報の管理の甘さが大きく問題視され、社会的な風当たりが大変強かった点です。
LINEが日本国内で最大級のSNSであったため利用者が多く、政府や自治体のサービスでも多用されている実態があるとは言え、被害が出ていないにも拘わらず日本国内の反応がここまで厳しいとはLINE側は想定していなかったでしょう。
しかし、今回の件がここまで炎上しましたので、今もマスコミの一部が類似の事例を探し回っているであろうことは容易に想像されます。何も起こっていなくても、「起こるかも」で問題となる傾向は今後も続くでしょう。

この事例を参考に、漏洩事故が発生する前に自社の個人情報管理体制をみなおすことをお勧めします。

業務委託やデータ保管においてもカントリーリスクに配慮すべき

LINEの事例でさらにクローズアップされたのは、業務委託先やデータの保管先の選定の際に、セキュリティの面でのカントリーリスクへの配慮が必要だという点です。

2017年施行の「国家情報法」により、中国国内企業は中国政府からの要求があれば情報を提供する義務を負っていますので、中国国内に業務委託先を持った場合には、そこから中国政府に個人情報が流れてしまう可能性をどうしてもぬぐえません。それゆえに今回の件は大きく問題になったと思われます。

データにアクセス可能であったのが個人情報の取り扱いに関する概念の近い欧米先進国であれば、LINEの事例はここまで問題にはならなかったでしょう。

業務委託やデータ保管先の選定では、主にコスト面から海外を選択することが多いのが実際です。しかし、政治体制や情報に対する法制の違いにも十分な配慮が必要になります。

今回のLINEの事例は、そういう教訓も与えてくれるものでした。

まとめ

この記事では、個人情報漏洩に関して最近持ち上がったJAL・ANAの情報漏洩事故とLINEの事例について振り返りました。そして、この2件から得られる個人情報漏洩防止のポイントとして、以下の3点について強調しました。

冒頭でも述べたように、個人情報に対する配慮は社会に浸透しつつあるにもかかわらず、漏洩事故は決して減少していません。それどころか、サプライチェーンのグローバルな広がりに伴い、どこに漏洩リスクが潜んでいるかわからない状況になっています。

今回の2件の事例をしっかり理解して、自社の状況を見直す良い機会にしていただければと思います。