更新:2018年5月10日:今週初め、証券取引委員会(SEC)に提出された文書で、Equifaxによる侵害に関する内部調査から得られた驚くべき数字が明らかになりました。文書によると、侵害された個人情報に関する統計は以下の通りです。
- 1億4550万件の社会保障番号
- 9,900万のアドレス
- 2,030万件の電話番号
- 1,760万枚の運転免許証
- 180万件のメールアドレス
- 209,000件のクレジットカード番号
- 97,500件の納税者番号
画像ファイルとして保存されていた他の文書も含まれており、被害者の運転免許証、パスポート、社会保障番号などが含まれていました。各カテゴリー間でどの程度の重複があるのかは不明であるため、悪意のある人物があなたのデータの一部または全部を盗用している可能性があります。また、捜査が進むにつれて、今後さらに多くの情報が得られる可能性もあります。つまり、今こそ個人のサイバーセキュリティ対策を強化する良い機会です。
企業へのハッキングやデータ侵害は頻繁に発生しています。Targetは誤ってクレジットカード情報を漏洩し、その後、Yahoo!からメールデータが盗まれました。しかし、最近発生した信用調査会社Equifaxのデータ侵害は一味違います。その規模は甚大で、1億人以上が関与しています。さらに深刻なのは、漏洩データに社会保障番号が含まれていることです。メールのパスワードを変更して新しいクレジットカードを作ることは可能ですが、社会保障番号の変更は骨の折れる作業であり、費用もかさみ、人生全体に悪影響を及ぼす可能性があります。あの厄介な9桁の番号がインターネット上に流出する可能性がある今、どうすればいいのか、以下に解説します。
あなたの情報は公開されていますか?
Equifaxによると、今回の情報漏洩には米国在住の1億4,300万人の個人が関与しており、漏洩した情報には生年月日、住所、氏名、社会保障番号が含まれていました。ID窃盗犯にとって、これ以上の情報は望めないでしょう。Equifaxは、自分のIDが侵害されたかどうかを確認できるサイトを開設しましたが、そのためには個人情報を提供する必要があります。残念ながら、それはご遠慮ください。[注:ハッキング後のEquifaxサイトに情報を提供することで、どのような権利を放棄することになるのかという懸念があります。]
Shape Securityの最高技術責任者であるシュマン・ゴセマジュンダー氏は、たとえ検査で陰性の結果が出ても、それほど安心する必要はないと指摘する。「今回の侵害に関わっていないからといって、他のインシデントでデータが漏洩していないとは限りません」と彼は言う。「ここ数年、このような事例は数多く発生しています。いずれにしても、自分のデータは侵害されていると考えて行動すべきでしょう」。さらに彼は、今回のハッキングは一般的な企業インシデントとは異なり、Equifaxの直接の顧客でなくても影響を受けると説明した。Equifaxのサイトにアカウントを持っていなかったとしても、あなたの情報が侵害されている可能性があるのだ。
社会保障番号が漏洩した場合、どのような影響があるでしょうか?
「最も一般的なID窃盗の種類の一つは、単純なアカウント乗っ取りです。これは比較的簡単に検知・阻止できます」と、プライバシーとセキュリティに特化した非営利の公益研究団体、ワールド・プライバシー・フォーラムのエグゼクティブ・ディレクター、パム・ディクソン氏は述べています。「しかし、社会保障番号の場合は、合成ID窃盗に陥ります。これは文字通り、誰かがあなたのIDを乗っ取り、医療品を盗んだり、重大犯罪を犯したりする可能性があるのです。」
個人情報を盗まれた無実の消費者にとって、それらの犯罪への関与を否定することは極めて困難です。「社会保障番号に関連する犯罪を犯していないと証明する州地方検事からの手紙を携えて歩き回らなければならない人もいます」とディクソン氏は説明します。
それだけでなく、犯罪者は虚偽の納税申告書を提出したり、身元を証明する偽の子供を作り出したり、さらには住宅ローンや不動産登記に関する問題を引き起こしたりすることも可能です。
これが悪化するのを防ぐにはどうすればいいでしょうか?
Equifaxは、この失態への償いとして、1年間の信用情報監視と不正利用アラートを提供しています。これは本来であれば既に利用すべきサービスであり、1年で終了すべきではありません。各信用情報機関はそれぞれ独自のサービスを提供していますが、LifeLockやIdentity Forceといったサードパーティから、より包括的なプランを取得することも可能です。価格から補償内容まで、それぞれに長所と短所がありますが、優良なプランは、誰かがあなたの個人情報を不正に利用した場合に、サポートを提供してくれます。
ディクソン氏は、他人があなたの情報を使ってアカウントを作成する前に、社会保障局にアカウントを作成することを勧めています。アカウントの作成は数分で完了しますが、いくつかの情報を手元に用意しておく必要があります。登録手続きの過程で、現在利用中のローン、毎月の返済額、さらには数年前の古いアカウントなどについて尋ねられることがあります。正しい情報を提供しないと24時間ロックされるため、1日に1回しかチャンスがありません。
信用凍結はどうですか?
さらなる保護策として、信用情報を凍結することも可能ですが、これはご自身である程度手続きが必要です。信用情報機関ごとに、凍結手続きは個別に行う必要があります。信用情報の凍結には手数料がかかる場合が多いですが、個人情報の盗難が直接の原因であることを証明できれば、通常は解除されます。
「信用情報凍結は、誰もあなたの名前でクレジットカードを開設できなくなることを意味しますが、あなたの個人情報を使って悪用されることは依然として可能です」とディクソン氏は説明します。「とはいえ、経済的な影響を防ぐことはできます。」
しかし、運転免許証と社会保障番号が漏洩した20万9000人については、信用凍結は賢明な措置と言えるでしょう。これらの情報を組み合わせると、犯罪者が偽名で車を購入することが非常に容易になるからです。
ID 盗難攻撃に SSN が使用された場合、どうすればよいでしょうか?
連邦取引委員会(FTC)は、非常に充実した個人情報盗難消費者情報センターを運営しており、盗難被害の抑制に役立つ豊富なリソースを提供しています。IdentityTheft.govにアクセスすると、盗難を報告できるだけでなく、復旧プロセスを開始するためのToDoリストも提供されます。サイトに登録したくない場合は、こちらのチェックリストから推奨手順を確認することもできます。
新しい社会保障番号を取得できますか?
端的に言えば「はい」ですが、長くて面倒で、多くの場合非常に高額な手続きとなります。約50人の方(個人情報窃盗ではなく、家庭内暴力のケース)がこの手続きを経験したディクソン氏は、これを「核兵器を超えた選択肢」と呼んでいます。
「時には、自分の安全を恐れて、古い生活を捨てることを選ぶ人もいます」とディクソン氏は言います。「生活を維持し、盗難を止めたいのであれば、まずは信用情報凍結を試みて、他のあらゆる選択肢を検討する必要があります。信用情報の問題に常に気を配ることを、自分の副業にしましょう。」
新しい社会保障番号(SSN)を取得する場合は、弁護士(できれば身元盗難を専門とする弁護士)に相談し、できるだけ多くの書類を準備することをディクソン氏は勧めています。この番号は金融口座だけでなく、教育機関、ローン、教師や医師などの資格認定機関にも関連しています。
新しい番号を取得できたとしても、大学教育や職業資格を証明できるようにするには、その情報を新しい番号に「クロスウォーク」する必要があります。
したがって、新しい社会保障番号を取得することはできますが、それは「最後の手段」とみなされており、今からデータを可能な限り安全に保つように注意すれば、おそらく回避できるでしょう。
