個人情報の漏洩は、相変わらず後を絶ちません。
最近(12月)、目についたニュースをちょっとピックアップすると、
1)講談社の 女性誌「FRaU」(フラウ)編集部が、同誌のメール会員741人にメールマガジンを送った際に、誤って全員分の名前、足のサイズ、普段走っているコースなどの情報を含んだファイルを添付して送ってしまった
2)日産自動車、顧客情報(最大で538万人分)流出の可能性
http://internet.watch.impress.co.jp/cda/news/2006/12/22/14331.html
3)アメックス、9月の新規会員の顧客情報流出。1900万円の不正使用で発覚
http://it.nikkei.co.jp/security/news/index.aspx?n=AS1G2203O%2022122006
というところですね。
1)に関しては、これはもう編集部内での人力のオペレーションに尽きると思います。
想像ですが、担当者のパソコンでExcelか何かで管理されているリストに従って、手作業でメールを出していたのではないでしょうか?
雑誌の編集部が単独で数百人規模のメールマガジンを出す、という場合、ちゃんとしたメール配信システムを用意する訳にもいきませんし、配信コストなどを内部で吸収させるためにも、こういった人力のオペレーションになりがちなのだと思います。
もちろん、会社としてシステムを用意すべきですし、それを使わなければならない、という体制とレギュレーションの下で運営すべきではある訳ですが、、、。
手作業は、本当に危険です。顧客情報ではなかったのですが、私も、こんな経験があります。
社外の方で、社内のスタッフとアカウントが全く同じメールアドレスの方がいらして、両方とも私のメーラーのアドレス帳に入っていたんですね。
つまり、[email protected] と abcd@another-company.com というアドレス(例)です。
メーラーの宛先欄に abcd と打ち込むと、メーラー側で勝手にアドレス帳から another-company のほうを引っ張ってきてセットしてしまったのですが、それに気づかずに送信してしまいました。
たまたま、相手が退職してアドレスが無効になっていたので送信不能が返ってきて気づきましたが、危ないところでした。
2)と3)に関しては、原因や犯人がまだはっきりしていないようなので何とも言えませんが、気づいたのが不正使用が発覚してからだったり、メディアの報道を後追いで認めたりと、ちょっとお粗末な感じがします。
漏洩自体も組織的なものであることを感じさせられますが、漏洩後の対応がずさんだと思います。
どの例もそうだと思いますが、個人情報の利用の範囲とかプライバシーポリシーとかを明示しているはずですが、どのようなオペレーションでそれを担保しているのか、ということまでは分からない訳です。
ユーザーとしては、手作業が介在したりすることを前提にして、自分の情報を外に出しても良い範囲を意識しつつ公開する、という姿勢でいなければ危ないですね。