北米フォルクスワーゲンの販売業者から330万人分の個人データ流出

今回は「北米フォルクスワーゲンの販売業者から330万人分の個人データ流出」についてご紹介します。

関連ワード （Volkswagen、アウディ、アメリカ、カナダ、データ漏洩、個人情報等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Volkswagen（フォルクスワーゲン）によると、北米のある販売業者が顧客データのキャッシュをインターネット上に保護されていない状態のまま放置していたことで、330万人以上の顧客の情報が流出したという。

同社の北米事業本部であるVolkswagen Group of America（フォルクスワーゲン・グループ・オブ・アメリカ）は書簡の中で、フォルクスワーゲンおよびその傘下のAudi（アウディ）の米国とカナダの正規ディーラーが提携している販売業者が、2014年から2019年の間に収集された顧客データを、2019年8月から2021年5月までの2年間にわたり、保護されていない状態のまま放置していたと述べている。

販売やマーケティングのために収集されたというこれらのデータには、氏名、郵便番号、メールアドレス、電話番号など、顧客や購入希望者の個人情報が含まれていた。

さらに約9万人のアウディの顧客および購入希望者においては、ローンやリースの審査に関する情報など、よりセンシティブなデータも流出したという。フォルクスワーゲンの書簡によると、流出した詳細な個人データのほとんどは運転免許証番号などだが「少数の」データには生年月日や社会保障番号も含まれていたとのこと。

フォルクスワーゲンは、データを漏えいさせた販売業者の名前を明らかにしていない。同社の広報担当者は「法執行機関や規制当局を含む適切な当局に通知し、外部のサイバーセキュリティ専門家と当該販売業者とともに状況の判断と対応にあたっています」と、危機管理会社を通して述べている。

運転免許証番号に関するセキュリティ事件は、他にもこの数カ月の間に何度か起きている。保険大手のMetromile（メトロマイル）とGeico（ガイコ）は2021年前半に、運転免許証番号を入手しようとする詐欺行為に見積もりフォームが悪用されたことを認めた。他のいくつかの自動車保険会社も、運転免許証番号の盗難に関わる同様の事件を報告している。これらの犯罪者は他人の名前で不正な失業手当を申請し、現金を得ようとしたのではないかと、Geicoは述べている。

だが、フォルクスワーゲンの書簡には、流出したデータが悪用されたという証拠があるかどうかについては書かれていなかった。

関連記事
・米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
・米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

画像クレジット：Jens Schlueter / Getty Images

【原文】

Volkswagen says more than 3.3 million customers had their information exposed after one of its vendors left a cache of customer data unsecured on the internet.

The car maker said in a letter that the vendor, used by Volkswagen, its subsidiary Audi and authorized dealers in the U.S. and Canada, left the customer data spanning 2014 to 2019 unprotected over a two-year window between August 2019 and May 2021.

The data, which Volkswagen said was gathered for sales and marketing, contained personal information about customers and prospective buyers, including their name, postal and email addresses, and phone number.

But more than 90,000 customers across the U.S. and Canada also had more sensitive data exposed, including information relating to loan eligibility. The letter said most of the sensitive data was driver’s license numbers, but that a “small” number of records also included a customer’s date of birth and Social Security numbers.

Volkswagen would not name the vendor, when asked. “We have also informed the appropriate authorities, including law enforcement and regulators, and are working with external cybersecurity experts and the vendor to assess and respond to this situation,” said a spokesperson, via a crisis communications firm.

It’s the latest security incident involving driver license numbers in recent months. Insurance giants Metromile and Geico admitted earlier this year that their quote forms had been abused by scammers trying to obtain driver license numbers. Several other car insurance companies have also reported similar incidents involving the theft of driver license numbers. Geico said it was likely an effort by scammers to file and cash fraudulent unemployment benefits in another person’s name.

Volkswagen’s letter, however, did not say if the company had evidence that the data exposed by the vendor was misused.

（文：Zack Whittaker、翻訳：Hirokazu Kusakabe）

1-1.「個人情報」って何だろう？～その1：あなたを特定できる ...

1-1.「個人情報」って何だろう？～その1：あなたを特定できる情報～｜プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。

個人情報 - Wikipedia

個人情報 （こじんじょうほう）とは、任意の一人の個人に関する情報であり、かつその情報に含まれる記述等によって特定の個人を識別できるものを指す。

個人情報保護法等 ｜個人情報保護委員会 - PPC

個人情報保護法等. 個人情報保護に関する法令・ガイドライン・条例等を掲載しています。. 令和2年 改正個人情報保護法についての資料を掲載しています。. 官民を通じた個人情報保護制度の見直しに関連する資料を掲載しています。. 個人情報保護法に基づく権限（報告徴収及び立入検査の権限）の委任についての情報を掲載しています。. 個人データの漏えい事案等 ...

個人情報とは - コトバンク

ASCII.jpデジタル用語辞典 - 個人情報の用語解説 - 生存する個人に関する情報。氏名や生年月日、住所、電話番号などの記述により特定の個人を識別できるもの、と2005年4月から全面的に施行された個人情報保護法2条1項に定義されている。特定の個人を識別する可能性があるかどうかが基準となるた...

総務省｜行政機関・独立行政法人等における個人情報の保護 ...

2 日前  · 保護法上、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名等により特定の個人を識別することができるものをいいます（第2条第2項）。. 1)については、生存する個人に関する情報でないことから、一般的には、個人情報に当たりません。. しかし、死者に関する情報であっても、当該情報が遺族等の生存する個人に関する情報でも ...

「個人情報」とは何でしょうか：やさしく読む「個人情報保護 ...

 · 個人情報保護法とは、読んで字のごとし「個人情報」を保護するための法律です。

個人情報の定義の明確化 - soumu.go.jp

・個人情報保護法における「個人情報」は、「特定の個人を識別することができ るもの」として社会通念に基づき判断される。また、容易照合性の要件によっ て、個人情報該当性が事業者ごとに判断される。

個人情報の保護に関する法律 | e-Gov法令検索

電子政府の総合窓口（e-Gov）。法令（憲法・法律・政令・勅令・府省令・規則）の内容を検索して提供します。

個人情報とは

個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年

個人情報保護委員会 - PPC ｜個人情報保護委員会

個人情報保護委員会 - PPC ｜個人情報保護委員会