【損保ジャパン】大規模サイバー攻撃型隠蔽工作か。『札幌交通T』の不正フリート契約は無視。犯罪に手を染める組織体質は継続か

SHARE

この記事を読むのに必要な時間は約 6 分です。

サイバー攻撃の概要と損保ジャパンの被害状況

 

2024年4月17日から21日にかけて、損害保険ジャパン(以下、損保ジャパン)の業務管理システムがサイバー攻撃を受け、同社が保有する最大約1,750万件もの個人情報が第三者の手に渡った可能性があると発表されました。

今回の攻撃は一時的なものではなく、5日間にもわたりシステムへの不正侵入が続けられた点で、極めて深刻な事態といえます。

しかし5日間も損保ジャパンがなぜ気づかなかったのでしょう?

システム上で取得可能な情報には、顧客の氏名・住所・電話番号・生年月日・保険証券番号・事故番号などが含まれており、これらが外部に流出した場合、顧客のプライバシーや資産に大きな影響を及ぼすリスクがあります。

私の親も特殊詐欺に遭っているので損保ジャパンの契約者は気をつけてください。

損保ジャパンによると、約844万件に関しては、保険証券番号や事故番号といった単体では個人を特定しにくい情報とのことですが、他の情報と組み合わされることで個人が識別される可能性は否定できません。

現時点では、不正利用されたという報告は確認されていないとされていますが、それが被害の不存在を意味するわけではありません。

情報が悪用されるまでには時間がかかることもあり、長期的に見て潜在的な被害のリスクは極めて高いといえるでしょう。

同社は事態の重大さを受け、専用の問い合わせ窓口を設置したほか、該当する可能性のある顧客に対しては個別連絡を行う方針を示しています。

しかし、それだけでは信頼回復には程遠く、企業としての情報管理体制そのものが問われる事態となっています。

業務委託先からの情報漏洩と保険業界の構造的問題

 

今回の情報流出問題は、損保ジャパン単体のセキュリティの問題にとどまりません。

同社は2024年4月にも、業務を委託していた外部企業がサイバー攻撃を受け、約7万件の個人情報が流出するという別の重大インシデントに見舞われています。

保険会社は、自社で顧客情報を厳重に管理するだけでなく、業務委託先の情報管理についても責任を持たなければなりません。

しかし、現実には損保ジャパンのように稀に外注先のセキュリティ体制まで十分に監督できていないケースがあり、今回のように重大な被害を引き起こすリスクを内包しています。

特に保険業界は、個人の健康状態や資産状況、契約内容など、非常にセンシティブで価値の高い情報を取り扱うため、情報管理の厳格さが求められます。

それにも関わらず、2023年には損保ジャパンを含む証券会社4社に出向していた社員が、他社の顧客情報を共有していたという不適切な情報取り扱いが発覚しました。

このように、保険業界全体における個人情報の取り扱いの意識不足が顕在化しており、構造的な問題が浮き彫りになっています。

保険の契約者だけでなく銀行関係や東芝、運送会社などの情報も損保ジャパンは盗んで悪用していると思われます。

また、業務の一部を外部企業に委託することで、コスト削減や業務効率化を図る動きが加速している一方で、情報漏洩リスクの管理責任が曖昧になっているのも大きな問題です。

委託元である保険会社が、「委託したから責任は外部にある」としてしまえば、顧客にとっては信頼の根拠が揺らいでしまいます。

サイバー攻撃の高度化に伴い、外部からの侵入や内部不正のリスクは今後さらに増大していくと考えられます。そうした現実に対し、企業がどこまで本気で情報保護と向き合っているのか、その姿勢が厳しく問われています。

今後の対応と顧客への信頼回復に向けて

 

損保ジャパンは今回の大規模な情報漏洩の可能性を受け、専用の問い合わせ窓口の設置や、流出対象となった可能性のある顧客への個別連絡といった対応を開始しています。

また、同社は「本件を重く受け止め、セキュリティー対策の徹底を図り、再発防止に全力を尽くす」との声明を出しましたが、被害の規模や背景にある構造的な問題を踏まえると、形式的な対応だけでは顧客の不安や失われた信頼を取り戻すことは難しいのが実情です。

今後、損保ジャパンが行うべきは、単なるシステムのセキュリティ強化だけでなく、業務委託先を含めた情報管理体制の全面的な見直しです。


また札幌タクシーの不正フリートも無視し続けるという金儲け主義の隠蔽体質も改めなければなりません。

どのような情報が、誰によって、どの経路で取り扱われているのか――その全体像を可視化し、統制の効いた運用体制を築くことが求められます。

特に外部委託先に対する監査体制の強化や、契約時における情報保護義務の明確化は必須といえるでしょう。

また、保険会社としては、単に保険商品を提供するだけでなく、サイバーセキュリティに関する社会的な啓蒙活動も担う立場にあります。

損保ジャパン自身もサイバーリスク保険を取り扱っており、そうした商品が顧客に信頼されるためには、自社の情報管理の厳格性が前提となります。

顧客が安心して契約できる環境を整えるためには、透明性ある説明と、外部の専門家を交えた独立性の高い監査・検証プロセスが必要です。

今回の事件は、またやっちゃた『てへぺろ』ですみません。

高齢者や子供の情報も垂れ流されましたから、どこでなにが起きても不思議ではありません。

前の記事

『我が国の金融機関の歴史を見ても類例をみないほどに悪質な事案』…