りそな銀行の「東京本社におけるお客さま情報の紛失について」と題されたニュースリリース。色々問題が隠されている気がする。
ニュースリリース
https://www.resonabank.co.jp/about/newsrelease/detail/20201014_1a.html
記事
媒体に含まれる情報
・お客さまの氏名
・2019年12月時点での郵便番号、ご住所
紛失した情報の状況
電話番号、口座番号、残高等、その他の情報は一切記録されておりません。
要は、お客様の氏名と郵便番号と住所だけだと。まあ、このネット社会においては、氏名と郵便番号は、もちろん個人情報であるが、現在のネット社会においては、もはや氏名と住所だけでは秘密とすべき情報ではないとも言われたりしているので、りそな銀行もそれほど罪の意識はないのかもしれない。記事には「ダイレクトメールの発送に利用されており、委託業者から返却された後に所在が分からなくなった」とあり、データ自体は一度、りそな銀行から外部の委託業者宛に渡され、ダイレクトメールの宛先に使われたのだろう。ダイレクトメールの中身に住所氏名以外の個人情報が含まれていなければ、まあ、大問題ではないだろう。しかし、このダイレクトメールの中身に口座情報等が入っていたら話は別で大ごとになるかもしれない。それは、今回の紛失とは別の意味にはなるが。
今どきパスワードだけで問題ないとは言えない
また、第三者が確認できないよう媒体にはパスワードを設定しております。
せめて「第三者が容易に確認できないよう媒体にはパスワードを設定しております」くらいにはして欲しいもの。パスワードごときで確認できないなどと本気で書いていたらナイーブにすぎる。ここは、意図的に無知を装っていると見るべき。つまり、パスワードかけてるから仮に流出しても安全だと思ってくれる人向けの騙し文。こういう文を書くのは、悪質だと思う。パスワードで確認できないと言い切りたいなら、パスワード要件を書くべきである。
外部流出可能性
紛失した媒体につきましては調査の結果、不正に持ち出された形跡は認められておらず、外部に流出した可能性は極めて低いものと考えております。
これ、何を以って不正持ち出しはない、外部流出の可能性は極めて低いと言うのだろうか。金融庁は問題なしと了承したからニュースリリースを出したのだろうが、持ち出された形跡はないけれど、社内には見当たらないという言い訳が何で通るのだろうか。逆に言えば、持ち出していないから社内にあるはずの物を見つけられない組織が、不正持ち出しはないと言ったからといって信用できるわけもない。
二律背反
これ、二律背反なロジックなはず。つまり、社内で見つからないなら、外部に持ち出された。外部に持ち出されていないなら、車内で見つかるはず。このどちらかしか成り立たないはず。しかし、りそなの説明は、社内で見つからないが、外部に持ち出されていないと言いたいようだ。要は、しっかり探してはいないと言っているのか、持ち出された形跡はないが持ち出されていると言うことを言っているのだろう。「持ち出された形跡はない」は、持出し記録台帳に記録がないから持ち出していないとかそんなこと言ってそうな気がするが。社内で探してもないならば、持ち出された形跡はなくとも、持ち出されたリスクは高いと考えるべきだろう。
不正使用の有無
なお、これまでに、お客さまの情報が不正に使われたとの連絡や本件に関係すると見られる不審な問い合わせ等はございません。
この文言は、顧客情報紛失の際の常套句であるが、情報は、そうと分からないように使用するのが長く使用するには有効であり、不正使用連絡や不審な問い合わせがないことを以って安心できるわけではない。
仕方がないことだが
情報の流出は、仕方のないこととも言える。しかし、ニュースリリースにおいて、意図的に変なことしているので、やり過ごせれば良いかくらいにしか思っていないことは文面から見て取れる。りそな銀行にしてみれば、住所氏名だけなのだから大したことないと思っているのではないだろうか。個人的にはその考えに同意する。
ただし、実は仕掛け上、もっと問題があるような気がしてならない。いずれにせよ、このニュースリリースは、りそなのリスク管理のダメさ加減を知らせてくれるものとなっている。
