8000万人の個人情報を含む保険会社Anthemのデータベースがハッキング被害に遭ったが、同社によると、そのデータベースは暗号化されていなかったという。しかし、問題は、同社にはデータベースを暗号化する義務はなかったということだ。
Anthemはハッキングの被害に遭ったことを米国時間2月4日に明かした。ハッカーはサーバに侵入し、現在と過去の約8000万人もの顧客および従業員の個人情報を盗み出したという。
理にかなったセキュリティポリシーに従う企業は通常、自社のサーバに保存された顧客データの一部を暗号化する。データを暗号化することで、ハッカーが盗み出した情報を閲覧したり、売却したりすることが、不可能ではないにせよ、より困難になる。しかし、この点に関して、Anthemはそうしたガイドラインに従っていなかった。それはなぜなのだろうか。
米連邦法「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の下で、健康保険会社は自社のサーバに保存されたデータの暗号化を義務づけられていない。HIPAAの規定では、暗号化はリスクを軽減する適切な手段だと保険会社が判断した場合に暗号化を用いることを推奨している。しかし、具体的な要件がないので、データ保護手段の決定は事実上、それぞれの会社に委ねられている。
Anthemの広報担当者であるKristin Binns氏がThe Wall Street Journal(WSJ)に述べたところによると、同社は個人データをデータベースに移すときと、データベースから別の場所に移すときは暗号化を行うが、個人データが保存されている間は暗号化を行わないという。これは米保険業界では一般的な慣習だ、とBinns氏は述べた。
Binns氏は、「当社はユーザー認証の厳格化を含むほかの手段で、データベースに保存されているデータへのアクセスを制限している」と付け加えた。
暗号化を行えばデータをより効果的に保護することができるが、それを実行すれば、保険会社は別の問題に直面する。「この問題に詳しい人物」がWSJに述べたところによると、具体的には、暗号化によって、Anthemの従業員が保健医療の傾向を追跡したり、ヘルスケアプロバイダーや州政府とデータを共有したりすることが難しくなるという。
しかし、データを暗号化していれば、データの盗難を防ぐことができたのだろうか。答えはノーだ、とAnthemの広報担当者は話す。
その広報担当者は米CNETに対し、「ハッカーは、当社のセキュリティプロトコルを迂回した後で、Anthemのデータベースにアクセスした。管理者の認証情報が用をなさなくなったので、暗号化を施していても攻撃を阻止することはできなかっただろう」と述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」