目次
Facebookで2900万人の個人情報が悪意あるハッキングにより流出
10月12日、SNS大手のFacebookは、2018年9月下旬に公表したハッキング被害について、詳細を明らかにしました。
発表によると、被害者は約2900万人に及び、約半数は生年月日、勤務先、学歴、宗教、直近の閲覧履歴などの個人情報がハッカーに盗み出されたとのことです。
今回の流出は、ハッキングという悪意を伴った流出だけに、流出した個人情報の悪用リスクが非常に高く、注目を集めています。
今回のFacebookで発生したデータ流出は、「一般データ保護規則(GDPR)」が施行された5月以来、アメリカのIT大手が起こした初めての大規模で深刻なデータ流出です。
そのため、GDPRで施行された様々な規制や違反に対する制裁内容がどのように実施されるのかにも注目が集まっています。
Facebookによると、流出した2900万人分のデータのうち、登録した居住地、職歴、宗教、婚姻状況、シェアした訪問地、直近の検索履歴などの重要情報が流出したユーザーが1400万人、名前や電話番号、メールアドレスへのアクセスにとどまったユーザーが1500万人としています。
Facebookでは、18年4月に提携するコンサルティング会社経由で最大8700万人分の情報が流出したことが大きな話題になりました。
そのほか、Grabで10月9日の記事でも紹介したように、Google+のソフトウェアの不具合から、最大50万人分の個人情報流出し、Google+のサービス終了のきっかけになったことも話題になっています。
この2件について、Facebookは提携企業とのコンプライアンス管理不足、Googleはデータ管理のシステム不備が原因です。
しかし、2018年9月下旬に公表された情報流出は、悪意あるハッキングが原因であるため、詐欺などの実害につながる可能性が非常に高くあります。
ここからは、今回の個人情報流出によって発生しうるリスクについて、見ていきましょう。
個人情報流出の被害① 詐欺の拡大
9月下旬にFacebookで発生した個人情報流出は、ハッキングという犯罪行為が原因であるため、悪用リスクが懸念されています。
2018年4月に明らかになった8700万人の情報流出は、管理不足が主な原因であるため、犯罪組織による悪用リスクは比較的低いという見方もあります。
しかし、ハッキングで流出した個人情報は、Web上の犯罪問題が多数発生する闇サイト「ダークWeb」で高額で取引されることがあり、犯罪組織にわたる可能性があります。
例えば、不正に入手したメールアドレスを使い、銀行口座情報などを入力させる偽サイトに誘導するなどの「フィッシング詐欺」により、さらに重要な個人情報が抜き取られる可能性があります。
また、会社の上司や取引先と偽ってメールを送信し、会社の金銭などをだまし取る「ビジネスメール詐欺」の被害がここ数年で急速に広がっています。
こうした詐欺は、勤務先や名前など流出した実際の個人情報を使うことで、さらに巧妙になります。
個人情報流出の被害② フェイクニュースの深刻化
Facebookといえば、フェイクニュースが議論に上がることがあります。今回のハッキング被害により、フェイクニュースが深刻化する可能性があります。
フェイクニュースとは、虚偽の情報で作られたニュースのことで、SNSの発達とともに影響力を増してきました。SNS上では真意のわからない情報が急速に広まり、広まれば広まるほど信ぴょう性が増し、コピーも増えていくことから対処が難しい問題となっています。
トランプ大統領が当選した大統領選挙では「ローマ法王がトランプ指示を表明した」「ヒラリー・クリントンが過激派組織に武器を渡した」といったニュースが拡散し、選挙結果に大きな影響を与えました。
なぜ個人情報流出によってフェイクニュース被害が深刻化するかというと、不正に入手した実際の個人情報をもとに、より信ぴょう性のあるフェイクニュースを生み出すことができるからです。
個人情報流出の被害③ イノベーションの阻害
2018年は個人情報流出をはじめ、IT大手に批判的なニュースが多くありました。
「一般データ保護規則(GDPR)」が施行され、企業、個人ともに個人情報保護への関心が大きく高まっています。
個人情報への関心が高まることは決して悪いことではありませんが、GoogleやFacebook、Apple、AmazonといったIT大手は、個人情報をはじめとする膨大なデータを活用することでイノベーションを起こし、非常に速いスピードで成長してきました。
今回のような事件が頻発することで、IT企業のデータ活用への不信感が高まることはもちろん、データ活用の規制が厳しくなる可能性があります。
情報(データ)は、「21世紀の石油」と呼ばれるほど価値があり、イノベーションの源泉になってきました。
個人情報に対しては、企業や団体、国の努力により、ユーザーが安心して利用できる環境を作るとことはもちろん、企業がイノベーションを起こし新しいサービスの開発につながるような活用を促すことも重要です。
注目が集まる一般データ保護規則(GDPR)の制裁
今回のハッキング被害について、悪用リスクが高いことともう一つ注目を集めていることがあります。それは、「一般データ保護規則(GDPR)はどのような制裁を行うのか」ということです。
GDPRは2018年5月に施行されました。その前後に大きな個人情報流出がいくつも発見されましたが、流出そのものはGDPR施行以前であったりと、様々な理由から実際の制裁はほとんどありました。
しかし今回は、アメリカ大手IT企業でGDPRが施行後に発生した情報流出として、最初の例になります。
GDPRは、企業や団体に対して、個人情報の厳格な管理を求めており、違反に対しては最大で年間売上高の4%にあたる制裁金を命じるとしています。そのため、Facebookが巨額の制裁金や賠償金の支払いに見舞われる可能性があります。
日本国内でも話題になったGDPRが、個人情報保護とデータ活用のイノベーションの観点からどのような役割を果たすのか、真価が問われています。
まとめ
今回のハッキング被害を受け、Facebookは影響を受けた利用者に対し、個人情報が悪用されないための対策などを通知する方針を明らかにしています。
どれほどセキュリティ対策を行っても、ハッキングリスクをゼロにすることはできません。データが価値を持つ現在において、流出した情報に対してどういった対応をとるのか、今後のケーススタディになると考えられます。