ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

マッチングアプリ Omiaiの会員情報171万件が流出 運転免許証からマイナンバーカードまで

マッチングアプリ Omiaiの会員情報171万件が流出したそうで、運転免許証からマイナンバーカードまでとかなりの被害規模になっています。

 

情報元はこちら。

【セキュリティ ニュース】マッチングアプリ「Omiai」の会員情報171万件が流出した可能性(1ページ目 / 全2ページ):Security NEXT

 

恋愛や婚活を支援するマッチングアプリ「Omiai」のサーバが不正アクセスを受け、会員情報が流出した可能性があることがわかったとのこと。

 

同サービスを運営するネットマーケティングによれば、外部から不正アクセスがあり、サービスの利用に必要となる年齢確認書類の画像データが外部へ流出した可能性が高いことが判明したもの。

すでに退会済みの場合も含め、2018年1月31日から2021年4月20日にかけて、同社へ年齢確認の審査書類を提出した171万1756件の会員アカウントが対象となる。

年齢確認書類は、約6割が運転免許証としており、健康保険証、パスポート、マイナンバーカードの前面なども含まれる。書類の種類によって記載項目は異なるが、氏名や住所、生年月日、顔写真、登録番号などが記載されていた。

またマイナンバーが印字されたマイナンバーカード裏面も誤って1件提出されており、被害に遭った可能性がある。アプリの利用状況など、「年齢確認書類」以外の情報流出については否定している。

 

これはかなりの被害ですし、顔写真とかどういった形で悪用されるかわかりませんよね・・。

 

 

ネットニュースにもなっています。

 

Tinderと同様の仕組みなら…Omiaiの個人情報流出が深刻化した原因 - ライブドアニュース

 

まず危険性について。

 

ただ、今回はマイナンバーカードや運転免許証の画像が盗まれたため、氏名や住所、生年月日、顔写真などがセットで確認できてしまう。これら書類のコピーがあれば口座・アカウント開設の本人確認を行える金融サービスなどもあり、ID・パスワードの流出より大きな被害が出る可能性もある。

 

口座・アカウント開設の本人確認を行える金融サービスってかなり怖いですよね。

 

また、書類を用いる場合もオミアイのように自社で行うのではなく、「個人情報の取得・確認などの年齢確認プロセスは外部委託している」(ある競合サービス運営会社の幹部)というケースもある。専門業者に任せれば、セキュリティ体制などを自社内に構築する負担は軽減できる。

さらに、個人情報の保管期間にも各社で差がある。オミアイの場合は退会者も含めて「一律10年間」保管するとしていたが、これは比較的長い設定だ。例えばアメリカのマッチグループが運営する「Tinder(ティンダー)」では、身分証明書などの提出書類について、日本在住者の場合は最大90日間の保管にとどめている。

この場合、90日後以降は年齢確認をパスしたという「結果」のみをアカウントに紐づけて保存し、確認に使った書類のコピーは破棄する。仮にオミアイも同様の仕組みを採用し書類の長期保管をしていなければ、今回のような大規模な流出事件に発展しなかったかもしれない。

 

情報漏えいのリスクについて書かれていますが、少なくともこういったニュースからわかりますが、セキュリティ対策は本当に重要です。特に顧客情報を保持している場合は。