九州電力から個人情報漏洩。システム切り替え時に個人情報を誤って引き継ぎ

またしても大手企業から個人情報が漏洩しました。

一般に、個人情報の漏洩というと、悪意のある第三者によるハッキング行為をイメージするかもしれません。しかし、今回は、事故といいますか、本当にミスで漏洩してしまったのです。

個人情報とITシステムの在り方についてなどを中心に、考察していきます。

｜九州電力個人情報漏洩事故とは？

2020年1月28日に公表された、九州電力の公式発表では、個人情報つまり一般市民の情報が864件、漏洩したとのことです。

九州電力はその名の通り電力会社ですから、送電した電気を売っています。と同時に、電力自由化で新しく電力会社が参入したので、彼らに電気を売るためのサービスを売るというBtoBの仕事もしています。

ただし、誰がどこの電力会社で契約しているのかという情報は、当然ながら九州電力が預かっています。なぜなら、それが会社の預かる必要のあるものだからです。
個人情報は、自宅、連絡先、使用電力量、電力の種類や契約先などが扱われているものと思われます。それらがないと、九電の側も仕事が進みません。

その個人情報を預かることは、実はとても重大です。基本的に個人情報は、名前・住所などを指しますが、それ単体では意味を成しません。誰かがどこに住んでいるという情報だけもらっても、悪意ある人にも何もできないからです。

では、何があるのか。それは、個人情報にほかの情報がプラスされることで、さまざまな悪用が可能になってしまうのです。今回の九州電力でいえば、電力料金や使用電力量がそれに該当します。使用電力量を知ってどうするのか？ それは、利用状況がわかることによって、どの家にどの程度、在宅しているのかがわかります。

電気代が高ければ、家族が多く家にいることが多い家庭だと予想がつきますし、非常に少なければ、それは不在がちになっていることがわかるでしょう。そうすると、泥棒に入るなどの悪だくみを考える人が出るものです。

｜九電の個人情報が流出した経緯

今回の個人情報漏洩は、ハッキングではないと公表されています。
ハッキングではないので、悪意を持った外部からの侵入などではないのです。つまり、自分たちで“やらかして“しまったものと思われます。

具体的に何が起こったかというと、業者を入れ替えて、システムを切り替えた際に、前の業者に新規業者へ送るはずのデータを送付してしまったのです。前の業者はもう契約が切れていますから、データを送られても困りますよね。ただ、いちおう以前はステークホルダーであったというわけです。過去の協力会社に誤ってデータを送付してしまった…。それが事のなりゆきだと考えられます。

つまり、事件ではなく事故であり、自主的に漏洩を申告されたものです。外部からの指摘で発覚したわけでもなく、九州電力が自分たちで「しまった！誤送付してしまった」と気がついたのです。

電力料金が間違っていることを通知するものが791件、送電網を使って外部の電力販売会社が送電する際の、誤請求による通知が73件。どちらも間違いを正すためのものというところが皮肉ですが、これから考えられることとしては、全体のデータが漏れたわけではなく、イレギュラー処理の際に、前の業者に送ってしまったものだと考えられます。

｜これからのプログラムアップデート

ようするに今回の個人情報漏洩は、ソフトウェアのバグだと考えられます。
よって、プログラムのアップデートをしなければなりませんが、イレギュラー処理だけ前の業者にデータを送付していたということは、ハードコーディング（ベタ打ちで送付先を書いている）ということだったのでしょうか。それだと、少し技術力に不安が残ります。

とはいっても、人手不足の昨今。クオリティが高すぎるプログラムを九州電力という電力会社が実装できるかは不明のため、そこを責め立ててもしょうがないのかもしれません。

動的に送付先を変更でき、また、何度もテストをして個人情報を守る仕様にちゃんとなっているか、確認することが大切です。

｜相次ぐ個人情報漏洩の原因

相次ぐ個人情報漏洩は、日本の技術力低下、経済沈下の象徴なのでしょうか。それとも、もともとそれほど日本は技術力が高くなく、前から漏洩はあったけれど、最近はガバナンスがきいて公表されやすくなっているだけなのでしょうか。

