金融界で、「個人情報流出」事故が繰り返して起きている最大の理由は、金融機関が基本的、かつ過度に個人情報を収集しているからだ。東亜(トンア)日報が取材した結果、金融当局は、金融機関がどれだけ多く個人情報を持っているかについての実態すら把握していないことが分かった。金融当局は先月22日、「個人情報流出防止策」をまとめ、金融機関は最大50項目の個人情報を収集していると発表したが、今回、事故が起きたロッテカードだけでも、100あまりの項目に上る個人情報を収集していたことが明らかになった。
●金融機関はあなたの全ての情報を知っている
金融機関が、個人情報を収集するレベルは、暴食を超えて中毒水準に達しているといっても過言ではない。収集段階で発生する問題点が、「管理→共有→削除」の段階を経て膨らみ続け、個人情報流通全体を歪曲させる「むち効果(Bullwhip effect)」を招いている。ノンバンクの関係者は、「情報が多ければ、いかなる形であれ活用が可能だろうという間違った考えが、業界全体に広まっている」とし、「金融機関が、さまざまな景品応募イベントなどを行っているのも、結局は個人情報を集めるための手段だ」と打ち明けた。
カード会社は、1人の人間の生涯を貫く全ての個人情報や信用情報はもちろんのこと、今、どこで、なにをしているかまで、詳しく知っている。ロッテカードが、自社のホームページを通じて収集可能だと明らかにした個人情報の項目は、計94件だ。名前や住民登録番号、住所など、個人識別情報はもとより、財産や納税実績、国民健康保険の納付実績までも集めている。家族カードを作る時は、家族の個人情報や子供の誕生日、結婚記念日まで書いて提出する。スマートフォンのアプリケーション利用客には、アクセスの日付や端末のモデル名、位置基盤サービスの使用時刻・場所まで収集する。KB国民(クンミン)カードやNH農協カードなどはもとより、その他のカード会社も同様に、一部の項目に差があるだけで、個人情報を大量に収集する状況に大きな変化はない。
●管理、流通もめちゃくちゃ…「情報ダイエット」が必要
問題は過度に収集した敏感な個人情報を、金融機関が適切に管理せず、外部業者らと勝手に共有していることだ。
今回のクレジットカード情報流出事態の最大の特徴は、名前や住所などの一般情報や、住民登録番号やカード番号など、敏感な情報が一気に流出したことだ。金融界で、一般情報と敏感情報とを別途に分けて管理するのが基本原則だが、これらのカード会社はそれを守らず、一つのサーバーで統合的に情報を扱ったため、事故を起こした。金融界のセキュリティ担当者は、「顧客情報を分離して、暗号化さえしていたなら、流出被害を最小限に止めることができたはずだ」と主張した。
カード会社各社は、個人情報を、△商品・サービスの案内や勧誘、△イベント・販促行事などに使えると明記した約款を根拠に、多くは500社あまりの提携会社と顧客情報を共有している。金融機関がいくらセキュリティを強化しても、提携会社に渡った情報までコントローするのは不可能だ。ロッテグループの辛東彬(シン・ドンビン)会長が乗り出して、情報保護強化対策をまとめるなど、各会社ごとに自己点検に乗りだしているが、大量情報収集・共有の悪循環の輪を断ち切らなくては、根本的な問題解決は難しいだろう、という指摘が出ている。