omiai情報漏えい事件〜当事者に訊く〜
2021年7月27日
毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2021年6月10日
- タイトル:omiai情報漏えい事件〜当事者に訊く〜
- ゲスト:BICPDATA 菊川眞衣氏
婚活アプリ「Omiai」会員情報の流出と問い合わせフォームの不備
2021年5月21日、新聞報道でネットマーケティング社のマッチングアプリ「Omiai」会員の個人情報が流出するという事件が報じられました。このアプリを介して、かつて個人情報を登録していたBICPDATA 菊川眞衣氏に、被害者に対するサービス事業者側の対応など、当事者の体験談を伺いました。
Omiaiは、2020年9月末までに累計会員数500万人が登録していたそうです。今回の事件で流出した対象者は、そのうち2018年1月31日~2021年4月20日の期間に同社へ提出された171万人分のアカウントが該当します。流出したのは年齢確認のために用いる画像データで、約6割が運転免許証を写した画像と報じられています。つまり、その画像から登録者の顔写真、そして本名、生年月日(年齢)、住所が読み取れる状態にありました。
報道によると、2021年4月28日15時ごろ、ネットマーケティング社が自社サイトへの不正アクセスの痕跡に気づきます。同社がそのことを公式に発表したのは5月21日。3週間以上経過した後でした。
同社は、不正アクセスに気づいてからユーザーからの問い合わせに対応するフォームを自社サイト上で提供開始しました。しかし、この問い合わせフォームに不備があり、他のフォーム投稿者の問い合わせ内容が閲覧できる状態になっていることが発覚。同社はこの不備を5月23日に公表しました。
流出した画像データと不具合のあるフォーム問い合わせ内容を悪意ある第三者が悪用することで生じる、本人へのなりすましや詐欺行為の懸念が現時点でも拭いきれていません。
退会者の画像データを保存する理由とは
菊川さんは、ネットマーケティング社が公表する2021年4月28日より前に、すでにOmiaiから退会してアプリを利用していませんでした。しかし、5月21日にたまたまネットニュースでOmiaiアプリからの情報流出報道を目にしました。
「私も過去に利用していたサービスだな、と思いました。記事に記された利用期間を見て念のため、自分が対象者かどうかを確かめたいと、すぐに同社のフォームから問い合わせしました」(菊川氏)
問い合わせの回答は30分ほどで返ってきました。
「171万人も流出しているのに妙に回答が早いな、と思ったのですが内容は対象期間に該当しています、という程度の紋切り型の内容で、あまり誠意は感じられませんでした」(菊川氏)
Omiaiを利用するユーザーは、自らのニックネームだけを登録すればよく、本名、住所、生年月日、メールアドレスは他のユーザーに開示する必要はありません(ただし、直接他のユーザーとやりとりするには年齢確認が必要です)。
菊川さんは退会の手続きをしたにも関わらず、運転免許証画像データが登録され続けていたのは、退会後のトラブルに対応する、問題行動を起こした人の再入会を防ぐ、といった目的があったようです。ただそのことは、ユーザーにわかりやすい形で明確に説明はされていませんでした。
菊川さんはさらに、報道記事を見て問い合わせた際に入力した問い合わせフォームの内容、その時に記入したメールアドレスなどが第三者から閲覧可能になっていたのかどうか、について同社にメールで再度問い合わせましたが、(ランチタイムトーク時点で)返答はまだないそうです。
遅く杜撰な対応が招く信用失墜
「不満があるのは対応の遅さです。自社サイトへの不正アクセスの公表は発覚してからほぼ1カ月後です。初回の問い合わせには素早い対応でしたが、本当に照会しているのか疑わしい対応でした。また問い合わせフォームで入力したメールアドレスが流出したのかどうかの返事が(このランチタイムトーク時点で)まだありません。対応が遅いな、というのが率直な思いです」と菊川氏。遅く杜撰な対応への苛立ちは隠せません。
菊川さんに宛てたネットマーケティング社のメール本文には、「流出した会員様情報の不正利用等の事実は現時点において一切確認されておりません」と記載されていたそうですが裏付ける確たる証拠が示されているわけではありません。
近年は、対面ではなく運転免許証などの画像提出を通じてオンラインで本人確認を一度済ませれば、2回目以降に利用するサービスの認証・認可が本人確認手続き不要で円滑に行えるeKYC(electronic Know Your Customer)が普及しています。
ただ当事者の声を通じてあらためて浮き彫りになったのは、企業は日頃からの情報漏洩対策だけでなく、プライバシーポリシーのどの項目にユーザーが同意したのかを示すコンセントレシートの導入の必要性や、万一情報漏洩した際にユーザーの立場や気持ちになって誠意ある適切な対応ができるかどうか、といった点です。この事件は自社のサービスやプライバシーポリシーを見直すきっかけになりそうです。
