［米国］【Gartner調査】
米国小売企業の半数がデータ漏洩を経験――そのほとんどは公表されず

「われわれが耳にするよりはるかに多くの事件が起きている」

（2008年05月27日）

　米国の調査会社Gartnerはこのほど、米国小売企業の半数近くが、これまでに何らかのデータ盗難被害に遭ったことがあるにもかかわらず、そうした事実はほとんど公表されていないとの調査リポートを発表した。

　この調査リポートは、米国の小売企業50社を対象に行ったインタビューの結果をまとめたものである。同調査リポートによると、データ漏洩を経験したと回答したのは21社で、そのうち、漏洩の事実を公表したのはたった3社だけだった。

　ここで言う「漏洩」とは、Gartnerの定義に則ったものだ。同社では、ノートPCの紛失や盗難、社内の人物によるデータ漏洩やクラッキング攻撃に加え、第三者によるフィッシング攻撃やデータ侵害も漏洩に含めている。

　Gartnerのアナリスト、アビバ・リタン(Avivah Litan)氏は、調査対象となった小売企業の数が少ないため、明確な結論をこのデータから引き出すことはできないとしつつも、注目すべきトレンドが明らかになったと語った。「機密データが盗まれても、その事実はほとんど公表されていない。実際には、われわれが耳にするよりはるかに多くの事件が起きている可能性が高い」（同氏）

　米国では、消費者の個人データが漏洩した場合、そのことを通知するよう義務づける法律が多くの州で制定されている。しかし、そのような情報が公開されると企業の評判が落ちるため、小売企業の多くは公表に消極的だ。Litan氏は、「小売大手のTJXやHannaford Brosなどの企業で起きた事件を目の当たりにして、小売企業は不必要に世間の注目を集めるようなことはしたくないと考えるようになっている」と指摘する。

　2006年にTJXで発生した事件では、同社のコンピュータ・システムから9,400万件もの顧客のクレジットカード番号が盗まれた（関連記事）。同社は、この事件に伴うクレジットカード会社からの訴訟に対応するため、1億700万ドルの資金を積み立てる羽目になった。一方、米国のスーパーマーケット・チェーンHannaford Brosでは、同社のコンピュータがクラッキングされ、420万件と見られる顧客の口座番号が盗まれた。この事件が発覚したのは、今年3月のことである（関連記事）。

　Litan氏によると、今回調査対象となった小売企業のうち4社は、PCIデータ・セキュリティ標準（PCIDSS：Payment Card Industry Data Security Standard）に準拠していないとしてクレジットカード会社から罰金を科されており、別の11社も警告を受けているという。

　Gartnerによると、クレジットカードやデビットカードなどの番号が盗まれる原因の1位は、小売企業で発生するデータ漏洩であり、データ漏洩事件全体のおよそ20％を占めている。

　この手の犯罪は、無くなる兆しが見えない。あるクレジットカード会社は、カードが不正に使われる行為の発生率が今後2年間で2倍に増えると見込んでいる。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)