個人情報窃取から自分自身を守る方法

窃取への防御と窃取後の対応

2023年11月21日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 Methods To Protect Yourself From Identity Theft の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

近代世界ではデジタル技術への依存が増加し、その影響で個人情報窃取の事件が増加しています。
まず初めに、個人情報窃取とは何でしょうか？
個人情報窃取は、通常、金銭的利益や被害者の名前で行われる様々な詐欺活動のために、同意なく個人情報を盗むことを含みます。

デジタル時代の到来により、個人情報窃取者たちはオンラインシステムの脆弱性、社会工学的手法、そしてインターネット上に流通する大量の個人データを利用しています。
連邦取引委員会（FTC）によると、2020年から2021年にかけて個人情報窃取の報告数は3.3％増加し、約143万件に上りました。
その結果、個人が個人情報窃取の複雑さを理解し、強固な保護策を採用することがますます重要になっています。

個人情報窃取を理解することは、金融、デジタル、法的領域における兆候と例を包括的に把握することを含みます。
この意識は個人や組織に個人情報窃取を早期に検出する能力を与え、その被害を軽減するための迅速かつ効果的な対応を可能にします。

個人情報窃取の発見

個人情報窃取を認識するには、金融、デジタル、法的領域における警戒が必要です。

金融

説明のつかない未認識の取引

不審な請求、引き出し、または振り込みなど、金融記録における不規則性を監視します。

クレジット問題

急なクレジットスコアの低下やクレジット申請の拒否に注意してください。

デジタル

フィッシング詐欺

送信者のアドレス、メッセージ内容、および要求の正当性を精査し、本物と詐欺のコミュニケーションを区別します。
安全を確保するために、メール検証ツールを使用してください。

法的

無許可のアカウント開設

クレジットレポートや銀行明細を定期的にチェックし、見慣れないアカウントや活動を特定します。

なりすましと法的通知

見慣れない活動や借金に関連するなりすましや法的通知に注意してください。

個人情報窃取を防ぐ方法

2021年、個人情報窃取詐欺による総損失額は著しく58億ドルに達し、前年比で77％の大幅な増加を記録しました。
それでも、警戒心を持ち慎重な対応をすることが、この高まる脅威に対する防御になります。

強力なパスワードと二段階認証

個人情報窃取から自身を守るには多面的なアプローチが必要です。強力なパスワードと認証メカニズムは、防御の第一線を形成します。
各オンラインアカウントに複雑でユニークなパスワードを作成し、二段階認証を有効にすることで、セキュリティの追加層が加わり、サイバー犯罪者が不正アクセスを得ることが格段に困難になります。
これらの認証情報を安全に保管・管理することも同様に重要です。

個人文書の安全な取り扱い

個人文書の安全な取り扱いも同じく重要です。
機密情報を含む紙の文書は、廃棄前に施錠するかシュレッドすることで物理的な窃盗を防ぎます。
デジタル文書は暗号化し、セキュアでパスワード保護されたファイルやフォルダに保存する必要があります。

個人情報が物理的またはデジタル形式で間違った手に渡らないようにすることが最優先です。

DMARC：フィッシング詐欺対策

フィッシング詐欺は、個人情報窃取者によってよく使用される手法の一つで、フィッシング試みに注意することが不可欠です。
これには、個人情報を要求する不審なメール、メッセージ、電話に注意することが含まれます。
DMARCのようなメールセキュリティプロトコルを実装することで、正当なドメインから来たように見えるメールを悪意のある者が送信するのを防ぎ、信頼できるエンティティを装った攻撃者によるフィッシング攻撃のリスクを減らします。

クレジットモニタリング

最後に、定期的なクレジットモニタリングも重要なステップです。
クレジットレポートや明細書を確認して通常とは異なるまたは不正な活動を検出することで、個人情報窃取を早期に発見できます。
タイムリーに識別することで、個人は被害を最小限に抑え、盗まれた身元を回復するための行動を取ることができます。

個人情報窃取の結果

個人情報窃取の結果を理解することは、この犯罪が個人やビジネスに与えることができる広範囲で深刻な影響を強調するために重要です。
これらの結果は、金融、法的、および評判への損害の三つの主要な領域に分類することができます。

