【悲報】パスポート情報100万件が流出！ずさんなデータ管理の実態とは？

個人のパスポート情報100万件がネット上に流出するという大規模なデータ侵害が発生しました。詳細は以下のリンク先で確認できます。

・The Vergeによる詳細記事:
https://www.theverge.com/tech/947157/passports-data-breach-cannabis-club-systems-nefos-puffpal

・セキュリティ専門家Bruce Schneier氏による分析:
https://www.schneier.com/blog/archives/2026/06/one-million-passports-leaked-online.html

セキュリティ管理の甘さが招いた深刻な事態です。改めてシステムの堅牢性と個人情報の取り扱いに注意が必要です。

私のパスポートも流出対象に入っているに違いないけど、パスポートの所有者には流出の通知が行くのかな？

なんてこった、かなりひどいな。

これらの文書は、大麻クラブやNefosという企業が使用するシステムにホストされていた。Nefosは、ヨーロッパ全土の大麻小売店やクラブの会員管理や年齢確認を行うプラットフォーム「PuffPal」を運営している。これらの身分証明書（パスポートの全ページスキャン、写真付き運転免許証、氏名、識別番号など）を保存していたインフラが、一般公開されたウェブサーバー上で完全に無防備な状態で放置されていた。

これほど大量の個人情報（PII）を流出させて、GDPRでどれほどの制裁金が科されるのか想像もつかない。

セキュリティがずさんなのは置いておくとして、そもそもなんで情報を保持し続けているんだ！

確か、GDPRの原則の一つに「保存の制限」があったはず。つまり、必要以上の期間個人データを保持してはいけないということ。今回の場合、データはユーザーの年齢確認のためだけに必要であり、一度確認が済めば（人が若返るなんてことはない限り）二度と必要ないはず。

身分証明書を使って本人の確認と年齢が達していることの確認が完了したら、その文書のコピーを保持する理由なんてどこにもない。

アカウントと本人が一致するかを確認するために顔写真を保存するのは妥当で公平かもしれないけど、せいぜいそれくらいだろう。

何が起きたのか注目してほしい。パスポートという高価値な認証情報が、大麻販売店での年齢確認という付随的で低価値な認証システムに使われていた。そして、ハッキングされたのはその低価値なシステムの方で、結果として高価値な認証情報が危険に晒されている。

なぜこういうシステムは、確認が終わった後もユーザーのデータを持ち続けているんだ？

これってFacebookで有名なあのCAのことか？ https://en.wikipedia.org/wiki/Cambridge_Analytica
もしそうなら、どうしてまだ存続してるんだ？

身分証明などでパスポートが重要なのはわかるけど、旅行する人は宿泊したほぼすべてのホテルでパスポートをスキャンされたり、写真に撮られたり、コピーを取られたりしているよ。サムイ島のホテルの奥にある靴箱にコピーが突っ込まれているような状態が、きちんとした保存プロトコルだなんて到底思えない。

なぜこれが広範ななりすまし詐欺に発展しないのか不思議だ。それとも、実際に起きてるんだろうか？今のところ、少なくとも私の身には…幸いなことに起きていないけれど。

文書保存システムにパスワード保護なし
機密性の高い本人確認データに暗号化なし
認証不要でアクセス可能な公開URL
アクセスログや監視システムの不在

セキュアなストレージの悪い見本市（ビンゴ）みたいだな。CTF（Capture The Flag）のデモですら、もう少しまともだぞ。そもそも保持する必要すらない文書を、何のセキュリティもなしに保存しておくなんて。

最近はあまりに多くの情報が流出しているから、こういうニュースを聞いても驚かなくなってしまった…

本気でプライバシーを守りたいなら、オフラインで保存するか完全に破棄するしかないってことを、みんな理解した方がいい。

データにアクセスする利便性は、すべて攻撃対象となりうる。

ハッキングの必要はなかった。文書は認証も暗号化もなしの直接URLからアクセス可能だった。

一部の裁判所が何を「ハッキング」と見なすかを知ったら、驚くと思うぞ。

「なりすまし（identity theft）」なんてものは存在しないってことを覚えておいたほうがいい。あるのは「詐欺（fraud）」だけだ。自分自身には何の落ち度もなかったんだから。