2018年12月6日 第49号
ブリティッシュ・コロンビア州リッチモンド市に本社があり、コンピューター関連商品を扱っていた小売業者が倒産後、その顧客と従業員のデータを消去しないままのサーバーコンピューターをオークションに出品、最終的にネット上で売買される事態となった。個人情報漏洩の疑いで、警察が捜査を行っている。
リッチモンド市をはじめカナダ全土にいくつもの小売店舗を展開していたほか、ネット通販を手広く行い20年以上事業を続けてきたNCIXが倒産したのは、昨年末のこと。その後資産処分のためのオークションが2回行われたが、問題のサーバーはこの時に落札された。しかしそのハードディスクに残されていた何十万人という顧客情報は、何の消去処理も行われていなかった。住所氏名から電話番号、クレジットカードの番号など、商品購入時の情報のほか、従業員に関してはそのインカムタックスの記録(T4)も残されていたという。
バンクーバーにあるサイバーセキュリティーコンサルティング会社、プライバシーフライのトラビス・ドアリングさんによると、大手オンライン売買サイトのクレイグスリストに『NCIXのデーターベースサーバー、1500ドル』の広告が出ていた。またこの売主は、NCIXが運用していたデーターベースサーバー群を全て所有していると語っていたという。またその中身の情報は消去されていなかった。さらにこの人物は、NCIXの各小売店に設置されていたデスクトップコンピューター300台のほか、オークション前にデーターベースサーバーから抜き取られたハードドライブ109個や、4〜500個の中古ハードドライブも所有していた。
これらのサーバーやコンピューターからは、38万5千人の住所氏名、電話番号、電子メールアドレスとIPアドレスのほか、25万8千人のクレジットカードによる支払いの詳細が、暗号化されていない平文の状態で読み取れたと、ドアリングさん。そのほか、顧客とカスタマーサービスとの電子メールのやりとりも残されており、顧客の顔写真や免許証など写真入り証明書の画像なども確認できたという。
さらに、これらサーバーのいくつかは海外のバイヤーに高額(1万5千ドル)で売却されていたほか、同じデータが少なくとも5人のバイヤーにも売られていた。その上でドアリングさんは、約17年間に及ぶ商取引の全情報がまったく無防備で晒されていたことに驚きを隠し得ないと述べ、これらの情報は容易に犯罪ークレジットカード不正利用、なりすまし、個人情報詐欺などーに用いられると、警告している。
リッチモンド市連邦警察(RCMP)とBC州個人情報保護委員会は、個人情報漏洩の疑いで、捜査を行っている。