金融上の結果

個人情報窃取は、個人またはビジネスの財政健康に大きな混乱をもたらす可能性があります。
これには、不正な取引、銀行口座の枯渇、不正なクレジットカードの請求、および被害者の名前で取られたローンが含まれることがあります。

金融回復プロセスは長期にわたることがあり、損害を修正するために広範な努力を要することがあります。
被害者はしばしば大きな金銭的損失に直面し、完全に解決するまでに数年を要することがあります。

法的影響

個人情報窃取は、被害者と加害者の両方に法的なもつれを引き起こす可能性があります。
被害者は、自分の身元に関連する不正行為のケースで無実を証明する必要があるかもしれませんが、これは複雑で時間がかかるプロセスになることがあります。
さらに、これらの問題を解決するために法執行機関や法律専門家と協力する必要があるかもしれません。

一方、個人情報窃取犯は逮捕・有罪判決を受けると、罰金や投獄を含む厳しい法的制裁に直面することがあります。

評判と専門的立場への損害

金融や法的側面を超えて、個人情報窃取は個人の評判や専門的立場に大きな害を与える可能性があります。
被害者に帰属する虚偽の情報や犯罪活動は、彼らの個人的および専門的イメージを汚すことがあります。

ビジネス界では、この損害は影響を受けた組織の評判に及ぶことがあり、クライアント、パートナー、および利害関係者の間で信頼を失う可能性があります。
評判と専門的地位を再構築することは、時間と努力をかけた綿密なプロセスになることがあります。

顕著な個人情報窃取の例の一つは、2021年にハッカーグループがUberのシステムを侵害し、5700万人の顧客とドライバーの個人データ（名前、連絡先詳細、運転免許証番号を含む）を危険にさらしたことです。
ハッカーは60万人以上のUberドライバーの名前と社会保障番号を入手しました。
Uberは最初は侵害を隠そうとしましたが、後にこれを一般公衆および規制当局に公開し、連邦取引委員会およびニューヨーク州検事総長事務所との間で1億4800万ドルの和解に至りました。

個人情報窃取への対応

以下のステップを直ちに実行する必要があります。

最初のステップは、IdentityTheft.govで連邦取引委員会（FTC）に個人情報窃取を報告することです。
また、警察に報告することもできます。

3つの主要な信用調査会社（Equifax、Experian、TransUnion）に対し、信用報告書に詐欺アラートを設置します。
これにより、他人があなたの名前で新しいアカウントを開設することがより困難になります。
さらに、信用報告書にクレジット凍結を設置することも検討してください。
これにより、あなたの許可なしに新しいアカウントを開設することを防ぐことができます。

銀行、クレジットカード会社、ローンサービス会社など、口座を持っている金融機関すべてに連絡し、個人情報窃取を通知します。
彼らは不正なアカウントを閉鎖または凍結し、不正な請求を異議申し立てする手助けをしてくれます。

訳注: 日本における対応

上述の説明は、アメリカにおける手続きになります。
日本での個人情報漏洩・窃取に関する対応は、以下の通りです。

個人情報保護委員会への報告

2022年4月1日から、個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が必要となります。
個人情報窃取を発見した場合に、個人情報保護委員会に報告をして下さい。

• 速報 … 発覚日から3～5日以内
• 確報 … 発覚日から30日以内。不正な目的で行われた恐れがある場合は、発覚日から60日以内。

警察への相談

本店所在地を管轄している警察署、もしくは全国に支店や営業所がある場合は、事件が発生した地を管轄している警察署、もしくは都道府県警察本部のサイバー犯罪相談窓口に相談の電話をして下さい。
事故や傷害事件のように、110番で電話したからといって、すぐに警察が動いてくれるわけではありません。
警察は、個人情報窃取やサーバ侵害などのサイバー犯罪は、事件として受理するかどうかをまずはヒアリングしてから判断します。
警察にとっては、検挙率がKPIとなるため、検挙に繋がるに十分な手がかりがないと捜査しても無駄だと、門前払いを受けることもあります。
普段から、きちんとセキュリティに関する対策を行い、万が一侵害された場合には、犯人を追跡できるに十分なログ収集などを行っていないと、捜査は基本的に無理という事は知っておいたほうがいいでしょう。 警察に提出すべき資料は、以下のようなものがあります。

