はじめに
大手家電量販店チェーン、株式会社エディオンは2022年4月11日、グループが運用するサーバーに不正アクセスが行われたことを公表しました。今回の不正アクセスの結果、サーバー内に保存した情報の一部が外部に流出した可能性があるとのことで、その経緯とお詫びに関して文書が出されています。今回は本件の経緯について解説していきます。事件の経緯
2022年4月8日12時ごろ、エディオンが運営業務を委託している当社グループ会社「Hampstead」(東京都品川区)からエディオンに対し、「サーバーに外部から不正アクセスがあり、サーバー内の情報が削除された」旨報告がありました。対象となるデータは77,656件にのぼり、データは単に削除されただけでなく、流出した可能性もあると考えられています。流出した可能性のある情報の内容としては、エアコン等の配送設置情報に紐づけられた氏名や住所、電話番号などの個人情報、ほか荷物の受け取り時の写真などです。幸いクレジットカード情報などは含まれていませんでしたが、重大な個人情報が攻撃を受けたことになります。不正アクセスの原因および対応
今回の不正アクセスの原因は明らかになっていませんが、一部稼働を開始した新たな配送管理システムを管理しているサーバーへの不正アクセスであることが判明しています。また、不正アクセスを受けてエディオンは即座にセキュリティ対策を実施しました。不正アクセス後の対応としては、個人情報等が流出した可能性がある顧客へのお詫びと説明、個人情報保護委員会および警察への被害の報告を行うなどしています。再発防止策としては、外部有識者による対策チームを設置し、セキュリティ体制の強化を図るとしています。不正アクセス禁止法で定められた対策とは
「不正アクセス行為の禁止等に関する法律」では、今回のような不正アクセス行為、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止しています。ここで言う「不正アクセス」とは、利用権限のないコンピュータに対して、不正にアクセスしようとする行為を指します。実際に権限のないコンピュータへ侵入したり、利用・データの移動や削除などを行うことも不正アクセスに含まれます。 日本国内ではインターネットの普及と共にコンピュータへの不正アクセス被害が急増したため、これらの不正アクセスを処罰する不正アクセス禁止法が施行されたという経緯があります。本法律は罰則が設けられており、それぞれや罰金や懲役刑が科されるなど、厳しく処罰されます。また、同法第8条には「アクセス管理者による防御措置」という項目があり、アクセス管理者は不正アクセス行為から防御するため必要な措置を講ずる努力義務があることが明記されています。|
【努力義務の内容】 ・管理するアクセス制御機能に係るパスワード等の適正な管理を行うこと ・常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他不正アクセス行為からの防御措置を講ずること |