Equifaxと Choice Point (2)漏洩事件以後に対策を取るも、はっきりとした差が | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

Equifaxと Choice Point (2)漏洩事件以後に対策を取るも、はっきりとした差が

特集 特集

●信用回復に必死のChoicePoint

ChoicePointでの取り組みを見てみよう。

1)個人情報販売市場からの一部撤退

事件が明らかになって2週間経たない3月4日、ChoicePointでは「重要な消費者データに関わる個人情報販売市場からの撤退」を発表した。これは社会保険番号、免許証番号などの情報をはじめとするデータに関わる販売は、消費者本人が必要とする場合、そして連邦、州政府、地方自治体、あるいは裁判などで必要な場合を除いて今後は行わないというものだ。

データ販売は次の3つを満たす場合のみとする。

・保険、雇用、賃借に伴うスクリーニングなど、消費者が必要とする取引・契約を締結、完了するのに必要な場合。自分自身のデータへアクセスする場合。
・消費者(データ対象)が既に関係を持つ、大規模で、認定を受けた法人が、不正防止や本人確認のために使用する場合。顧客登録、保険請求、本人認証など。
・連邦・州政府、地方自治体、裁判所が必要とする場合

2)プライバシーなどを担当する役員を社外より迎え入れる

3月8日、情報を販売先の認証、規則準拠、プライバシーを担当する「Chief Credentialing, Compliance and Privacy Officer」として連邦政府の運輸保安局キャロル・ディバステ元副局長を採用。あえて、社内から人選を行い、社内に新しい息吹を取り入れようと図った。ディバステはChoicePoint取締役会のプライバシー委員会の直属下となる。

この決定、すなわち独自の認証担当を置いたことは、業界でも初めての画期的な試みで、目的は消費者のプライバシーを守ることにある。現在、データを購入する顧客、つまり購入相手の認証が、万一事故にあった場合の報告プロセス、そしてプライバシーポリシーが業界トップのもので、かつ連邦政府や州政府の法律や規則に準拠しているように取り組んでいる。

3)情報盗難被害者を援助する組織に寄付

4月には今後4年間に100万ドルを、個人情報盗難の被害者を援助するための非営利組織に寄付する計画があることを発表した。イメージアップのためという噂も聞かれたが、姿勢は評価できるとする声もあった。

4)不正探知ソリューションサービスを新たに提供

5月2日、保険会社や金融会社に不正探知、分析ソリューションを提供する会社、Magnify Inc.を買収したことを発表。一般消費者というより、顧客へのサービスとしてで、Magnifyの技術を用いて、疑わしい動きがないか、経路情報などを調べ、分析により状況チェックを行う。

5)アーンスト&ヤングと契約

6月29日にはプライバシー、規則準拠、販売先の認証実務の開発をめざして、コンサルティング会社のアーンスト&ヤング株式会社(Ernst & Young LLP)と契約を結んだ。アーンスト&ヤングは様々な業界を対象に、プライバシー保障およびアドバイスで8年以上の実績を持つ。

アーンスト&ヤングでは、今後、ChoicePointの現在の処理手順を精査し、情報データ業界および一般企業での成功事例、最良の実施例と比較。最終的には業界トップのプログラムを開発することを目指すという。

6)顧客の認証のための「Corporate Credential Center」を新たに設置して、認証措置の統一、標準化を図る。

7)法執行機関や当局との連絡および調整に、秘密検察局で28年勤務したロバート・マッコネルを採用。

その他にも、

・分散していた認証手続きを集中させる
・全ての顧客について、アナリストかマネージャーレベルで再調査、再認証を行った
・各事務所をこれまで以上の頻度で訪問して監査

などの措置を採った。

●株価で見ると明暗が明らか

ChoicePointは事件発表の翌日、1株41.55ドルから38.72ドルと下げたが、今年に入って45ドル前後で推移してきた株価が、事件以来38ドル前後と大きな影響を受けている。

一方、かつてはChoicePointの親会社だったEquifaxは、米国内では大きな事件はなかったものの、年明け28ドル前後だった株価は着実に上昇を続け、現在36ドルにまで達している。Equifaxでは増収を続けている。これについては、実は事故、事件が多発して、信用調査を行う顧客が増えたことが原因の1つとも言われている。2005年4月に発表された2005年度第1四半期の業績は、昨年同時期に比べて収益にして11%の上昇を記録している。

企業としても、Equifaxは、2003年にいち早く、個人情報盗難の対策として新サービスを開始した。信用情報で特定事項について変更があった場合、24時間以内に通知する他、個人情報盗難の際の保険、ヘルプラインの提供などを行うというものだ。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×