昨日書いたHPのスキャンダルはまだ続行中。やはりID盗難をした専門家を雇ったPatricia Dunn会長の責任が追求されている。
この事件はDunn会長、またはHPの取締役会のスキャンダルという面の他に、専門家がID盗難を行ったことが問題になっている。むしろ社会的にはこちらの方が影響が大きい。
今回Dunn会長が雇った専門家がやったことは、嫌疑のかかった取締役(George Keyworth)の電話通話記録という個人情報の入手であった。その際、電話会社のウェブサイトで、Keyworthに成りすましてログインするのだが、もちろんパスワードがかかっている。しかし、パスワードを忘れたと言えば、ある質問に答えることでパスワードを返したり、リセットするのがよくある手法だ。新聞では「ソーシャルセキュリティ番号(SSN)を使ってパスワードを盗んだが、SSNの入手方法は分かっていない」となっていた。
このSSNというのが曲者だ。これはアメリカの年金のための登録者番号で、9桁の数字になっている。通常123-45-6789というように、3桁、2桁、4桁に区切って使う。このSSNはアメリカでは本来の年金以外にさまざまなことで使われる。例えば銀行に電話して送金を依頼する時など、本人の名前、口座番号のほかにこのSSNを聞いてくるが、これが本人確認になる。電話だけではない。小切手を銀行に持っていって自分の口座に入れてもらう場合、まず口座番号を言わなければならない。ところが日本のように銀行口座番号はキャッシュカードに記されていない。「ではSSNは何でしょう?」と言われてそれを答えると、SSNが「ID替わり」になってその人の口座番号が分かる仕組みになっている。9桁の番号なら、自分のID代わりになるものなので、記憶することができるが、他人の分まで覚えるのは難しい。これがSSNのミソである。
社内でも、このSSNを登録する場面は非常に少ない。入社する時に登録はするが、その情報は社内でも一部の人間しかアクセスできない。最近は個人情報の扱いが厳しいので、住所や電話番号と同様、同じ部署の人間でもお互いのSSNは知ることはできない。
今回のHPの事件ではSSNをどうやって入手したかが、焦点になりそうだ。ただ同時にコンピュータで何でもできる世の中になって、SSNという9桁の数字で何でもアクセスできてしまうシステムにも問題があると言えるだろう。
最近のコメント