先日、米国赤十字社が、元職員が献血者の個人情報を不正に取得して使用したかもしれないと発表した。対象は米国ミズーリ州とイリノイ州の約100万人の献血者で、事件は今年初めに起こっていたようだ。『Computerworld.com』の報道では、発表を行ったのは米国赤十字のミズーリ・イリノイ血液サービス支部だ。5月18日付けのプレスリリースによると、盗まれた情報は健康履歴情報ではなく、氏名、生年月日、社会保険番号などの“個人を特定する”ための情報だった。連邦大審問は、赤十字の元従業員がこれらの情報を用いてクレジットカードなどを不正に取得していたとして起訴している。起訴された職員は業務を通じ、データベースから8000件の献血者の情報にアクセスしている。赤十字社はこの8000人全てに対し、3月17日付けで通知を行った。しかしその後、さらに献血者100万人に対し、拡大して連絡することを決めたという。元従業員はセントルイス在住の20歳の女性、ロネッタ・メドカフだ。彼女は「テレフォン・ブラッド・ドライブ・リクルーター」として、以前に献血を行った市民に電話で再度の献血を依頼するという業務を行っていた。メドカフは、電話連絡対象として過去に献血に協力した市民8000名のデータベースを使用していたが、その中から数名の氏名、社会保険番号、生年月日、電話番号などの情報にアクセスしている。そして、その個人情報を利用してクレジットカードを新規に作成。1000ドル以上を使って買い物などをした。赤十字社がメドカフの扱っていたデータベース以外にも警告を拡大した理由は、情報盗難の被害者が8000名の献血者以外からも出たためだ。メドカフは2005年10月に赤十字社に入社。事件が明らかになったため、入社から約5ヵ月後の今年3月2日に解雇されている。赤十字社によると、雇用に際して、メドカフの経歴チェックを行っているが、これまでに犯罪歴などはなかったようだ。赤十字社のデータベースは、献血者ごとの記録の保存に、特別な献血者番号を使用する。データベースを使用できたメドカフは、この番号が利用できたため、さらに個人情報にアクセスしていた。【執筆:バンクーバー新報 西川桂子】── この記事には続きがあります。 全文はScan Security Management本誌をご覧ください。◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
