個人情報がWebサイトから閲覧可能になる事故が2件、相次いで明らかになった。1件は国際連合世界食糧計画WFP協会(以下国連WFP協会)のWebサイトで募金者情報が、もう1件は日本公認会計士協会四国会のWebサイトで所属の会員情報が、前者は2年、後者は5か月以上にわたって、不特定多数に閲覧可能となっていた。
■日本公認会計士協会:四国会会員の個人情報が閲覧可能に
日本公認会計士協会(東京都千代田区)は、同協会四国会の会員住所録のPDFファイルが四国会のWebサイトで閲覧可能になっていたことを明らかにした。
当該PDFファイルに掲載されていたのは、2009年6月30日時点で同協会四国会に所属していた会員と準会員合計179名分の氏名、生年月日、住所など。2009年7月21日に四国会のWebサイトに手違いにより掲載され、2010年1月8日まで閲覧可能な状態となっていた。同月5日に協会が知るところとなり、削除。8日には一般からの閲覧は不能となった。現在までのところ、閲覧可能だった個人情報が不正利用された事実は確認されていない。
・日本公認会計士協会からのご報告(日本公認会計士協会)
http://www.hp.jicpa.or.jp/specialized_field/post_1274.html
■国連WFP協会:募金者の個人情報が閲覧可能に
国連WFP協会(横浜市西区)は先月27日、ホームページ上で実施致している「イーバンク・マンスリー募金」に登録した募金者情報の一部が、インターネットからアクセス可能な状態にあったことを明らかにした。原因は同協会が発注しているシステム会社の不手際で、先月21日に発覚し、同日のうちに問題点を修復。アクセス不可能にする処置がとられた。
閲覧可能だった個人情報は、2008年1月11日から2009年12月27日までの期間、同協会のホームページから同募金に登録した人のうち65件で、個人情報の内容は、氏名、住所、電話番号、メールアドレス、口座番号など。閲覧可能だった期間は、2008年1月11日から2010年1月21日まで。アクセス履歴調査では、一部情報へのアクセスが2件確認されたが、今のところ当該情報が不正利用されたという事実は確認されていない。
・個人情報流出に関するお詫びとお知らせ[PDF](国連WFP協会)
http://www.wfp.or.jp/kyokai/pdf/JAWFP_statement_20100127.pdf
●なぜ起きる? ホームページからの個人情報流出
ホームページからの個人情報流出事故はこれまでも多数発生している。とくに2008年には、日本ヒューレット・パッカード(顧客情報13万9583名)、吉本興業(顧客情報1万5836件)、JALホテルズ(顧客情報14万5052名)など大型の情報漏えいが発生した。これらは、顧客がWebサイトのフォームから入力した情報が、アクセス制限のないままサイトの公開ディレクトリ上に置かれていたことが原因となっている。
総務省の「国民のための情報セキュリティサイト」によると、Webサーバーから個人情報が漏えいした事故の多くは、個人情報を含むファイルがインターネットから取得できる場所に置かれたために発生している。対策は、インターネットから参照できるディレクトリにファイルを配置しないこと、ファイルのパーミッション(アクセス権)を適切なものに設定すること。
レンタルサーバーでは、特定のディレクトリをHPの仮想ルートとし、その階層下を公開している。したがって、外部に漏らしてはいけないデータのファイルは、その階層下(公開ディレクトリ)以外の、サーバー側からしかアクセスできないところに保存するのが基本だ。公開ディレクトリは、デフォルト(初期設定)では誰でも閲覧できるようになっているのが通例なので、パーミッションを設定しないでファイルを置くと、データが外部から丸見えの状態となってしまう。
(2010/02/02 ネットセキュリティニュース)
■国民のための情報セキュリティサイト>個人情報の保管方法(総務省)
http://www.soumu.go.jp/joho_tsusin/security/homepage/server07.htm
■セキュアプログラミング講座>Webサーバからのファイル流出対策(IPA)
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/401.html