大手旅行会社JTBの子会社のサーバーに海外から不正アクセスがあり、保有する約793万人の個人情報が2016年3月に流出した可能性がある問題が波紋を広げている。石井啓一・国土交通相は6月17日の閣議後記者会見で、「個人情報の流出の可能性が確認された時点で、顧客への通知、対外的な公表を行うべきだった。今回の対応については問題があったと考えている」と述べ、JTBの対応を厳しく批判した。
流出した可能性があるのは「JTBホームページ」「るるぶトラベル」などのオンラインで、2007年9月28日から2016年3月21日に予約をした顧客の個人情報で、(1)氏名(2)性別(3)生年月日(4)メールアドレス(5)住所(6)郵便番号(7)電話番号(8)パスポート番号(9)パスポート取得日の9点。このほか、NTTドコモの旅行サービス「dトラベル」を利用した33万件の情報も含まれている可能性がある。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないという。警視庁は不正指令電磁的記録(ウイルス)供用や不正アクセス禁止法違反の疑いで調べる方針だ。ただし、これまでのところ、個人情報が流出し、悪用された報告はないという。
早期に遮断していれば被害を防げた可能性が高いとの指摘も
情報を流出させたのは、インターネットで旅行商品を販売するJTBの子会社「i.JTB」(アイドットJTB)。3月、取引先の航空会社を装い、顧客の航空券購入を確認する標的型メールが送りつけられ、通常の業務と判断したオペレーターが添付ファイルを開封したためにパソコン6台とサーバー2台がウイルスに感染し、内部から海外へ不審な通信が行われた。サーバー内には「外部からの不正侵入者が作成し、削除したデータファイルが見つかり、復元したところ個人情報が含まれていることが判明した」(JTB)という。
JTBの高橋広行社長は6月14日、国土交通省で会見し、「お客様の大事な個人情報を預かる立場として深刻に受け止めている。お客様に(第三者から)ダイレクトメールが届くなど被害があった場合は、しかるべき対応をしたい」と陳謝した。
今のところ、この問題の報道は、事実関係、特に「標的型メール」の巧妙さや対処の難しさ、JTBの対応の甘さ、さらに旅行需要への影響などが中心。
特にJTBの対応が後手に回ったことへの批判が強いのはいうまでもない。3月に不正アクセスがあり、5月13日に個人情報流出の可能性があることが判明したが、公表は1か月後の6月14日。JTBは「顧客を特定できないと不安と混乱を招くと考え、特定できた段階で公表する方針をとった」と説明している。この間、契約している情報セキュリティー会社からサーバーへの不正アクセスの痕跡があるとの通報で3月20日以降に外部との通信遮断作業を始めたが、作業が完了したのは25日だったといい、早期に遮断していれば被害を防げた可能性が高いとの指摘もある。
国交相「再発防止策の周知徹底を図りたい」
石井国交相も6月17日の会見で、「個人情報流出の可能性が確認された時点で、顧客への通知、対外的な公表を行うべきだった」と厳しく指摘した。
ただJTBが観光庁へ報告したのは5月31日で、公表までさらに半月も要した。観光庁は、JTBの報告内容が曖昧だったため、公表の指示をしなかったとされるが、「出すなと言った経緯はない」(田村明比古長官)と、釈明しており、「いまのところ、監督官庁である国交省を非難する声はあまり聞こえてこない」(全国紙国交省担当記者)とはいえ、批判の矛先が国交省に向かう可能性もある。
それを気にしてか、石井国交相は6月17日、再発防止策を検討する有識者検討会の設置を発表。業界各社を集めた対策会議も立ち上げる方針を示した。国交相は「問題点の検証と再発防止策をとりまとめたい。観光庁と旅行業界が情報共有会議を開催し、再発防止策の周知徹底を図りたい」と、対策に本腰を入れる姿勢を懸命にアピールしている。