［米国］
ファイザーで今年4回目の情報漏洩――取引企業が従業員の配偶者データを非暗号化通信

取引企業は「単なる暗号化ミスで情報漏洩ではない」と反論

（2007年10月15日）

　米国の製薬会社ファイザーは、今年4回目となる情報漏洩に見舞われた。今回の被害者は、同社従業員の配偶者1,800人。情報漏洩の原因となったのは、同社が契約している自動車リース会社、米国ホイールズのWebサービスだ。

　ホイールズはファイザー従業員とその配偶者に対し、自動車リースを行っている会社である。

　ホイールズでマーケティング担当ディレクターを務めるストラトフォード・ディック氏によると、ホイールズは今年8月、ファイザー従業員の配偶者から情報を収集する際に利用したWebサービスで、データの暗号化を行わなかったという。

　ディック氏は「（暗号化を行わなかった）2週間で約1,800人分のデータが、平文のままネットワーク上でやり取りされた。このデータには氏名、住所、生年月日、車の免許証番号が含まれていた」と語った。

　ディック氏によると今回の情報漏洩は、ファイザー従業員の配偶者の指摘によって明らかになったという。なおホイールズおよびファイザーは、情報漏洩を指摘した人物や、情報漏洩発覚の経緯など、その詳細は明らかにしていない。

　ホイールズは、事件発覚後直ちに問題のWebサービスを停止し、データが暗号化されることを確認したうえでサービスを再開したと説明した。また同社は、今回の事件を「情報漏洩」と言われることに不快感を表明している。

　「われわれは今回の事件を『情報漏洩』とは考えていない。『漏洩』は、情報が保存されたWebサイトが“ハッキング”されたことを意味する。われわれのWebサイトがハッキングされた形跡はない」

　ファイザーは今年6月、同社従業員が会社のPCにピア・ツー・ピア（P2P）ファイル共有ソフトを無断でインストールし、従業員約1万7,000人分の社会保障番号などを流出させたことを明らかにした。

　その1カ月後には、ファイザーの業務委託企業である米国アクシアの従業員が、ファイザーの機密データを格納したノートPC2台を紛失する失態を演じている。

　さらに9月、今度はファイザーの元従業員が同社のシステムに違法にアクセスし、従業員3万4,000人分の個人情報を盗み出した可能性があることが明らかになった。盗まれた個人情報は、住所、氏名、生年月日、電話番号だけでなく、病歴、社会保障番号、クレジットカード情報などが含まれていたという。

　なお、今回の情報漏洩についてファイザーにコメントを求めたが、原稿執筆時点で回答は得られなかった。

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)