中小企業庁傘下の創業振興院が実施する『みんなの起業』で、合格者5000人の情報漏洩事件が単なる個人情報の漏洩にとどまらず、アイデア保護や営業秘密の問題に拡大する可能性がある。漏洩した情報にはメールアドレスや創業アイデアの要約、審査コメントが含まれており、これらの情報の性質や追加の被害の可能性が今後の調査の焦点となっている。
22日、情報技術(IT)業界によると、創業振興院は最近『みんなの起業』の情報漏洩事件について、個人情報保護委員会(以下、個人情報委)に漏洩を報告し、調査が始まった。この事件は単なる個人情報の漏洩にとどまらず、知的財産権や営業秘密の問題に拡大する見込みであり、場合によっては大規模な訴訟に発展する可能性もあるため、関連業界も注視している。
強勝圭国民の力議員の事務所が創業振興院から受け取った個人情報漏洩報告書によれば、15日午前9時にプロジェクトに参加した人工知能(AI)ソリューション企業が異常なアプリケーションプログラミングインターフェース(API)呼び出しを通じて非公開のメールアドレスを取得した。この企業は取得したメールアドレスを使って宣伝メールを送信し、情報漏洩が明らかになった。創業振興院は同日午後3時にこの事実を苦情を通じて認識した。
業界は今回の情報漏洩がメールアドレスだけでなく、アイデアの要約や審査コメントが漏洩したことから、一般的な個人情報の漏洩とは異なる性質を持つと見ている。メールアドレスは個人情報に分類されるが、アイデアの要約や審査コメントは知的財産権や営業秘密の侵害として扱われる可能性があるためである。
漏洩した情報には、予備創業者の事業モデルや評価内容が含まれている可能性があり、公的支援事業に提出したアイデアが外部に流出した場合、追加の被害が生じる可能性があるとの指摘がある。
創業振興院が提出した漏洩経緯によれば、非公開に設定されていたメールアドレスは外部画面上には表示されていなかった。しかし、APIアクセス権がなかったこの企業は特定のAPI呼び出しやAIベースの自動収集、ウェブクローリングによって情報を取得できたとされている。
また、サービス画面ではアクセスできないように機能がブロックされていたが、挑戦者のプロフィールや審査コメントなど一部のサーバーAPIもセキュリティが不十分であったとの内容も含まれている。
強勝圭議員の事務所は、創業振興院が提出した個人情報漏洩報告書だけでは具体的な漏洩経緯やセキュリティレベルを判断するのは難しいと説明した。事務所の関係者は「報告書には詳細な状況が示されていない」とし、「当時のセキュリティレベルについては追加確認が必要である」と述べた。
さらに、今回の事故は内部アクセス手段管理の問題が浮き彫りになったクーパンの個人情報漏洩事件とも比較される。昨年クーパンで発生した個人情報漏洩事件では、元従業員が認証システムと署名キーを悪用した疑いが確認され、内部アクセス権と認証手段管理の問題が争点となった。業界は『みんなの起業』の情報漏洩も事業参加企業から発生した事件であることから、クーパンの事件と類似していると指摘している。
業界は今回の事故の処分の厳しさが、実際の漏洩規模や被害範囲、AIソリューション企業のAPIアクセス経緯、創業振興院の事前セキュリティ対策のレベルによって異なると見ている。ただし、漏洩規模や実際の被害範囲、該当企業のアクセス権の有無、創業振興院の安全措置の実施レベルがまだ確定していないため、現段階での厳罰化の可能性を断定するのは難しい状況である。個人情報委の関係者は「重大性の有無は調査を通じて確認しなければわからない」と述べた。
一方、創業振興院は事故を認識した後、個人情報漏洩通知書を作成し、情報主体にSMSで通知した。情報主体が個人情報漏洩の有無を確認できるように、ホームページに確認機能を設け、追加の被害を最小限に抑えるための被害受付窓口も運営する計画である。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
