Equifaxで史上最悪の個人情報漏洩事件

日経BPのITPro平成29年9月22日付の記事です。9月7日に公となったEquifax事件を解説しています。本事案では最大1億4300万人分の個人情報が漏えいして、その数は昨年12月の米Yahooによる10億件以上よりも少ないものの、漏洩情報の内容が余りに機微情報であることから史上最悪の事件としています。

氏名、住所、電話番号、生年月日の基本4情報以外に、運転免許証番号や社会保障番号なども含んでおり、一部にはクレジットカード番号も漏れています。「大規模な詐欺を実行する為に必要なすべての情報」を含んでいるので最悪だと言います。IBで他人口座から送金する、なりすましてクレジットカードを創る、融資を受けて逃げる、確定申告書を偽造して還付金を盗むなどの手口が考えられるとしています。更に、悪用された人の信用格付けが下がるという二次被害も予想されるそうです。

アメリカンバンカー紙(9月8日付)では、10分もあれば簡単にネット経由で新規口座を偽造できると書いていました。米英カナダの警察が捜査に乗り出していますし、事件発覚後24時間もしない内に、訴訟が起こされたとも報道していました。

Equifaxは、三大クレジット・ビューロの一社でエクスペリアン、トランスユニオンと並んで、米国のクレジット経済のインフラとなっています。クレジットや小切手を使用する際には、必ずクレジット・ビューロに照会が行なわれる。融資可否までは回答しませんが、クレジット・ヒストリーとスコアを提示します。クレジット会社や小売店などが手数料を払って、特定された個人の購買情報と信用情報を入力してくれるという、まことにオイシイ商売です。筆者は昔から自然増殖型ビジネスと呼んで、もっとも効率的なビジネスモデルだと考えていました。

調査によると5月から7月にかけて侵入のあった形跡が見つかっています。そもそも、ApacheStruts2の脆弱性に対してパッチを当ててなかったという報告もあります。大規模漏洩が見つかった3日後に、同社の幹部3人が180万ドル相当の株を売ったことも明らかになっており、大規模な訴訟が起こされることは確実です。何よりも流出被害者の信用維持や今後発生するであろう悪用に対する対策には膨大な労力と時間、コストがかかると思われます。Equifaxにその能力、体力があるかが懸念されます。

わが国には、CICとJICCという二つのクレジット・ビューロがあります。米系クレジット・ビューロは、日本でも多くの個人信用情報サービス会社が設立されることを期待して、信用情報管理システムや格付けシステムの日本向け販売に力を入れていますが、参入意欲を示す企業はないようです。そんなデンジャラスなビジネスはしたくないというのが、日本の企業です。米国は昔から小切手社会ですから、小切手の信用確認に広くクレジット・ビューロが使われ、多くのサービス会社がありました。それが、再編や買収を通じて転々と主導者が変わり、その間に、緊張感がなくなってしまったのでしょうか。些細な怠惰が、一国を揺るがす大事件になってしまいました。

FinTechにおいては、クレジット・ヒストリーに頼ってハイコスト、非効率な信用調査をせずに、SNSや簡単なアンケートなどで、個々人の返済意思や能力を判断しようとのアイデアや実サービスが出ていますが、今のところは、クレジット・ヒストリーが最も確実な判断材料です。消費者としては、与信者がどのクレジット・ビューロを使うか関与できませんから、心配がつきないでしょう。頻繁に自分のカード利用履歴や預金口座異動明細を確認することになります。金融機関としては、当面の間、トランザクションの大幅増を覚悟しなくてはなりません。

FBIや消費者信用保護局などが捜査していますが、議会では被害者保護とクレジット・ビューロの処罰強化を求める議員が多い。しかし、1億4千万人の信用を維持する方策などあるのでしょうか。盗まれた情報は既に転売されている筈です。そして値崩れするので、より多くの犯罪者が入手できる。罰則強化を唱えても、その間に当該企業は消滅しているかもしれない。

その点、日本のクレジット・ビューロははるかに安全だといえそうです。最高度のセキュリティ対策が施されていますし、監督機関も監視しています。信用照会手数料が高いとか、提供データ範囲が不十分だとか、システム接続にコストがかかるとか、不平不満は多いですが、迂闊にFinTechブームに便乗すると、とんでもない事態が起こり得ます。

金融のセキュリティ対策は、来年には安全対策基準が全面改訂されて、リスクベース・アプローチが採用されます。個人信用情報に厳しいセキュリティ対策が求められることは、これまでと同じですが、信用関連事業への新規参入者の中には、利便性を優先するところが出てくるでしょう。利用者は、自分の情報が管理されている状況をどのように確認評価できるのか?個人信用情報センターには、個人が自分の登録情報を確認できる制度があります。それと同じ制度をカード会社や銀行、そしてFintech企業に求められるようになると大ごとです。金融は行きつくところ信頼ビジネスです。それが崩れるようなことはなんとしても防がなくてはなりません。

                    (平成29年9月28日 島田 直貴)