【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
ファイザーで今年4回目の情報漏洩――取引企業が従業員の配偶者データを非暗号化通信
取引企業は「単なる暗号化ミスで情報漏洩ではない」と反論
(2007年10月15日)
米国の製薬会社ファイザーは、今年4回目となる情報漏洩に見舞われた。今回の被害者は、同社従業員の配偶者1,800人。情報漏洩の原因となったのは、同社が契約している自動車リース会社、米国ホイールズのWebサービスだ。
ホイールズはファイザー従業員とその配偶者に対し、自動車リースを行っている会社である。
ホイールズでマーケティング担当ディレクターを務めるストラトフォード・ディック氏によると、ホイールズは今年8月、ファイザー従業員の配偶者から情報を収集する際に利用したWebサービスで、データの暗号化を行わなかったという。
ディック氏は「(暗号化を行わなかった)2週間で約1,800人分のデータが、平文のままネットワーク上でやり取りされた。このデータには氏名、住所、生年月日、車の免許証番号が含まれていた」と語った。
ディック氏によると今回の情報漏洩は、ファイザー従業員の配偶者の指摘によって明らかになったという。なおホイールズおよびファイザーは、情報漏洩を指摘した人物や、情報漏洩発覚の経緯など、その詳細は明らかにしていない。
ホイールズは、事件発覚後直ちに問題のWebサービスを停止し、データが暗号化されることを確認したうえでサービスを再開したと説明した。また同社は、今回の事件を「情報漏洩」と言われることに不快感を表明している。
「われわれは今回の事件を『情報漏洩』とは考えていない。『漏洩』は、情報が保存されたWebサイトが“ハッキング”されたことを意味する。われわれのWebサイトがハッキングされた形跡はない」
ファイザーは今年6月、同社従業員が会社のPCにピア・ツー・ピア(P2P)ファイル共有ソフトを無断でインストールし、従業員約1万7,000人分の社会保障番号などを流出させたことを明らかにした。
その1カ月後には、ファイザーの業務委託企業である米国アクシアの従業員が、ファイザーの機密データを格納したノートPC2台を紛失する失態を演じている。
さらに9月、今度はファイザーの元従業員が同社のシステムに違法にアクセスし、従業員3万4,000人分の個人情報を盗み出した可能性があることが明らかになった。盗まれた個人情報は、住所、氏名、生年月日、電話番号だけでなく、病歴、社会保障番号、クレジットカード情報などが含まれていたという。
なお、今回の情報漏洩についてファイザーにコメントを求めたが、原稿執筆時点で回答は得られなかった。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
- 米国ファイザー
- http://www.pfizer.com/
- 米国ホイールズ
- http://wheels.com/
セキュリティ責任者が実践すべきこと、すべきでないこと
【連載】情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
第1回 情報漏洩対策の根本を考える
[国内]マカフィー、クライアントPC向け情報漏洩防止ソフトを発表
重要なデータをどこまでも追跡して流出を防ぐ「タグ付け」機能を実装
[米国]イーベイの会員情報1,200人分が流出、フィッシングによる盗難か
イーベイは「システムへの不法侵入」説を強く否定
[スウェーデン]各国大使館員のメール・アカウント&パスワードがネットに流出
情報を流出させた張本人は「実験中に発見した。持て余したので公開した」と説明
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
