WEB

企業サービスの個人情報はなぜ退会後でも漏えいするのかをSEの僕が話そう

投稿日:

SNSやネット通販、携帯電話の契約などさまざまなサービスを利用する際に氏名・メールアドレス・住所などの個人情報を登録すると思います。

昨今は個人情報保護がうるさく言われるようになってきているため、データを安全に守るセキュリティ対策が企業の課題でもあります。

が、努力していても情報漏洩事故は起きてしまうんですよね。最近も話題は尽きませんよね。

最近の参考事例
宅ふぁいる便から480万件の個人情報が流出 パスワードの変更を呼びかけ

宅ふぁいる便の件に関しては、ファイルが暗号化されていなかったというのも問題だったのですが、今回はそれとは別の角度でお話しします。

宅ふぁいる便の事案で疑問に思う方が多かったのが、「なんで退会済みユーザーの情報が残っているの?」という内容ではないでしょうか?

僕は仕事の関係で企業の社内システムの保守もしているのですが、僕の個人的な回答としては、

退会済みユーザーの個人情報がシステムに残っているのは普通

だと思います。

理由は大きく2点あります。

  1. 業務上のリスクを考えて残している
  2. システム上では完全に削除できない

そう考えると、あらゆるサービスへ1度でも登録した個人情報は退会してもその会社に半永久的に残り続けるということになりそうです(ちょっと怖い…)

詳しくお話しします。

この内容は数社の企業システムを見た僕の個人的な見解です。すべての企業の方針に当てはまるわけではありませんよ。

なぜ退会後もデータが残るの?

退会したはずなのに自分のユーザー情報が削除されていないのはおかしい」と思う方は多いと思います。

だって退会してるんですよ? そのサービスの利用をやめて、もう二度とログインしないんですよ? 早く消しなよ!

みたいな感じじゃないですか。

でもサービスを運営する企業側の考えは違うんです。

なぜ退会後も会員情報を残しておくかというと、企業側としては大きく分けて次の2点の考えがあるんだと思います。

  1. 業務上のリスク回避のため
  2. システムでは完全に削除できないため

それぞれ詳しく説明します。

業務上のリスク回避のため

古い資料ですが、「【結果発表】退会後の個人情報も「一定期間は保持すべき」が大半」という記事がありました。

企業担当者に対して行ったアンケートで、個人情報データの取り扱いについて調査されています。

上図は「不要な個人情報でも保管しておくべきだと思いますか?」という質問に対する回答ですが、「将来の事故とリスクの両方を考慮すると一定期間保管すべき」と考える方がかなり多いことがわかります。

「一定期間保管」「半永久的に保管」で大半を占めています。「即座に廃棄すべき」と回答している方もいますが、システムの構築・運用に関与している方は割合が低いことがわかります。

2004年と古い調査ですが、基本的な考え方は今と変わっていないと思います。むしろ昨今の方が"保管派"の勢力が大きくなっているでしょう。

なぜ退会後も保管したいの?

どうして退会済みユーザーの個人情報を保管するのかというと、

「何かあった時に当時のデータが破棄されていて分かりませんという態度は,顧客をないがしろにしているとしか思えない。きちんと保管しておくべき」
引用元:【結果発表】退会後の個人情報も「一定期間は保持すべき」が大半

という考えがあるからなのです。

「何かあった時」というのは、たとえばこんな感じです。

SNSサービスで迷惑行為や不正行為をしたユーザーを退会させた。しかしそのユーザーに再び登録されてしまった。
ある商品に不具合があることが判明し、過去の購入者へ連絡するという案件が発生。すでに退会している購入者は連絡先がわからないため連絡できなかった。
ある還付金計算システムに不具合があり、返還した還付金額に誤りがあることが発覚。過去10年間をさかのぼって対象者に正確な還付を行いたいが、古いデータはもうない。

なにか問題が発生した場合に、企業側が取りたい行動ができなくなってしまうと、企業としての信用を失ってしまいます。

事故とリスクなどを考慮して一定期間、もしくは半永久的に退会済みデータを残したいと思うのにはこのような理由があったのです。

システムでは完全に削除できないため

それともう1つ、データってシステム内で完全に削除するのは難しいんですよね。

ユーザー情報を紙やExcelで台帳管理しているという企業はほとんどなくて、Webサービスを展開しているならほぼデータベースを利用しています。

それで、退会するとシステム上は削除されてユーザーや企業担当者の画面から見えなくなるんですけど、データベースには残ってしまうパターンが多いんですよね。

これは論理削除と物理削除という難しい話になっちゃうんですけど、"論理削除タイプ"のシステムでは削除されて見かけ上は表示されないんですけど、"削除済み"としてデータベースに残っているんですよ。

参考論理削除とは何か -メリットとデメリットを考える-

僕がこれまで関わった数社の企業システムの開発・運用での話になりますが、すべて論理削除で削除させるシステムでしたね。削除しても復元可能なのです。

やっぱり、なにか問題が起きたときに「過去のデータは削除されているのでわかりません」だと怒られますからね。システム設計の段階から簡単に物理削除させない構造になっていたりします。

まぁ、それが裏目に出て漏洩したとき問題が起きるわけですが…。

求めるのは「削除しろ」ではなく「セキュリティ強化」

企業側へ求めるべきは、退会済みユーザーの個人情報を「残してないで削除しろ」と文句を言うことではなく、そもそも情報漏えいしないように「セキュリティ強化」をお願いすることの方がいいと思います。

「退会済みでも残す」と決めた企業の方針を変えるのは簡単ではありません。

業務内容によっては、法律などの関係で過去5~10年分のデータは残しておかないと万一の際に問題があるという場合などもあるでしょう。

それよりも、不測の事態に備えてセキュリティ対策を強化することに期待する方が企業側も行動しやすいと思います。

たとえば、データが第三者によって不正アクセスされるという被害が起きたとします。

そのときに「重要データを隔離していれば」「データが暗号化されていれば」、被害は最小限に抑えられたかもしれません。

退会済みユーザーなど利用しないデータはネットワークにつながっていない外部ストレージに保管しておくといった対策もあるかもしれません。

その辺は企業側が個人情報保護を最重要課題と考えて行動してくれるかどうかにかかっているということです。

さいごに

企業サービスの個人情報は退会してもなんで残っているの? という疑問についてシステムの運用経験がある立場で書いてみました。

個人的には、一度登録した個人情報をそのサービスから完全に削除するのは難しいんじゃないかと思っています。

ダミーのユーザー情報に替えてから退会するとか、ユーザー側で回避する方法はいろいろありそうですが、普通はそこまでやらないですからね。

長々書きましたが僕はセキュリティ専門家ではないので、つっこみとかあればコメントへお願いします。

  • この記事を書いた人

ニィ

楽しく生きてる30代。雑記ブログ月15万PV。お仕事SE。Surface使い。甘党のブルダックレビュワー。

-WEB

Copyright© 誰かさんのタメイキ , 2019 All Rights Reserved.