国交省へ「批判の矛先」向く可能性も　JTB個人情報流出と「対応の遅さ」

   大手旅行会社JTBの子会社のサーバーに海外から不正アクセスがあり、保有する約793万人の個人情報が2016年3月に流出した可能性がある問題が波紋を広げている。石井啓一・国土交通相は6月17日の閣議後記者会見で、「個人情報の流出の可能性が確認された時点で、顧客への通知、対外的な公表を行うべきだった。今回の対応については問題があったと考えている」と述べ、JTBの対応を厳しく批判した。

   流出した可能性があるのは「JTBホームページ」「るるぶトラベル」などのオンラインで、2007年9月28日から2016年3月21日に予約をした顧客の個人情報で、（1）氏名（2）性別（3）生年月日（4）メールアドレス（5）住所（6）郵便番号（7）電話番号（8）パスポート番号（9）パスポート取得日の9点。このほか、NTTドコモの旅行サービス「dトラベル」を利用した33万件の情報も含まれている可能性がある。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないという。警視庁は不正指令電磁的記録（ウイルス）供用や不正アクセス禁止法違反の疑いで調べる方針だ。ただし、これまでのところ、個人情報が流出し、悪用された報告はないという。

早期に遮断していれば被害を防げた可能性が高いとの指摘も

   情報を流出させたのは、インターネットで旅行商品を販売するJTBの子会社「i.JTB」（アイドットJTB）。3月、取引先の航空会社を装い、顧客の航空券購入を確認する標的型メールが送りつけられ、通常の業務と判断したオペレーターが添付ファイルを開封したためにパソコン6台とサーバー2台がウイルスに感染し、内部から海外へ不審な通信が行われた。サーバー内には「外部からの不正侵入者が作成し、削除したデータファイルが見つかり、復元したところ個人情報が含まれていることが判明した」（JTB）という。

   JTBの高橋広行社長は6月14日、国土交通省で会見し、「お客様の大事な個人情報を預かる立場として深刻に受け止めている。お客様に（第三者から）ダイレクトメールが届くなど被害があった場合は、しかるべき対応をしたい」と陳謝した。

   今のところ、この問題の報道は、事実関係、特に「標的型メール」の巧妙さや対処の難しさ、JTBの対応の甘さ、さらに旅行需要への影響などが中心。

   特にJTBの対応が後手に回ったことへの批判が強いのはいうまでもない。3月に不正アクセスがあり、5月13日に個人情報流出の可能性があることが判明したが、公表は1か月後の6月14日。JTBは「顧客を特定できないと不安と混乱を招くと考え、特定できた段階で公表する方針をとった」と説明している。この間、契約している情報セキュリティー会社からサーバーへの不正アクセスの痕跡があるとの通報で3月20日以降に外部との通信遮断作業を始めたが、作業が完了したのは25日だったといい、早期に遮断していれば被害を防げた可能性が高いとの指摘もある。