アングル：ハッカーの標的にされた豪、データ漏えいに怯える市民

By Seb Starcevic

［メルボルン（豪州）　３０日　トムソン・ロイター財団］ - オーストラリアで弁護士として働くエマさん。同国最大の民間健康保険会社が大規模なサイバー攻撃に遭い、自身の精神疾患に関する情報が漏えいしたと知った時、キャリアが危険にさらされるのではないかと、恐怖を感じたという。

豪メディバンクがハッキングされた今回の事件では、１０００万人近くのオーストラリア人の情報が流出した。エマさんもその１人だ。これを含めた、有名企業などを対象にした一連のサイバー攻撃を受けて、豪政府は個人情報を保護する法律の改正に向けた作業を加速し、企業に顧客データ保護の対策を強化するよう要請した。

警察は、ロシア系のサイバー犯罪者らが今回の犯行を実行したとの見解を示している。ハッカーらは身代金を要求した後、ダークウェブ上に少なくとも１６００人分の機密なカルテ情報を公開したという。

「ネット上に自分の病歴が載っているかもしれないと考えると、不快でならない」と、４１歳のエマさんは語った。エマさんは、名字を伏せることを条件にインタビューに応じた。

「精神疾患に関する情報が公開されれば、仕事に戻れなくなってしまうかもしれない。だからとても辛い思いをした」

こう話すエマさんは、大うつ病性障害と慢性の心的外傷後ストレス障害（ＰＴＳＤ）を抱えており、２０２１年１２月から病気を理由に休職している。

ハッカーらは、エマさんの保険請求歴や診断歴だけでなく、氏名や生年月日、住所、電話番号、メールアドレスまで入手した。

センシティブ情報や保護・機密データが、アクセス権を持たない者によって複製または閲覧、盗難、使用されることをデータ漏えいという。より多くのデータが政府や企業によって収集され管理されるようになるにつれ、こうした事例が各国で増えている。

豪政府は、犯行に及んだ犯罪者らを「突き止める」と公約し、「ハッカーを相手にハッキングする」ために、連邦警察や参謀本部国防信号局から約１００人を集めたタスクフォースを新たに作ったと発表した。

また議会は今週、１９８８年の連邦プライバシー法の改正法案を可決し、顧客の個人情報の深刻な侵害や、度重なる侵害を起こした企業に対する罰則を強化した。

身代金の支払いを拒否したメディバンクは、怪しげなアクティビティを察知するためにネットワークを常に監視していたと主張しており、今後の防止策として「察知・鑑識能力」を全システムに導入したという。

＜データ収集の上限＞

メディバンク事件の数週間前には、オーストラリア２位の通信会社オプタスが、最大１０００万件分の個人情報をハッキングされたと報告している。また同国最大の通信企業テルストラも「小規模なデータ漏えい」の被害に遭ったとしている。

連邦プライバシー法の改正について、シドニー工科大学のデービッド・リンジー教授は、前向きな動きではあるものの、データ収集量を制限するために必要な「根本的パラダイムシフト」にまでは至っていないと、指摘する。

「罰則の強化は、その場しのぎの措置に過ぎない。完全に時代遅れなデータ保護制度に関連する問題の解決にはつながらないだろう」と同氏は指摘する。

リンジー教授は、直接関係があり必要な場合にのみデータが収集されることを保証するために、データ最小化の原則が徹底的に導入されるべきだと語った。

また人々は個人情報の削除を依頼できる権利も持つべきであり、これは契約が解消されたときに特に大切になってくると、同氏は述べた。

現在オーストラリアでは、企業が顧客データを管理する際の保管期間に上限が設けられていない。最近のデータ漏えい事件を機に、こうした状況は問題視され始めており、被害者らは、契約解消後もずっと情報が保管されていたとして批判を強めている。

エマさんのケースでは、数年前に自殺した義父を含めた家族の情報も、ハッキングされたという。

「義父はもう何年もメディバンクを使っていなかった。あれだけの情報がハッカーの手元にあるかもしれないなんて、本当に嘆かずにはいられない」と、彼女は口にした。

＜乱用への脆弱性＞

犯罪者や国家の支援を受けた犯罪組織によるオーストラリアでのサイバー攻撃は昨会計年度に急増し、１１月初旬に公開された政府の報告書によると、７分に１度の頻度で攻撃が通報されたという。

豪州サイバーセキュリティセンターが出した年間サイバー脅威報告書によると、昨会計年度は、前年比１３％増となる７万６０００件のサイバー犯罪の通報があった。その中でも被害規模が大きかった事件の多くは、ソフトウェアのアップデートが適切になされていなかったことが原因だったと指摘している。

マッコーリー大学でテクノロジー法を教えるニロファー・セルバドゥライ教授は、そういった現状に沿って個人情報の収集や保管期間に制限をかけるべきだと語る。

「データ漏えいはもはや避けようがない。だが個人情報の収集に制限をかけることができれば、被害の度合いを軽減することができる」と同氏は指摘する。

連邦プライバシー法の下、企業は「合理的に必要な」個人情報を集めることができる。だがセルバドゥライ教授は、この定義は大まかすぎ、「データ収集者に悪利用される危険性をはらんでいる」という。

「とはいえ、こういった議論が繰り広げられ始めているのは良いことだ」と同氏は語る。

一方、野党議員らは、今年末に出される司法長官府による連邦プライバシー法の２年レビューを待たずに、政府が改正案を可決したことを批判している。このレビューでは、データ保護の強化に関する推奨事項が含まれる予定だ。

エマさんは、個人情報保護の強化に向けた取り組みは、もはや手遅れであると考えている。

今回の事件によって「再びトラウマを植え付けられた」と、エマさんは語る。精神を患っていることを同僚に知られたら、偏見を持たれるのではないかと、恐怖を抱き始めるようになったという。

またエマさんは、請求歴のデータを脅迫のネタに使われることも心配している。今予定されている法改正が今後のデータ漏えい防止につながるかについては、懐疑的な見方を持っているという。

「現時点では、犯罪者のやりたい放題のような気がする。最悪の気分。すごく私的な情報を誰に握られていて、それをどうにもすることができないだなんて」と、訴えた。