大量の個人情報を取得したら何ができるか

 

例のUSBメモリー紛失の件で社会はもやっているわけだが、実際に第三者に個人情報が全市民分渡ったとしたら、いったい何ができるのだろうか。個人情報がキーっ!、となる前に、あくまでもフィクションとして、手口を考えてみる。

これはサイバーセキュリティーでは必要な目線で、守ることばかり考えるよりも、攻撃者サイドならどういう方法で効果的に目的を果たすか、また目的を何に置くか。いろいろと想像することにより、対策も効果的になる。よく、泥棒の気持ちになって家を守る、みたいな話と似ている。

まず、手元にデータがあるとして、「私は持ってるぞ」と漏洩させた機関に脅しをかけてデータを返してほしくば現金を・・なんて言っても足が付くだけである。安いドラマのシナリオみたいな話である。そもそも返すと言ったって、データはコピーできる。データだけ戻ってきても何の解決にもなりゃしないので、機関も応じないわ、攻撃者の情報も漏洩するし、いいこと(?)はない。

名簿屋に転売するという例は過去あった。生活に困って・・と言うのがキーワードだったか。ギャンブルで返済に首が回らず、機密データを売ることでお金を得る。この手口も不思議なのは、データを買いとる業者だって危険なんじゃないかという話。そもそもの商売として機密情報をストックし第三者に渡す、というビジネスモデルがまっとうな企業活動として信頼されるはずはない。こういう名簿買取業者は裏社会で暗躍する‥と言ってもどうやって裏社会にアクセスするのか。あまり現実性はない。また、名簿買取業者は検索すると意外と出てくるのだが、怪しいデータの場合は逆に捜査機関とつながっている場合もある。

また、どこかのハッカー集団経由で全件インターネットに晒して、世間に何らかの威力を誇示するというパターンもあるかもしれない。ただし、それが何のお金になるのか。

こう考えていくと、実際、個人情報のかたまりなんて、手元にあってもマネタイズするのは相当大変なのだ。

 

ここまでは誰でも考えつきそうな話だが、実際に個人情報を役に立てようと思ったら、できるだけ間接的にデータを活用しないといけない。

例えば、今回だと住民税の情報が全部わかるから、収入の多い世帯が割り出せる。それらに対して一斉に不動産情報や投資の情報を流してみる。そうすれば、無差別に広告するよりもヒット率の高い広報活動をすることができる。広告をすること自体は違法でもなんでもない。

児童手当の情報も今回わかっているから、その世帯に、学習塾や学習教材の広報もできる。数年後には成人式をするだろうから、女性に対しては着物のレンタルや着付けの案内も効果的だ。

探偵業をやっている人は、この個人情報、のどから手が出るほど欲しいかもしれない。だって、名前さえわかれば、どこに住んでいるか全部わかる。尾行すれば誰と知り合いかわかり、その知り合いを尾行すれば自宅がわかり、自宅から名前がわかる。

住民税が少ない場合、貧困ビジネスの顧客リストともなり得る。

こう考えていくと、所持している個人情報の解像度が高いと、それらの集団に対して何かモノやサービスを売る場合に、余計なコストをかけずにアプローチし、高い成功率を得られるという媒体となる。とても「アコギ」に見えるかもしれないが、実はいろんな企業が、得た個人情報を匿名化して、情報が必要な企業に売るというビジネスを実際にやっている。

だから、個人情報とは資産だ。しかし、ビジネスをやらない人にとっては意味を持たない単なる0と1のかたまりである。

この流れの怖さに気づいた人類は、個人情報関連の法律を整備し、守り、倫理感のない使い方をする人を罰するようになった。だけれども、個人情報の威力は全く変わっていないどころかデジタル化が全盛の世の中でその力を増し、社会を混乱させる力を日々倍増させている状態である。

私はITの仕事の経験が長いので、「個人情報」と聞いたとたんに全速力で逃げるようにしている。そんな大層なもの、君子危うきに近寄らずである。人間とは阿呆なので、酒を飲めばなおさらだ。よくもまあ、外注に任せたもんだな、と言う感想しかない。