記事検索
バックナンバー

海の向こうの“セキュリティ”

第49回:韓国インターネット実名制が個人情報流出の主犯? ほか


韓国インターネット実名制が個人情報流出の主犯?

 2007年に韓国で導入された、いわゆる「インターネット実名制」の弊害が指摘されています。

 韓国の「インターネット実名制」とは、常に実名で書き込みを行うことを義務化するものではなく、利用者の多い掲示板やポータルサイトなどを対象に、ユーザー登録の際に本人確認を厳密に行うことを義務付けるというものです。そもそもこの制度は、有名芸能人がインターネット上の誹謗中傷により自殺した事件をきっかけに、悪質な書き込み(韓国では「アクプル=悪性リプライの略」と呼ぶ)を防ぐことを目的として導入されました。ところが実際には、制度施行後も「アクプル」が減ることはなく、効果に対しては疑問視されています。

 そのような中、実名制の導入によって住民登録番号などの個人情報の収集が義務化されてしまったことで、かえって個人情報の流出事故や事件が増える結果になってしまっているとの指摘がなされています。

 韓国インターネット振興院(KISA)が集計した「個人情報侵害申告」件数によると、2005年以降、平均20%ずつの増加傾向だったものが、実名制が導入された2007年の2万5965件から翌年2008年の3万9811件で53%もの急増を見せています。さらに実名制の適用対象サイトを拡大した2009年の3万5167件から今年2010年は5万1573件と、46%の増加が予想されています。

 KISAでは住民登録番号を「さらし」ているウェブサイトに対して削除要請をしており、その削除率は、韓国国内のサイトの場合が97%であるのに対し、韓国国外のサイトの場合は63%にとどまっています。国外サイトの「削除率」には国ごとに違いがあり、協力関係を強化した中国は、2008年には19%だったものが2010年は80%に向上していますが、ベトナムや日本は削除率が低く、それぞれ15%と26%です。

 このような韓国国内に比べて削除が難しい国外サイトで住民登録番号がさらされるケースが実名制導入以降、急増しています。実名制が導入された2007年の306件から翌年2008年の1630件で432%もの増加が見られます。さらに実名制が拡大された2009年の8690件から今年2010年は1万9575件(5月までの件数を元にした推定予測値)と、134%の増加が予想されています。

 このような個人情報流出事件(事故)が急増している原因は、十分な情報保護管理能力を持たない企業が、実名制の導入により、個人情報を収集せざるを得なくなったためと考えられます。事実、KISAの調査によれば、情報保護管理体制を構築して認証を得た韓国国内企業は対象企業3460社のうちわずか2.3%の78社に過ぎないのだそうです。

 その一方、現在は実名制の対象にならないサイトにおいても、慣例的に、または将来的に実名制の対象になる可能性を鑑みて、事業者らがユーザー登録時に住民登録番号を要求するケースは珍しくないようです。2010年4月現在の実名制対象サイトは167ですが、ユーザー登録時に個人情報を収集しているサイトは19万以上あるとみられ、これは韓国国内サイトの3分の2が事実上の「インターネット実名制」を実施していることになるのです。

 ここまでが韓国メディアが指摘した内容です。しかし、率直に言うと、個人情報流出事件の増加が、すべて実名制に起因するかのように言うのは見方が偏っていると思います。確かに情報保護管理能力のない企業が個人情報を収集するのは危険です。しかし韓国では、個人情報の管理を徹底させるための義務などを定めた「個人情報保護法」の制定が、政治的主導権争いのために、なかなか進んでおらず、むしろ「実名制」よりもこちらの方が流出事件増加の主たる要因のように思えるのです。

 しかしながら、「インターネット実名制」は当初から「表現の自由の侵害」や「韓国国内事業者に対する逆差別」といった問題点が指摘されており、今回新たに「個人情報流出の原因」としてクローズアップされたことから、今後、制度の存在意義をめぐり、議論が活発になる可能性があります。場合によっては廃止もあり得ないとは言えず、今後も興味深く見守りたい事項ではあります。

 なお、韓国の個人情報保護法については、ようやく成立に向けた動きが見えて来たとの報道がありました。

URL
 ZDNet Korea(2010年9月7日付記事)
 インターネット実名制、個人情報流出の主犯?
 http://www.zdnet.co.kr/Contents/2010/09/07/zdnet20100907145712.htm
 デジタルタイムス(2010年9月29日付記事)
 個人情報保護法案、法案小委通過 大統領傘下の委員会置くように…年内本会議上程
 http://www.dt.co.kr/contents.html?article_no=2010093002010151746002

ユーザーの個人情報にアクセスしたGoogle社員解雇

 Googleのエンジニアがユーザーの個人情報に不正にアクセスしたとして今年の7月にGoogleを解雇されていたとの報道がありました。

 解雇されたのは27歳のエンジニアで、主要スタッフとしての権限を悪用し、少なくとも4人の未成年ユーザーの個人情報にアクセスしたとされています。

 彼の「犯行」が明るみになったのは、彼が一種のストーカー行為をしたためです。彼は今年の春に偶然知り合い親しくなった15歳の少年がどうしても新しいガールフレンドの名前を教えてくれなかったことに腹を立て、少年のGoogle Voiceの通信記録などから彼女の名前などを調べ上げ、少年を笑いものにしたり、脅迫したりしたそうです。他にも同様の行為があり、被害を受けた少年少女らの保護者がGoogleに訴えたことで犯行が明るみになったようです。

