ポルシェジャパン、2万8,700件超の個人情報が流出か？

漏洩した個人情報の内容は？

ポルシェジャパンによると、漏洩した個人情報の内容は、氏名、Eメールアドレス、住所などをはじめ、ユーザーがウェブのカタログ請求で登録した顧客属性に関係する情報が含まれるということです。

また、2月26日の発表時点では、クレジットカード情報や信用情報、取引履歴などは含まれていないとの認識を示しました。

漏洩した可能性がある個人情報をまとめると、以下のようになります。

事件の経緯とポルシェジャパンの対応

ポルシェジャパンの発表内容を元に、事件前後の動きを時系列でまとめます。

個人情報漏洩による被害の規模は？

個人情報漏洩事故が公表された2月26日時点では、直接的に被害があったという情報はありません。

しかしながら、人為的なサイバー攻撃を受け、不正アクセスがあったという事実から、今後何らかの被害が出ることを想定しておくべきだと思います。
さらに、ポルシェジャパンによると、この事件以前のサーバーへのアクセス記録は存在しないということなので、過去にも同様の事象が起っていた可能性も否定できません。

被害の規模や状況については、警察や外部機関の調査などにより、これから徐々に詳細が明らかになって行くと思われます。

ポルシェジャパンの問題点は？

事故の原因については、委託先サーバーへのサイバー攻撃ということなので、再発防止策として、委託先のサーバーセキュリティの向上を図ることは必須だと考えられます。
そして、前述の通りポルシェジャパンはすでに委託先にサーバーのセキュリティを高める措置を行わせたとしています。

しかしながら、今回と同様の攻撃への耐性を高めたとしても、サイバー攻撃は日々進化しており、世界中に無数の攻撃者が存在することから、今後も委託先には継続的なセキュリティ向上を求め続けることが重要になってくると思います。

また、ポルシェジャパンが今回のインシデントについて、外部からの指摘があるまで全く気づかなかったということも大きな問題です。
これは、少なくとも同社がサイバー攻撃を検知して共有するシステムを持っていなかった、又は機能していなかったということを示します。

この点については、委託先と協力のうえ、サイバー攻撃などがあった場合、それを検知し、スピーディに情報共有するシステムや仕組みを整備することが望ましいと思います。

一方、ポルシェジャパン内部での対応についても疑問が残ります。

それは、不正アクセス発覚後、応急処置から対外発表まで、対応に数日を要しているということです。
ここから読みとれるのは、事故が起ってしまった場合の対応手順について、社内で十分にシミュレーションされていなかった可能性があるということです。

プライバシーマークやISMS/ISO27001などの認証制度では、情報セキュリティの基本的な考え方として、事前にリスクを想定して予防するだけでなく、実際にセキュリティインシデントが起ってしまった場合の対応手順を具体的に整備することが重要とされます。
そういった視点から判断すると、ポルシェジャパンは今後、再発防止措置を実施するだけでなく、緊急時の対応について再整備する必要があると考えられます。

とはいえ、現在のところポルシェジャパンは再発防止に取り組むとしながらも、具体的な方法についての報告はありません。
今後、どのような動きをするのか、情報セキュリティの観点から注目されることになると思います。