Equifaxと Choice Point (1)明暗を分けたデータブローカーからの情報漏洩

●Equifax Canadaで昨年に続き情報盗難

6月16日、Equifax Canadaがハッカーの攻撃を受けて605件の消費者のファイルを盗難されたようだと、カナダの全国紙『Globe and Mail』をはじめ、各種メディアが伝えた。

漏洩元のEquifax Canadaはカナダ最大の信用調査会社の1つ。『Globe and Mail』の報道によると、犯人はファイヤーウォールを攻撃して、ファイルにアクセスしていた。ファイルには氏名、住所、銀行から受けている融資やクレジットカードの情報、社会保険番号、負債の内容などだ。ただし、クレジットカード情報といっても会社名、使用限度額でカード番号や銀行口座番号は含まれていなかった。被害者は殆どがブリティッシュ・コロンビア州在住だ。

事件は数ヵ月前に起こったようだが、調査中ということで、詳細は発表されていない。7月10日現在で、プレスリリースなども出していない。但し、Equifax Canadaのスポークスパーソン、マリー・リン・コランジェロは、情報漏洩の被害者全員に郵便で通知したことは明らかにしている。また信用情報に「個人情報紛失または盗難」との見出しをつけて、クレジットカード会社をはじめとする債権者に対して警告を行っている。

このEquifaxだが、2004年2月下旬にも1400名以上の個人情報の不正アクセスを許している。犯人は貸付人と装い、主にブリティッシュ・コロンビア州とアルバータ州の消費者の情報を不正に獲得した。事件を受けて、Equifax Canadaでは3月半ばに被害を受けた全員に通知を行った。

昨年、不正にアクセスを受けた情報は、社会保険番号、銀行口座番号、住所、信用履歴、職業。これだけの情報があれば、犯人はその気になれば、盗難した情報で融資を受けたり、クレジットカードを作成することができた。

実は昨年も数回にわたり、この情報漏洩事件について取材を試みたが、Equifax Canadaでは調査中ということでは応じていなかった。

●重要な消費者の信用情報を所有するEquifax

Equifax Canadaとはどういう会社だろう。ウェブサイトを見ると1919年の創設。100年近くの間、消費者や事業主が財務取引を行う上で役に立つ情報サービスを提供してきたとある。顧客は銀行などの金融機関、小売店、政府機関、保険会社、公益事業主など。個人や企業の信用情報を提供している。米国のEquifaxのカナダにおける法人だ。

Equifax Canada の消費者の信用報告書には次のような情報がある。

・本人確認のための情報　氏名、住所、生年月日、社会保険番号
・照会先−過去3年間に信用報告書を求めてきた個人や組織のリスト
・公記録−担保付ローン、破産などの情報
・第三者取り立て機関−債務について第三者が回収に関わったことがあるか
・クレジットカード情報など信用取引の内容

このように、極めて重要な個人情報を所有している。そのため、カナダでは信用情報のファイルを閲覧、アクセスすることのできる対象、そしてその目的について、法律で厳しく定めているが、基本的には、消費者が同意する場合にアクセスできる。クレジットカードを新しく作る際など、申込書の「信用情報を調査することを許可する」などといった文言に合意している場合だ。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd