ざっくり解説 時々深掘り

実は「10億人分の個人情報」は一年以上も誰でも閲覧できる状態で放置されていたらしい……

Xで投稿をシェア

カテゴリー:

中国人の個人情報を10億人分売りますという広告が出回ったのは6月30日のことだった。上海国際警察のデータベースが流出しデータを20万ドル(2700万円)で販売していると主張したそうだ。中国の主要メディアはもちろんこれについて報道していないのだが香港系の星島日報で伝わったことで西側のメディアでも報道された。

これについて日本の新聞は星島日報を後追いしただけだったのだが、CNNは「この問題を以前から知っていた」と主張する人に取材をしている。サイトが開かれたのは2021年4月だったそうだ。10億人分のデータがあったかどうかまではわからないのだがかなり長い間放置されていた可能性があるのだという。

Follow on LinkedIn

コンテンツのリクエストや誤字脱字の報告はこちらまで

|サイトトップ| |国内政治| |国際| |経済|






このデータには中国人10億人の氏名、住所、出生地、身分証、携帯電話番号、過去の犯罪歴が含まると「売主」は主張している。日経新聞の特任編集委員は記事ではなくウェブのコメント欄で、オーウェルの1984年になぞらえて「ビックブラザー事件」をどうもみ消すのかと中国を監視社会と決めつけるような書き方をしており日本のエスタブリッシュメントは中国嫌いなのだなあと思った。

だが決めつけて終わっているのは日経新聞だけではない。NHKと読売新聞を見てみたが、どこも星島日報を後追いするだけで情報漏洩そのものにはさほど興味がないようだ。

NHKはセキュリティ調査会社「サイント」に取材し住所の一部は実在しているという証言を得た。ただし住所だけではこの個人情報流出自体の主張自体が正しいものなのかはわからない。読売新聞は「当局が事実関係を明らかにしていないため社会不安が広がっている」と書いているのだが、実際に中国への取材は行なっていないようだ。あくまでも星島日報の報道を引き合いに出した印象報道にとどまっている印象だ。「どうせ中国は監視社会なのだからこれくらいのことはやっているだろう」と言う印象が残る内容にとどまっている。

これについて細かく書いているのがメディアもある。ハフィントンポストは中国側の開発者が開発者同士で情報を公開するフォーラムに間違って認証情報を含めてしまったためそれが漏洩したのではないかとの疑惑を伝える。このハフィントンポストの記事が引き合いに出しているのがCNNの取材である。CNNは「このデータベースは以前から公開されていた」という専門家を探し出して取材をしている。

CNNによると当該データベースは一年以上の間誰でもアクセスできるようになっていたそうだ。つまり誰がか「売ります」と闇フォーラムで報告されなければ誰でも閲覧できる状態だったということになる。最初に公開が確認できるのは2021年4月だったそうだがサイトのアドレスがわからなければアクセスできないと言う仕組みだ。

こうしたいい加減な情報共有は実は企業ではよく行われているのではないかと思う。セキュリティについてあまり詳しくない人が「URLさえわからなければ」とか「検索エンジンにさえ引っかからなければ」と言うような認識でプロテクションをかけずに情報を共有してしまうというような事例はさほど珍しくなさそうだ。データはアリババ・クラウドという誰でも利用ができるサービスを使って公開されていたという。

CNNもサンプル75万件のデータのなかから20件を抜き出しただけで全てを確認したわけではない。つまりこのデータベースが10億人分のデータを全て正しく持っていたのかはわからない。CNNは同氏がダウンロードしたデータベースの主要インデックスには、中国の市民9億7000万人あまりの情報が含まれている様子だったと書いている。これが約10億人の根拠である。

いずれにせよ、CNNが確認した20件は「本物」だったそうである。2001年から2019年までの20年の警察記録だったそうだが多くはちょっとした市民同士の諍いだった。ただ中には詐欺や強姦などの情報も含まれていたという。

当初「なぜ上海の警察が中国人の個人情報を持っていたのか?」ということが問題視された。上海市民を監視する目的ならば上海市の市民だけの情報を持っていればいいはずだからである。だが、都市には地方から多くの人たちが集まってくる。このため市民の情報を持っていたとしてもおかしくない。

市民監視が常態化している中国でこのデータの収集がどの程度クリティカルだと考えられていたのかがよくわかない。中国政府は2021年8月に企業の個人情報の取得に対して制限をかける法律を成立させた。個人情報の漏洩自体はすでに社会問題になっておりそれに対して対策の必要性があることも広く知られているようだ。一方で、治安当局は引き続き膨大な個人情報へのアクセスが認められている。つまり政府や行政機関は「特別な存在」として市民監視が許されているのである。

日経のコメント欄は「まるでオーウェルのビッグブラザーのようだ」と書いている。だがオーウェルの世界では政府が市民を管理しその思考を言語を管理することで統制しているということは最上級の秘密として扱われている。それは自由に対する最大級の挑戦だからだ。

だが、中国のような権威主義的な社会では警察が幅広く個人情報を共有していたとしてもそれほど不思議ではないと言うことなのかもしれない。日本のように「個人情報や犯罪歴を警察当局が把握する」ということに対してたいした罪悪感がなかったのかも可能性がある。すると便利に仕事をするためにみんなが共有できるところに情報を置いておこうとなったとしてもさほど不思議はない。

中国は父権的な共産党が強い権限を持って国民を指導するという体制だ。そのためには個人の背景を細かく監視してその状況を把握しなければならない。中国政府はそれを「見守り」程度にしか思っていないかもしれないのだ。だが、はやり市民監視を実現するためには人手がかかる。つまり一部の人間だけでなく多くの人が情報を共有していなければならない。多くの人が関われば関わるほど今回のような情報流出の可能性は増えてゆく。

軽く考えているからこそ危険なのである。

中国にもマイナンバーのような番号がありこうした情報はIDによって紐づいておりデータベース化されている。だが、それを監視する数多くの人たちがすべてセキュリティについて万全の知識を持った善い人であるとはいいきれない。結局最大のリスクは情報システムではなく情報システムを扱う人の質と意識なのだ。

だが香港の事例を見てもわかるように中国は愛国者(共産党に忠誠を誓う人)とそうでない人を政府や行政機関が選別すると言うような国である。これからもこう言う事件は起こるのだろうなと思う。選別のためには記録をとって誰でも見ることができるようにしておかなければならない。果たしてそんなことができるのか?という疑問はあるが中国はそれをやろうとしている。

香港では「愛国者」とみなされなければ議員になれなくなっている。当選しても宣誓が無効とみなされて議席を剥奪されてしまうのだそうだ。当然宣誓を受ける側は「民主派議員」に対する情報を持っているのだが、そのことに対しての罪悪感はないのかもしれない。

繰り返しになるが我々が「監視社会」というとオーウェルの1984年のような重苦しい社会を想像しがちだ。だが中国では割と気軽に市民監視が行われている可能性があるということになる。

中国政府の報道官はこの件についての質問へコメントを避けている。一応「センシティブな話題である」という程度の認識は持っているのだろう。市民が「自分の生活が政府に監視されていること」に関してどの程度の認識を持っているのかはよくわからないが、個人情報が流出することによって誰かに騙されるかもしれないと言うことは広く知られている。我々のような民主主義社会の感覚とはかなり異なっているが中国人が恐れるのは犯罪履歴の流出ではなく詐欺や脅迫の被害なのかもしれない。

コンテンツのリクエストや誤字脱字の報告はこちらまで