私たちは会計士、医師、法律事務所に機密情報を託していますが、こうした企業だけでなく、そうした情報を保有する政府機関も、私たちのデータを安全に保つのに苦労していることはますます明らかになっています。
例えば、米国保健福祉省のデータによると、2016年3月には、ノートパソコンの盗難、不正アクセス、ハッキングにより、250万件以上の患者記録が危険にさらされました。これらの情報は、特に他人の情報を利用して医療給付金を不正に受け取るといった詐欺行為に利用されるケースが一般的です。
法律事務所も同様に、オンライン窃盗犯の標的として広く利用されている。パナマの法律事務所モサック・フォンセカがハクティビストに狙われ、同社の富裕層の顧客が被害に遭ったことは周知の事実だが、企業や消費者にサービスを提供する他の法律事務所も、同様の攻撃から逃れられていない。
アメリカ法曹協会科学技術法グループの弁護士ジョディ・ウェストビー氏は、近年の侵害の急増は、企業だけでなく消費者もサービスプロバイダーのセキュリティを考慮する必要があることを強調している、と語る。
「これらの組織をベンダーとして考えることは前進です」と彼女は言います。「ベンダーのセキュリティは、現在、企業と消費者にとって最大の課題です。」
これらの問題は、インターネット経済の最大の利点の一つである、対面せずに取引を行えるという能力が、同時に大きな弱点にもなっていることを浮き彫りにしています。対面での取引が当たり前になったことで、デジタルIDとして利用可能な情報(アンダーグラウンドコミュニティでは「フルズ」と呼ばれる)の価値が高まっています。
専門家は、少しの注意で大きな効果が得られると述べています。ここでは、会計士、医師、弁護士が自分の情報を確実に保護できるようにするために、消費者が実行できる基本的な手順をいくつかご紹介します。
1. ベンダーを知る
銀行は「顧客を知る」ことが求められます。逆もまた同様です。つまり、顧客は銀行の事業を知るべきです。
一部の業界では、サービス提供者に関する情報を提供しています。例えば、2016年2月、IRS(内国歳入庁)は税務申告書作成者の公開ディレクトリを公開しました。IRSは弁護士や公認会計士の資格を確認していますが、情報は任意で提出されるため、必ずしも完全ではない可能性があります。しかし、全米州会計委員会協会(NASB)や全米登録会計士協会(NAEN)などの専門団体は、会計士の資格確認に役立つディレクトリを提供しています。
会計士やその他のサービス提供者は「顧客に対する倫理的義務を負っている」と、米国公認会計士協会(ACP)のシニアテクニカルマネージャー、メラニー・ローリセン氏は最近の記者会見で述べた。「私たちは会員に対し、常にそのことを強調しています。」
既にその企業と関係がある場合は、会計士、医師、弁護士に、セキュリティ対策や個人情報の保護方法について尋ねてみましょう。彼らは知らないかもしれませんが、社内で詳しい担当者を紹介してくれるはずです。
グレイス / iStock ノートパソコン、タブレット、記録の物理的な盗難は、専門オフィスにおけるセキュリティ侵害の一般的な形態です。
2. セキュリティ対策についてどのような取り組みをしてきたかを知る
優良企業でもセキュリティ対策が不十分な場合があります。診療所、健康保険会社、病院などがハッカーの標的として広く利用されています。
診療所や病院が情報漏洩を報告する最も一般的な理由は物理的な盗難(コンピューターやタブレット、ファイルや記録など)ですが、最も被害が大きいのはオンライン侵入です。例えば、3月に危険にさらされた記録のうち、最も大きな割合を占める220万件は、21世紀腫瘍学研究所へのハッキングという単一のインシデントによって漏洩しました。連邦政府の規定により、このような情報漏洩に関する情報はオンラインで入手できます。
消費者は、医師や会計士と暗号化、ファイアウォール、バックアップの詳細について話したいとは思わないかもしれませんが、「私のデータを安全に保つために何をしていますか?」というシンプルな質問をすることで、プロバイダーがこれらの問題について検討したかどうかを明らかにする答えが得られるはずです。
消費者はベンダーに対し、これまでにインシデントが発生したことがあるかどうかを尋ねるべきです。もし発生したとしても、必ずしもそれを責めるのではなく、データ保護のために現在どのような対策を講じているかを尋ねるべきだと、AICPAのローリセン氏は述べています。組織は、実際にセキュリティインシデントが発生するまで、セキュリティ対策を怠りがちです。
「どう対応したか尋ねるのは当然の質問です」と彼女は言った。「彼らが私のデータをどのように保護してくれるのか、話し合う良いきっかけになります」。しっかりとしたセキュリティ対策が不足している場合は、別のプロバイダーを探す必要があるかもしれないと伝えましょう。
3. 情報を非公開にする
侵害により個人識別データの一部が漏洩したことはほぼ確実ですが、情報を可能な限りプライベートに保つ努力をやめるべきではありません。
機密情報は、少なくとも暗号化され、パスワードは電話や対面など別のチャネルを通じて提供されない限り、メールで送信すべきではありません。さらに、消費者は、既存の関係のない企業に情報を提供すべきではありません。
例えば、個人情報のマイニングは、犯罪者がそのデータを利用して不正な納税申告書を提出し、不当な還付金を徴収することで、毎年数十億ドル相当の損失をもたらしてきました。米国連邦取引委員会が毎年発行する消費者センチネルレポートによると、2015年には、税還付詐欺(犯罪者が消費者情報を利用して内国歳入庁に税金の還付を申請する行為)が、報告された個人情報窃盗事件の45%を占め、前年の30%から大幅に増加しました。
こうした情報の多くはすでに出回っていますが、消費者は適切な質問をし、デジタル ID のセキュリティについて考えることで、窃盗犯による情報の盗難を困難にすることができます。
