ハッキング被害のAnthem、顧客データを暗号化していなかったことが明らかに

Lance Whitney (Special to CNET News) 翻訳校正: 編集部 2015年02月09日 11時10分

  • このエントリーをはてなブックマークに追加

 8000万人の個人情報を含む保険会社Anthemのデータベースがハッキング被害に遭ったが、同社によると、そのデータベースは暗号化されていなかったという。しかし、問題は、同社にはデータベースを暗号化する義務はなかったということだ。

 Anthemはハッキングの被害に遭ったことを米国時間2月4日に明かした。ハッカーはサーバに侵入し、現在と過去の約8000万人もの顧客および従業員の個人情報を盗み出したという。

 理にかなったセキュリティポリシーに従う企業は通常、自社のサーバに保存された顧客データの一部を暗号化する。データを暗号化することで、ハッカーが盗み出した情報を閲覧したり、売却したりすることが、不可能ではないにせよ、より困難になる。しかし、この点に関して、Anthemはそうしたガイドラインに従っていなかった。それはなぜなのだろうか。

 米連邦法「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の下で、健康保険会社は自社のサーバに保存されたデータの暗号化を義務づけられていない。HIPAAの規定では、暗号化はリスクを軽減する適切な手段だと保険会社が判断した場合に暗号化を用いることを推奨している。しかし、具体的な要件がないので、データ保護手段の決定は事実上、それぞれの会社に委ねられている。

 Anthemの広報担当者であるKristin Binns氏がThe Wall Street Journal(WSJ)に述べたところによると、同社は個人データをデータベースに移すときと、データベースから別の場所に移すときは暗号化を行うが、個人データが保存されている間は暗号化を行わないという。これは米保険業界では一般的な慣習だ、とBinns氏は述べた。

 Binns氏は、「当社はユーザー認証の厳格化を含むほかの手段で、データベースに保存されているデータへのアクセスを制限している」と付け加えた。

 暗号化を行えばデータをより効果的に保護することができるが、それを実行すれば、保険会社は別の問題に直面する。「この問題に詳しい人物」がWSJに述べたところによると、具体的には、暗号化によって、Anthemの従業員が保健医療の傾向を追跡したり、ヘルスケアプロバイダーや州政府とデータを共有したりすることが難しくなるという。

 しかし、データを暗号化していれば、データの盗難を防ぐことができたのだろうか。答えはノーだ、とAnthemの広報担当者は話す。

 その広報担当者は米CNETに対し、「ハッカーは、当社のセキュリティプロトコルを迂回した後で、Anthemのデータベースにアクセスした。管理者の認証情報が用をなさなくなったので、暗号化を施していても攻撃を阻止することはできなかっただろう」と述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算