5月21日、株式会社ネットマーケティングが運営する「Omiai」において本人確認時に用いた運転免許証、約171万件が漏洩するという事故が起きました。この個人情報漏洩事故は近年でも稀に見る大規模な漏洩事故です。

この記事では、株式会社ネットマーケティングの情報流出発表から2週間の動向についてまとめたいと思います。

発生した情報流出事象

年齢確認書類の大量流出

2018年1月31日から2021年4月20日の間に年齢確認書類として提出された「運転免許証」「健康保険証」「パスポート」などの画像データ約171万件が流出しました。対象となる期間は約3年間あり、この期間に入会・年齢確認を行っている場合は、既に退会済みであるかどうかに関わらず、ほぼ流出対象といえます。

不正アクセスは、2021年4月28日15時ごろに意図しない動きに気づき初動対応を行ったようです。ネットマーケティング社のみでこの規模の不正アクセスの調査を行うことは難しいことから、専門のセキュリティ業者に対応を依頼するも、世間ではちょうどゴールデンウィークに突入するタイミングということもあり、被害範囲の検証に時間がかかったようです。

結果、不正アクセスの動きを感知した4月28日から約3週間が経過した5月21日に大規模情報漏洩が公表される形になりました。

ネットマーケティング社による発表は、不正アクセスによる会員様情報流出に関するお詫びとお知らせとなります。

問合せフォームのキャッシュ不備

5月19日に、企業サイトのサーバープラットフォームを移行した時に、システム設定の不備があり、企業サイトのお問合せフォームにも情報流出のバグが発生しました。お問合せフォームでは、フォームに投稿された内容がキャッシュされてしまう状態になっていたようです。これにより、対象期間内（5月19日から5月23日の間、5日間）に企業サイトのお問合せフォームから問い合わせた時に、自身の問合せ内容ではなく、他の人の問合せ内容が表示されてしまう状況となっていました。

情報流出の対象となるのは、対象期間内に企業サイトで問合せを行った37名となっています。

ネットマーケティング社による発表は、当社コーポレートサイトの不具合により、お問い合わせフォーム内の 個人情報が他者から閲覧できた状況に関するお詫びとご報告となります。

情報流出公表後のネットマーケティング社の対応

自身のアカウントの流出対象か確認するフォームの提供

情報流出を公表したタイミングと同じタイミングにて、ネットマーケティング社のOmiaiサービスサイトにて、Omiaiお客様相談センターお問い合わせ窓口が提供されました。登録情報を入力することで、自身の本人確認書類が流出対象となっているかどうかを確認することができるようになっています。

ただし、該当期間に登録しているはずなのに対象外と表示されたり、無関係の情報を入力しても対象と表示される、などといった発言がTwitterなどで繰り広げられています。また、このOmiaiお客様相談センターお問い合わせ窓口の問題点として、名前と生年月日さえ入れれば対象かどうか確認することができ、この確認作業には本人確認の処理が一切行われていない点です。つまり、確認結果の送付先メールアドレスのみ自身のものにしておき、名前や生年月日は他人のものを利用してしまえば、その人が該当期間にOmiaiを使っていたかどうか、知ることができてしまうということを意味します。

企業サイトでのアナウンスは約2週間なし

企業サイトでは、

• 05月21日: 171万件の本人確認書類の情報流出に関するニュースリリース
• 05月23日: お問合せフォームのキャッシュ不備による情報流出に関するニュースリリース

の2つが公開された後、約2週間の間何も新規の情報は更新されていません。

また現時点では、情報流出したユーザー向けの補償に関する話について、何も触れられていません。

個人情報保護認証機構「TRUSTe」の対応

ネットマーケティング社は、個人情報保護認証機構の1つである「TRUSTe」に加盟しています。TRUSTeは、OECDプライバシーガイドラインに基づいたプライバシー保護の取り組みを実践し、適切に個人情報が取り扱われているWebサイト、アプリに対して認証を与えています。ネットマーケティング社はTRUSTeのお墨付きのサービスという位置付けであったにも関わらず、大規模な個人情報流出を起こしてしまったため、TRUSTeにとっても大きな問題です。

05月21日: TRUSTeの初動の対応

ネットマーケティング社からの情報流出が発表されたのちに、TRUSTeのサイトにおいても、「TRUSTe導入事業者における情報漏えいについて」というタイトルでお知らせが掲載されました。

05月27日: 経過報告と是正勧告

• 株式会社ネットマーケティングからの経過報告及び是正勧告について

5月27日にネットマーケティング社からTRUSTeに対して、経緯と再発防止策などに関する報告が提出されています。その一方で、ネットマーケティング社は、一般ユーザーに対してはお問合せフォームでの情報流出確認を提供しているのみで、ユーザーに対する適切な行動が行えておりません。そのため、TRUSTeはネットマーケティング社に対して、期限付きの是正勧告を行っております。勧告内容は、

1. 流出の対象となったユーザーの権利保護、2次被害防止のために実施を検討している、または実施を決定している事項について、適時公表を行うこと。
2. ユーザーによる自己情報の消去要請に対する対応方針を速やかに回答すること。
3. 本事案に関連した苦情、問い合わせ対応について遅延が生じていることに対して速やかに改善策を講じること。

の3点です。TRUSTeのライセンス契約に基づいてこれらの是正勧告の期限は6月4日に設定されました。

06月04日: 是正勧告に対する回答について

• 株式会社ネットマーケティングに対する是正勧告への回答公表の再要請について
• 株式会社ネットマーケティングに対する是正勧告への回答について

5月27日に行われた是正勧告の期限日に、動きがありました。まず、是正勧告に対し、6月3日にネットマーケティング社からTRUSTeに対して回答が得られたようです。ただし、その一方で、回答内容は、ネットマーケティング社とTRUSTeの間でしか共有されておらず、一般には公表されておりません。そのことに、TRUSTeは相当ご立腹のようです。実際、TRUSTeのお知らせの中に、

本事案につきまして、ネットマーケティング社へ勧告した改善措置への回答を即刻公表するように同社に対し要請致しましたが、6月4日18時45分時点で対応がされなかったため、再度、即刻公表するよう要請致しましたことをご報告致します。

のような記載が行われています。6月5日朝時点、ネットマーケティング社のサイトには、これらに対する回答は掲載されていません。

まとめ

TRUSTeからの期限付き是正勧告を請けて、その期日までにユーザーに対して何らかのアクションが行われるものと思っておりましたが、予想に反して、ネットマーケティング社は一般ユーザーには未だ情報を公開せず、TRUSTeへの対応のみを行っている様子でした。

TRUSTeからの再度の要請を請けて、何らかのアクションを即刻行って欲しいところです。