データブローカー大手LexisNexis、個人情報漏洩で36万4千人以上が影響を受ける データブローカーの大手企業であるLexisNexis Risk Solutionsが、2024年12月25日に発生したサイバーハックにより36万4千人以上の個人情報が漏洩したことを公表しました。同社は、ソフトウェア開発用のサードパーティプラットフォームから消費者の個人情報を取得された可能性があると報告しています。 LexisNexisの広報担当者ジェニファー・リッチマン氏によれば、ハッカーは同社のGitHubアカウントに不正アクセスしたとのことです。漏洩した情報には、名前、生年月日、電話番号、住所、メールアドレス、社会保障番号、運転免許証番号などが含まれています。 この事件の具体的な経緯はまだ分かっていませんが、リッチマン氏は2025年4月1日に、「未知の第三者から情報にアクセスしたという報告を受けた」と述べています。同社は、ハッカーから身代金要求があったかどうかについては明らかにしていません。 LexisNexisのようなデータブローカーは、億単位の収益を上げている業界の一部であり、大量の個人および金融情報を収集し、販売することで利益を得ています。LexisNexisは、消费者の情報を用いて企業が詐欺行為を検出し、リスク評価や顧客検討を行うのを支援しています。 昨年、ニューヨーク・タイムズは、自動車メーカーが所有者の明示的な同意なしに車両の走行習慣に関するデータをLexisNexisに共有していたことを報道しました。そのデータが保険会社に売却され、運転距離や運転习惯に基づいて保険プレミアムが決定されていたと伝えられています。 また、法執行機関も容疑者の個人情報を得るためにLexisNexisを利用しており、名前、自宅の住所、通話記録などの情報を活用しています。 先月中には、トランプ政権がバイデン時代に制定された規制を廃止しました。この規制は、データブローカーが個人および金融情報を売却することを制限し、信用照会機関や賃貸審査会社と同じ連邦プライバシー規則を遵守することを義務付けていました。ホワイトハウスのラッセル・ヴォート氏は、連邦官報に「この規則は必要でも適切でもない」と書き込みました。これに対して、プライバシー保護団体からは長い間、個人情報保護の強化を求める声が上がっていました。 【更新】LexisNexisからのコメントを追加しました。