事故から学ぶ

中部電で不正ログイン 個人情報最大234件流出

事故概要

業種 中部電力
発生時期 2019/07/12
漏えい人数 234人
事故概要

中部電力は12日、家庭向けインターネットサービスで不正ログインがあり、顧客の氏名や住所など最大234件の個人情報が流出したと発表した。金銭的な被害は確認されていないとしている。被害が多かったのは愛知県が104件、静岡県が37件、岐阜県が35件。不正ログインがあったのは7月10日から11日で、顧客の氏名や住所、電気やガスの請求額、契約プランなどが見られる状態となった。電気料金の支払いなどに使えるポイントの不正利用はなかったという。
中部電は第三者がほかのサービスからIDとパスワードを入手するなどして顧客になりすまし、不正ログインしたとみている。個人情報が流出した顧客に対し、個別に謝罪するとともにIDとパスワードの再設定を依頼している。

引用元 中部電力

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。