米国で個人情報漏えい事件が相次いでいる。2月半ばに大手情報ブローカー、チョイスポイント社が架空の会社に個人情報を流出した事実を公表。その10日後にはバンク・オブ・アメリカが顧客120万人のクレジットカード情報を紛失したと発表。議会では個人情報保護に向けた新法成立の動きが活発化している。

 チョイスポイント社(ジョージア州アトランタ)が実体のないペーパーカンパニーに個人情報を大量に漏えいしていた事件は米国全土を震撼させた。

 被害にあったのは今までに分かっただけでも全米約14万5000人。捜査当局によると、うち少なくとも700人の住所が不正に書き換えられていた。ID窃盗ではあらかじめカード明細などの送り先住所を変更して時間稼ぎをするのが常套手段。住所変更の事実はID盗難がさらに大きな被害を生む予備段階であったことを伺わせるのに十分だ。

 ことの発端は昨年10月、複数の何者かが同社のネットワークに侵入しデータベースからIDを盗み、このID名義で実体のない企業を設立した上で同社データベースにアクセスできる法人アカウントを約50件開設。ここを通して個人情報を盗み放題していた。

 当局は犯罪に関わったと思われるカリフォルニア州ノースハリウッド在住のナイジェリア人男性をおとり捜査で逮捕(懲役16か月の有罪確定)したが、「犯罪規模から見て単独の犯行とは思われない」として、さらに組織の割り出しを急いでいる。

 不祥事を最初に知らされたのは被害にあったカリフォルニア州民3万5000人だけ。これは同州のみ特例として、社内ネットワークの不備で生じた不具合は企業が州民に報告しなければならないと州法に定めがあるため。他の州の被害状況について同社は当初「被害は加州中心」と否定していた。が、発表の数日後には「被害規模はわれわれの思っていた以上だった」として全米11万人以上に通知の規模を拡大、さらには14万5000人と訂正を繰り返した。最終的な被害は「全米50万人に及ぶ可能性もある」と当局は見ている。

 市民の間に不安が広がるなか、今度は大手銀行バンク・オブ・アメリカが顧客の個人情報を“うっかり紛失”した事実を認めた。こちらはハッカー侵入や組織的犯罪とは無縁の凡ミス。情報が悪用された形跡は現時点ではないが、モノがモノだけに「所在が分からない」では済まされない。消えたバックアップ用テープには米政府のクレジットカードプログラム、スマートペイの顧客情報が入っていた。このカードは顧客210万人、年間決済総額は210億ドルを超える。

 こうした企業の不手際によるID流出事件は氷山の一角で、昨年ID窃盗にあったアメリカ人は約990万人、被害総額は約50億ドルに達した(合衆国郵便物検査局調べ)。ID窃盗は今や米連邦取引委員会(FTC)に寄せられる詐欺関連の苦情のトップを占める。

 非営利団体のID窃盗情報センターによると、ID窃盗の被害者が元通りの生活を取り戻すには平均数年、最低600時間かかるという。チョイスポイントの被害者の1人はさっそく同社を相手取りロサンゼルス最高裁に集団訴訟の請求を行った。

 チョイスポイント社は1997年、米信用調査会社イクイファックス社から独立した大手電子データウェアハウスだ。全米55か所に従業員5500人を抱える。主に保険業界にリスク管理と詐欺予防用に情報を提供するほか、政府と民間向けに採用予定者の薬物検査や信用調査を行う。最近ではテロ対策強化にともないFBIとの連携も頻繁だ。

 現住所や職歴、訴訟歴、犯罪歴、各種免許など、同社が保有する公式記録は推定190億件。国務長官から芸能人まで全国民の個人情報を掌握しており、このデータベースを糧に昨年は年間総売上9億1870万ドルを達成した。

 買収に次ぐ買収で快進撃を続けてきた企業も情報漏えい発覚後は株価が下がりっ放し。デレック・スミス会長兼CEOが唱える「万人が顔見知り」という古き良き時代の理想郷は、「自分の個人情報を売っていいと誰が頼んだ」という市民からの怒号の前に脆くも崩れ去ろうとしている。

 上院司法委員会は近日中に公聴会の召集を予定している。(市村佐登美)