知って得するセキュリティのはなし その118
新聞社キャンペーン応募者の個人情報、委託会社への不正アクセスで削除、流出か…約143,000件分
1.このニュースをザックリ言うと
- 6月24日(日本時間)、中日新聞社より、同社およびグループ各社(東京新聞・北陸中日新聞)がWeb上で開催したキャンペーン応募者の個人情報が、不正アクセスにより流出した可能性があると発表されました。
- 被害を受けた可能性があるのは、2009~2019年にグループ3社が開催した7種のWebキャンペーンへの応募者約143,000件分の個人情報(氏名・住所・性別・年代・新聞購読歴・電話番号およびメールアドレス。クレジットカード情報等は含まず)とされています。
- 同23日、キャンペーンサイトの運営を委託した外部企業から、サーバーへの不正アクセスにより保管されていた個人情報を削除されたとの報告を受け、削除されただけでなく、流出した可能性もあると判断したことから今回の発表となったとしており、当該企業含め契約関係にある企業に対するセキュリティ強化の指示などを行っているとのことです。
2.執筆者からの所感等
- キャンペーンページにおける個人情報取り扱いの表示によれば、当選の連絡・賞品等の発送といったキャンペーン関連のみならず、応募時に同意を得た上で、グループ各社のさらなるサービス・情報提供の用途でも利用されていた模様です。
- 個人情報の保護にあたり、当人からの開示や削除請求に確実に対応する体制を整えることも鑑み、流出のみならず不慮の削除が発生することもないよう留意する必要があるでしょう。
- また万が一の流出時のリスク等を軽減するため、個人情報の取得・保存に際しては、郵送等の目的で住所等を取得する必要がないのであれば初めから取得しないことと、キャンペーン以外の用途に同意されていない等といった場合に、当初の限定された用途での利用が終了次第適切に情報を削除するよう徹底することが重要です。