• 通信ログ
• アクセスログ
• DMARCレポート
• 不正プログラム等の被害サーバ等に記録された情報
• システム構成図等

システム構成図などは、意外と、用意していない企業が多いので、普段からの準備が肝心です。
昨今のサイバー犯罪の発端は、メールを端緒とするものが8割以上で、しかし、なりすましメールは、他社のサーバから送られるため、自社サーバにはログが残りません。
RUAレポートを普段から受信して保存していないと、捜査が困難になります。
また、RUAレポートで、どこからなりすましメールを送られたのかを確認できるので、民法709条に基づく損害賠償請求を行う上で大事です。

顧問弁護士への連絡

顧問弁護士に連絡して、今後の対応について相談します。

損害保険会社への連絡

損害保険会社のサイバー保険に加入している場合には、損害保険会社に連絡します。
会社の顧問弁護士が居なくても、損害保険会社から、セキュリティ侵害の対処について詳しい弁護士を紹介してもらえます。

セキュリティ侵害調査会社への連絡

セキュリティ侵害調査の専門会社へ連絡をします。
たとえ会社内のIT技術者がセキュリティに強い場合でも、第三者の眼で調査していくことで、新たな発見があったりします。
セキュリティ侵害調査会社は、ネットで探しても良いですが、弁護士から紹介してもらうことも可能ですし、損害保険会社が紹介してくれることもあります。

クレジットカード会社もしくは決裁代行会社への連絡

クレジットカード決裁などを行っている場合は、加盟店として、クレジットカード会社もしくは決裁代行会社に連絡をします。

取引先への連絡

取引先との契約で情報漏洩に関する条文がある場合には、取引先企業に連絡をします。
そのような契約が無いとしても、取引先には連絡をした方が良いでしょう。

本人への通知

漏洩・窃取されてしまった個人情報の本人への通知を行います。

• 書類による通知
• メールによる通知

本人への通知が困難な場合は、以下のような代替措置も可能です。

• Webサイトでの公表
• 問い合わせ窓口の設置

回復プロセス

• 警察の報告書、FTCの報告書、および個人情報窃取に関連するその他の文書のコピーを保管してください。
  これは、不正な請求を争い、信用を回復しようとする際に役立ちます。
• 個人情報窃取に詐欺や偽造などの犯罪行為が関与している場合、犯罪を調査し、加害者を正義に導くために法執行機関と協力することを検討してください。
• 個人情報窃取の影響を受けた口座を持つ債権者に連絡してください。
  彼らは不正な請求に異議を唱え、閉鎖された口座を再開する手助けをしてくれます。

個人情報窃取保護の重要性

個人情報窃取保護は、ビジネス経営者にとって重要な関心事であり、広範囲にわたる影響を及ぼす多くの問題に対処します。
ビジネス経営者が個人情報窃取保護を必要とする主な理由は以下の通りです。

企業データのセキュリティ

ビジネス経営者はしばしば敏感な会社情報や独自データへのアクセスを持っています。
経営者の身元が危険にさらされた場合、サイバー犯罪者は企業システムやデータへの不正アクセスを得る可能性があり、組織のセキュリティに対する重大な脅威となります。

個人および専門的な評判

ビジネス経営者の評判は、彼らが代表する組織の成功と信頼性と密接に関連しています。
誠実さと能力に基づいて築かれた評判を維持するためには、自身の身元を守ることが不可欠です。

法的および規制上のコンプライアンス

ビジネスは厳格なデータ保護およびプライバシー規制を遵守する必要があります。
自身の身元や取り扱う敏感情報を守ることに失敗した経営者は、これらの規制に違反していると判断される可能性があります。

コスト削減およびリスク緩和

個人情報窃取は、大きな財務的損失、法的費用、およびダメージコントロールの費用を招く可能性があります。

まとめ

個人情報窃取保護は、個人とビジネス経営者の双方にとって不可欠です。
これは、個人情報を積極的に監視するだけでなく、疑わしい活動や侵害に対して迅速に行動を取ることを含む、予防的かつ継続的なプロセスです。
急速に進化するデジタル環境におけるサイバー脅威管理について詳しく知りたい方は、今すぐお問い合わせください。