次々と届く怪しい勧誘、どこから個人情報が漏れているのか?

20150801

毎日のように届く迷惑メール、ダイレクトメールや勧誘の電話や営業の電話、どこからか漏れているのは間違いないけれど、一体どこから漏れているのでしょうか。これから漏れた時の為に、発進元を特定できる方法を考えて見ます。

個人情報に値する情報とは?

個人情報(英語でpersonal information)とは、その個人を特定する情報ということです。よくアンケートなどの下の見えにくいところに「個人を特定できない情報として使用する事があります」なんていう記述があります。それは例えば年齢が40歳で神奈川県の男性、という情報を会社で使いますよ、ということです。

しかし神奈川県○○市○○と番地まで表示されており、電話番号まであれば個人を十分に特定することが可能です。特定まで行かなくてもそこに近づく内容が漏れることもあります。例えばメールアドレスやIDやパスワードです、その単体の情報だけでは特定は出来なくても他の情報と照合することで識別が可能となると、やはり特定できる個人情報となるわけです。第三者提供に同意すれば開示することがあるなど、契約書などに書いているはずですので個人情報を書き込む、提供する際は注意しましょう。

個人情報を提供する際はこの2つを見る

1つは「プライバシーマーク」です。国内では約15,000社が取得しているマークのことで、個人情報を大切に取り扱っていますよ、と一定の基準を満たしている企業に配布されます。漏洩・流出させない会社という事になります。

20161022-2

日本工業規格「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」(平成18年5月20日改正)に基づいており、認定された付与事業者には、「個人情報」を大切に取り扱う事業者として、プライバシーマークの使用が認められています。

出典:一般財団法人日本情報経済社会推進協会

日本での「個人情報保護法」や、省庁のガイドラインに沿っているかどうかを評価して、適切だと判断すれば認定されます。有効期間は2年間で、2年後は再度審査を受ける必要があります。

2つ目が買い物するときや文字を入力して送信する際のページに出る「SSL」マークです。ブラウザではURLの隣に鍵マークが表示されています。高度な暗号化技術で守られているページに使用されています。

漏らすのはほとんどが人間

なぜここまで厳守しているのに情報が漏れるのか、それはそこで働いている人が漏らす場合がほとんどです。確かにハッカーやクラッカーなどで脆弱性を付かれて漏れることがあります。しかし個人情報を目で見ている従業員には、情報を持ち出すことは簡単に出来てしまうのです。もちろん私的利用をしたり個人情報を売るという行為もあるでしょう、しかし法に触れるため借金があって売ってくれと言われても、絶対に行ってはいけません。

流出元を見分ける為に仕掛けをする

1つは住所に細工しましょう。例えば東京都○○市○○50-100-50 ○○マンション501号室というのがあったとします。最後に501号Zなどと1文字入れておきましょう。部屋番号まであっているため、実際に荷物を購入しても届くはずです。これをAからZまでするだけでも相当なトラップ住所を作ることが出来ます。変な勧誘がZと書かれてきたら、そのお店から漏れたというわけです。もちろん特定する為に、Zはそこでしか使ってはいけません。複数のお店で同じZを使うと、どこのお店から漏れたか分からなくなります。

2つ目はメールアドレスに細工をしましょう。例えばaaaaaaaaaaaaa@○○.○○○というアドレスがあった場合で考えてみましょう。aaaaaaaAaaaaa@○○.○○○と1文字だけ小文字を大文字に変更するのです。実は大文字小文字関係なく使われているので、これでも問題なく届きます。もちろんaaaAaaaAaaAaa@○○.○○○といった「a」を「A」にする位置を変えたり、数を増やしてパソコンのメモ帳にどこの住所にどれを使ったか、書いて置いておきましょう。後日迷惑メールが届いたら、どこに入力したアドレスか見てみましょう。漏らした店舗がどこか分かるはずです。

なぜ迷惑業者はそのままの情報を使うか?

業者側はそのメールアドレスや住所が「存在するか」どうか分かりません。引越しや廃止もよくあることですので、例えば電話番号なら1度かけてみて繋がるかどうかで存在がやっと分かります。何千・何万というリストを使っているため、わざわざ1個ずつ調べる余裕も時間もないので、手当たり次第に手に入れた情報を加工せず丸々送っているのです。

稀にではありますが、個人情報を保有した会社が倒産してしまい、それが名簿業者に情報として回ってしまうと出所が分かったとしても動けない場合があります。日本では個人情報は1件当たりいくらとお金になるので個人情報はそれだけ大事にしなければいけないのです。