音響機器販売会社のサウンドハウスの個人情報漏洩事件について。
「お詫びとお知らせ」のページに「詳細」として掲示された PDF ファイルの内容は、いろんな意味で興味深かったです。
簡単に言うと、Windows Server 上で構築したインターネットショップ上に、不正侵入により SQL インジェクションが可能なプログラムが置かれ、そこを使って個人情報を引き抜かれたということなのですが、事件発覚から公表に至るまでの経緯などを、関係する企業名を明示して時系列で発表しています。
ここまで克明に発表した例というのはとても珍しいのではないでしょうか。
ただし、自らの過失を認めつつも、その他の組織にも問題があったというところは、当事者としては素直な気持ちを表現しているとも受け取れますが、セキュリティに関する意識が薄すぎたととられても致し方ないと思います。
ただ一つ、教訓としていえるのは、やはり事件が起こってしまうと大変なので、事後対策よりも予防措置の方が安くつく、ということでしょう。
セキュリティは目に見えない割に出費がかさみますが、少なくとも個人情報を扱うシステムでは、相応の対価を払わないと痛い目に遭うということです。
サーバに対するセキュリティ対策も重要ですが、保険をかけるというのもありですね。