注目を集めるデータ侵害が発生するたびに、セキュリティ専門家は同じベストプラクティスを推奨します。利用するサービスごとに異なるログイン情報を作成し、複雑なパスワードを使用し、クレジットカードの明細を注意深くチェックして異常がないか確認する、といったものです。確かにこれは理にかなったアドバイスですが、残念ながら、個人情報の安全性は最終的には、情報を共有する企業に委ねられているという事実を覆い隠しています。
個人情報窃盗は変化しています。顧客データベースは個人情報の宝庫であり、ハッカーにとって個人を狙うよりもはるかに効率的な標的です。この新たな状況において、セキュリティ専門家や私のようなジャーナリストが推奨するガイドラインは、実際には攻撃が成功した場合の影響を最小限に抑えるための被害抑制策に過ぎず、個人データや金融情報を攻撃そのものから守ることには全く役立ちません。
データ侵害自体を防ぐためにできることは何もありません。
2013年に発生した主要なデータ侵害インシデントのいくつかを振り返ってみましょう。Adobeがハッキングされ、攻撃者は約1億5000万人のユーザーアカウント情報と約300万人のクレジットカード情報にアクセスしました。Targetがハッキングされ、4000万人の顧客のクレジットカードまたはデビットカード情報が流出しました。これらのケースでは、個々の消費者がデータ侵害の影響を防ぐためにできることはほとんどありませんでした。
今週、EA Gamesのサーバーがハッキングされ、攻撃者がApple IDアカウント情報を盗み出すことを目的としたフィッシング攻撃を仕掛けたことが明らかになりました。今回のケースでは、ユーザーデータが直接侵害されたわけではないようです。ユーザーがフィッシング詐欺に引っかかってアカウント情報を攻撃者に提供してしまうような事態にはならないことを願います。しかし、これは同じことを示唆しています。つまり、個人情報窃盗犯は個人ではなく企業を標的としているため、個人がどれだけしっかりと保護していても、個人データは危険にさらされる可能性があるということです。
もちろん、データ侵害は「起こるかどうか」ではなく「いつ起こるか」の問題だと認めるなら、個人情報を守り、被害を最小限に抑えるためにできる限りのことをするのは理にかなっています。攻撃者は十分な時間があればどんなパスワードでも解読できますが、Adobeの侵害のようなケースでは、「123456」のような曖昧なパスワードを使用している何百万ものアカウントの方がはるかに簡単に被害に遭います。
また、そもそもデータの侵害を防ぐのはサイトまたはサービスの責任であり、ユーザーが直接管理することはできないことを受け入れる必要があります。
この点において、あなたが最も影響力を持つのは、どの企業と取引するかを選択する能力です。機密情報をどこで共有するか、そしてどの情報を第三者に委託するかについては、慎重に判断しましょう。もし企業があなたのデータ保護に配慮していない場合は、別の企業に移りましょう。