そのどちらも、理由としてあるとは思います。ただ、いずれにせよ、漏洩は会社の評判を著しく押し下げます。個人情報というのは、いまそれだけ大切なものなのです。

個人情報は、名前・性別・生年月日・住所を基本として、その他のさまざまな会社によって扱われるデータも含みます。先程も見ましたとおり、電力量の使用料金とあわせることで、その家がいつ不在なのかもわかるようになってしまいますし、留守を狙った犯罪や、ストーカーに使われることもありえます。

仮にその情報を悪用して事件が起こってしまえば、もう大変なことになります。とてもじゃないですが、会社が存続できないか、社長が辞任するか、株価が下がって株主から強く叱責されるか、いずれにせよ大きなダメージを受けることとなってしまいます。犯罪に使われてからでは遅いのです。世の中、悪い人、悪意を持った人、裏切る人はいくらでもいると思って、顧客の個人情報を守らなくてはなりません。

Pマークは、会社にその守る力があると認定するものです。Pマークは認証ではありますが、しっかりと研修と第三者による評価を受け、認定されたものです。よってまず、個人情報漏洩を恐れる会社は、Pマーク取得を目指されるといいのではないでしょうか。

こうした漏洩事故が起こると、あまりに故意の場合や落ち度がある場合は、認証が取り消されることもあります。そうなると社会的にも評価は下がります。一度、Pマークを取ると決めたら、強い決意と全社員の協力で、個人情報を守っていく心構えが必要なのです。

全社員と書きましたが、顧客の個人情報ですから、全社員が意識を高めなければならないのです。仮に、現場とは違う事務方の人であっても、お客様の個人情報を漏洩させてしまえば、居場所がなくなってしまいます。現場とはこの場合、電気工事の人だったり、上役さんだったりしますが、それ以外の人にとっても職場は大切なはずです。

また、個人情報が漏洩するような体制を組んでしまっている場合は、社員の情報も漏洩してしまうルーズな職場であることがほとんどです。

そうなると、困るのは自分自身ですので、「自分ごと」だと考えて、ことに当たらなくてはなりません。

｜ITシステムと個人情報

さて、個人情報の扱いについて、ITシステムの面から考察していきます。ITシステムで個人情報を取り扱うとき、実在するデータを使ってテストしては絶対にいけません。個人情報を扱うシステムを作るのですから、名字と名前を混ぜるなり、新規で存在しない実名っぽいデータを外部から買ってくるなりして、実在しない人の名前と住所などでシステムをテストする必要があります。

よくある落とし穴として、社員の名前を使ってテストすることがあります。それでは、万が一の漏洩時に、社員の情報が漏れるという良くない事態が発生します。よって、まったく実在しない架空の情報で、システムをテストするべきなのです。これは当たり前のようでいて、意外とできていないことですので、しっかり心する必要があります。

｜Pマーク取得のススメ

Pマークを取りましょう。第三者機関による認証を得て、自社が漏洩を起こさないという約束を、社会に対して宣言する必要があります。大手の企業でPマークを取っていないところのほうが珍しく、取得には少しハードルが高いですが、お金で買える認証ではないため、中身があることを証明する社会的な印となってくれます。

弊社ユーピーエフでは、Pマーク取得のコンサルを実施しています。Pマークを取得したいと思ったら、ぜひとも弊社にお任せください。全面的にバックアップし、貴社をPマーク取得まで導きます。

最後に、個人情報の漏洩は、会社にとってもそこで働く人達にとっても大きなダメージで、同時に大切なお客様にまで迷惑をかけてしまいます。不祥事となりますので、絶対に避けなければなりません。ルーズなことをしているといつか事故が起こりますので、他社の不祥事をみて、他山の石とするべきです。

今回は九州電力の個人情報漏洩事故についてお届けしました。

参考：【九州電力、個人情報漏洩864件　システム障害関連で】

■こちらの記事もおすすめです

>>【ファイル転送「宅ふぁいる便」がサービス終了。古いシステムの改修コストをどう見積もる？】