先日、あるテレビ番組を見ていて出演していた素人さんの個人情報が容易に特定できたので、それについてお話をしたいと思います。これをソーシャルエンジニアリングと呼んで良いのかどうか悩みましたが、広い意味でのソーシャルエンジニアリングだろうと言うことで、この呼称を使わせてもらいます。

その番組で、その出演者(素人さん)の事を「キャラ弁が得意でSNSに全公開で投稿している」と言う本人の言葉を放送しており、Facebookのその人のタイムラインを姓のみボカシを入れて紹介していました。一部にボカシを入れているのは一定の配慮だと思いますが、名の部分は番組内でも紹介されておりアイコンにボカシは入っていませんでした。あと、居住している都市名が紹介されていました。そこで、弊社ではこれだけの情報を元に特定作業をしてみました。使った情報は番組内でオープンになっていた「漢字名」と「キャラ弁を投稿しているという事実」および「ボカシが入って紹介された漢字姓の文字数」および「居住地の都市名」です。

その結果、「漢字名」と「キャラ弁を投稿しているという事実」を使って検索しただけで即座に、ある程度の範囲まで絞り込まれました。あとは、そこの中から「ボカシが入って紹介された漢字姓の文字数」を頼りに絞り込んだ結果、1名に絞られました。そして「居住地の都市名」でビンゴです。作業を始めてから5分も掛からずに特定できました。怖いですね。もちろん、番組内で紹介されていたアイコンもビンゴです。

素人さんを出演させる番組が多い現在では、こういう僅かな情報で個人を特定できてしまう事実にも配慮をした個人情報の隠蔽が必要だと思います。その番組では「一般的に考えられる程度の個人情報の隠蔽」はされていましたが、それでも特定できてしまいました。致命的だったのは趣味を紹介されていたことと、該当の方が「全公開で」趣味の投稿をしていたことでしょう。

これは、何もテレビ番組に出演したときだけ気をつければ良い話ではありません。

例えば、初めて会う人に対して自分のことをどこまで明らかにするでしょうか?私は基本的に必要最低限の情報に絞り込んでいますので、趣味とか交友関係とかは明らかにしませんし、もちろん、SNSで知り合った人ならば本名も(姓名共に)明らかにしません。何故かというと、それらを明らかにすることによって先の例のように容易に個人を特定できてしまうからです。特に企業経営者であり、自分の会社のウェブサイトを持っていることで、ある意味公人の状態になっていますので尚更です。

まあ、実は実験を兼ねて匿名SNSでも比較的容易に特定できるようにはしてはあるんですけどね。それでも一般の人は特定できないようですので、特定作業って難しいのかな?とは思いますが、事件絡みで個人情報を匿名掲示板に晒されることも多々あるわけですので、先のような情報が僅かに自分の口から漏洩しただけでも特定は容易であると認識すべきだと思います。

性差別ではないのですが、特に女性や子供は事件に巻き込まれ易いので要注意だと考えた方が良いかと思いますし、番組制作者は情報セキュリティに非常に詳しい人に依頼して、可能な限り情報を暈かすことを考えた方が宜しいかと思います。

今の世の中に「匿名」なんてものは存在しないのです。