2021年4月に婚活マッチングサービス「Omiai」の会員情報約171万件が流出した事故がありました。
原因は、外部からの不正アクセスでしたが、
この時流出したのは、以下のような年齢確認書類の画像データでした。
◇年齢確認書類画像データ:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
※上記のうち運転免許証、健康保険証が全体の約9割以上
婚活マッチングサービスの会員情報ということで、
それだけでもセンシティブですし、
さらに流出したのが画像というのも、ものすごくダメージが大きい…
とても大きな事件として報道されていました。
その事故の再発防止対策が公表されましたので、共有いたします!
(株式会社ネットマーケティング(omiaiサービス運営会社)のHPから抜粋:
https://www.net-marketing.co.jp/news/6001/)
この資料の中には、いくつか対策が記載されていますが、
中でも注目は「会員情報の保存期間の変更」です。
そもそも、年齢確認用の画像データを
確認後も長期間保管しておく必要はあるのか??
というのが疑問でした。
年齢確認が終われば不要ですよね?
なぜそれを10年間も保管するルールになっていたのか…
(たぶん、会員情報を丸ごと一律で保管管理していたから)
おそらく、退会した方で今回の被害者となってしまった方は、
「え??退会したのに、自分の画像がまだ保管されていたの!?」と驚いたはず。
たとえ、利用規約に書いてあったとしても、違和感があります。
その部分も、しっかりと対策が強化され、保存期間が変更されるようです。
↓
これまで、「退会後一律10年間」となっていたものを、
本年12月1日より以下のとおり変更するとのこと。
・年齢確認書類画像データ:当社提出後72時間(自動削除)
・会員様の個人情報データ:退会後90日間
…そうですよね!そうすべきだと思います。
必要のないデータは持たない!←これ重要な原則です。
今回の事例は、とても教訓となる部分が多い事故だったと思います。
中でも、本人確認用の画像データの保管については、
さまざまなサービスで同様の管理があると思いますので、
これからの基準になるかもしれません。
一般ユーザの目も厳しくなっています。
ぜひ、自社のルールについても見直してみてください!!