損保大手4社が金融庁に報告書を提出。個人情報250万件の漏えいを受けて
企業における情報漏えいインシデントの発生は、組織の大小や業界を問わず見受けられるようになりました。
情報漏えいは外部からのサイバー攻撃やケアレスミスによる内部からの流出などが一般的ですが、業界によっては慣習的に情報漏えいを誘発しているケースも見られます。
2024年には、損害保険会社大手4社が組織的な顧客情報のやり取りを行い、大規模な流出に発展しているケースが確認されました。250万件もの大規模な情報流出が、慣例として行われていたのにはどのような背景があるのでしょうか。
大手損保企業で発生した250万件の個人情報流出
今回明らかになったのは、損保企業の代理店における、同業他社間での顧客情報の不正共有です。
特定の商品を契約している顧客の証券番号や満期日を他社間で共有することにより、新しい商品の案内や契約乗り換えのための営業計画の策定などに他社の顧客情報をお互いに交換し合っていたとのことでした。
もちろん、ここで交換されている顧客情報は顧客本人の確認をとっておらず、そのような行為が行われていることも公には明かされていませんでした。他の社員による指摘が入ったことで、明らかになったのが経緯です。
結果、大手損保企業4社は全体でおよそ250万件もの顧客情報を不正にやり取りしていたことがわかり、金融庁は処分の必要性について検討しています。
重大インシデント発生の原因
顧客情報が250万件もの規模で流出するというのは、一見すると重大なインシデントのように思えます。今回問題視されているのが、このような情報流出が損保企業における事業モデルに組み込まれていた点です。
乗り合い代理店社員同士での顧客情報の共有が常態化し、営業活動の一部として行われていたこと、そしてその行為がインシデントにはあたらないとの誤った認識が、大規模な情報漏えいを招いたと言えます。
インシデントの発生を食い止めるためには、物事を評価するための良し悪しの共有が正しく行われていることが大前提です。何がどのようなリスクをもたらすのかの認識が、現場に共有されていなかったことが、今回の事件を招いた主な原因と言えるでしょう。
損保大手4社による報告書の内容
今回の事件の発覚を受け、損保大手4社は金融庁に事件発生の原因や再発防止策をまとめた報告書を提出しました。
報告によると、この事件で情報漏えいが発生した原因は、
- 短期的なシェア獲得のため損保からの出向者が出向元漏えいの要請があったこと
- 顧客情報が乗り合い代理店を通じて競合他社に漏れていたが、それをお互いに黙認していたこと
の2つとされています。
元々担当者が出向先から出向元へ顧客情報を漏らすことは守秘義務契約に違反する行為でしたが、シェア獲得が評価基準としてのウェートとして大きく、場合によっては本体からの要請もあったために、情報流出が盛んに行われていたとのことです。
また、保険契約情報の取り扱いについて、現場での認識に誤りがあったことで、契約情報を本来認められている以上の範囲で共有されていたことも原因としています。
いずれにせよ、顧客情報の取り扱いについての認識が正しく理解されていなかったことが、重大な情報流出につながったと考えられるでしょう。
セキュリティの観点に見る、事業モデル見直しの重要性
例え慣習的に行われていたり、上層部からの要請があったりしたとしても、許可されている範囲を超えて顧客情報を共有することは重大なインシデントに繋がります。
今回の問題で注目すべきは、業務の一環としてこのような行為が定着してしまうケースをどのように回避するかです。顧客情報を守ることの重要性は今まで以上に高まっている一方、文化として定着してしまうとそこからの脱却は極めて難しくなるものです。
今回の情報流出においては、複数の情報流出加担企業が同時期に公表し、共同で報告書を提出することで再発防止を強く抑止できる形となりましたが、全てのケースで同様の対応を取れるとは限りません。
セキュリティに関するリテラシーを高め、営業活動の一環として情報流出を奨励するような仕組みを脱却するとともに、規模が大きくなる前に沈静化できるような自浄作用も現場には求められるでしょう。
企業の文化風土はどうすれば変えられるのか?
デジタル化に伴い注目されるようになった企業のインシデント対策においては、専用のソフト・ハードの導入に加え、現場社員のリテラシー向上も重要な意味を持ちます。
社内にセキュリティシステムを構築するのはもちろんですが、構築したシステムを最大限活用できるよう、全社的なセキュリティリテラシーの向上が必要です。
セキュリティシステム導入の担当者だけでなく、その他の部門の社員や組織経営に携わる上流の意思決定者にも、セキュリティについて深く理解してもらえるよう仕組みを整えなければなりません。