 犯行の動機は性的なものではないらしく、単に自分のGoogleにおける権限の強さを誇示したかっただけと言われていますが、はっきりとはしておらず、今後も明らかにされることはないと思われます。とにかく、理解不能な行動ではあります。また、判明している4人のユーザー以外に、どれだけの個人情報にアクセスしていたのかも明らかになっていませんし、彼のような不正を働いていた社員が他にもいたのかどうかも不明です。

 さて、ここで問題なのは犯行の動機ではなく、Googleという莫大な量の個人情報を扱っている企業で、このような事件が起こったこと。

 多くの社員を抱える会社ですから、1人くらい「常軌を逸した言動」を取る人間がいてもおかしくはないですが、たとえそのような社員がいても、たった1人の権限でユーザーの極めてプライベートな情報にアクセスできるようになっていたというのは問題です。

 また、今回は本人が自分の犯行を吹聴していたおかげで明るみになりましたが、こっそりと行っていたら、ばれなかったかもしれないという点です。今回のようなユーザーの個人情報への不正なアクセスによるGoogle社員の解雇は今回が2度目とされていますが、果たして本当にそれだけなのか、解雇されずに見逃されている社員がいるのではないか、と疑い出したら切りがありません。

 プライバシー管理が鍵となる「クラウドコンピューティング」のけん引役であるGoogleとしては、「痛恨のミス」と言える事件でしょう。Google自身がどれだけ痛みを感じているかは分かりませんし、そもそも痛みとも感じていないのかもしれませんが。

URL
 TechCrunch(2010年9月14日付記事)
 Google Confirms That It Fired Engineer For Breaking Internal Privacy Policies
 http://techcrunch.com/2010/09/14/google-engineer-spying-fired/
 AFP(2010年9月14日付記事)
 Google fires engineer for violating privacy policies
 http://www.google.com/hostednews/afp/article/ALeqM5gR7cP6wMGSRrK3YYV_CflBZWHO9Q
 Gawker(2010年9月14日付記事)
 GCreep: Google Engineer Stalked Teens, Spied on Chats
 http://gawker.com/5637234/

「Free(無料)」はNGワード?

 McAfeeが8月に公開した調査研究レポート「デジタルミュージック&ムービーに潜む危険性 『無料』エンターテイメントの真のコスト」(日本語翻訳版タイトル)を紹介します。

 これは、現在のインターネットユーザーが興味を持ちやすいデジタル音楽配信や動画などのオンラインメディア、特に「Free(無料)」コンテンツに潜むリスクを紹介している文書です。ただし、内容は必ずしも日本にもそのまま適用できるとは限らないことに注意が必要です。

 ポイントは5つ。

・「無料」は高くつく
着信メロディを「Free」という検索キーワードを加えて検索したサイトは危険度が約3倍。

・MP3がリスクを高める
「MP3」で音楽ファイルを検索した結果は危険度が高い。「無料 MP3」などで検索するとさらに危険度が増す。検索で見つけたMP3に対価を支払おうとしても、そのMP3はたいてい海賊版である。

・「ファン」が危険なURLを引き付ける
ファンサイトに書き込まれたコメントやファンクラブに関して、悪質で極めて疑わしいURLが数千件見つかっている。このような書き込みはFacebookやMySpace、YouTubeやTwitterなどのソーシャルサイト経由でも行われている。

・悪質な広告がはびこっている
マルウェアをばらまいたり、ユーザーのブラウザーを攻略したりするのに用いられる悪質な広告が感染手法として一般化している。

・違法コンテンツサイトはたいてい消費者をだましている
違法コンテンツ配布サイトは洗練されており、利用者に正体がばれないように作られている。このようなサイトの多くにはマルウェアに感染させるなどの危険がある。また、サイトの裏にいる犯罪組織の多くは、ドメイン名の所有者やそのサイトの開発に使われたツールなどを突き止めることで確認することができる。

 上記5つのポイントはいずれも目新しくはありませんが、改めて注意を喚起すべき事項ではあります。

 特に「Free」「無料」は検索キーワードとして非常によく使われる単語なので、これがセキュリティ上は「NGワード」であるというのはぜひとも周知したいところです。

 また、ファンサイト(本物か偽物かによらず)における無料の画像や動画のダウンロードURLは、多くの人が危険と思わずにクリックしてしまいがち。このリスクももっと広く訴えるべきでしょう。

 ところで、「Free」が文字通り英語で言うところの「four-letter word=禁句」であるとするのは英語圏では周知しやすくていいんですが、日本語にそのまま適用できないのが残念(苦笑)。

URL
 eSecurity Planet(2010年9月17日付記事)
 McAfee Warns: In PC Security, 'Free' Is a Four-Letter Word
 http://www.esecurityplanet.com/features/article.php/3904176/McAfee-Warns-In-PC-Security-Free-Is-a-Four-Letter-Word.htm
 Digital Music and Movies Report
 The true cost of free entertainment
 http://newsroom.mcafee.com/images/10039/DMMRReport_US_25Aug2010.pdf
 デジタルミュージック&ムービーに潜む危険性 「無料」エンターテイメントの真のコスト
 (日本語訳、ただし翻訳のレベルが低く日本語として不自然)
 http://newsroom.mcafee.com/images/10039/DMMRReport_JP_01Sept2010.pdf

2010/10/7 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。