はてなキーワード:保険業とは
この社会の異常性の原因の一つは、プリーストリーというイギリスの発明家・作家が始めて、アメリカ北部のマサチューセッツやペンシルバニアに飛び火したカルト
ハーバード大学もユニテリアン関連機関で、奴隷制維持派で、南北戦争も起こしてた
日本にはアーサー・ナップが来た
若者教育に熱心で民族主義を煽るタイプ。シオニズムやナチズムも、統一もその流れ。
自民とか官公庁、裁判所、銀行業や保険業、不動産業、メディアなど、社会に影響する分野に多いらしい。
団体利益のためなら何でもありっぽい利権団体だよ。利権に手入れしようとした政治家は不審に死没していたりする。
彼らは他団体の成長をなんとしても妨げようとするから、汚いよ。
先ほど、NHKで損保ジャパンの情報漏洩事故について報道が出た。
1750万件というのは、国内の漏洩事例のなかでは5指に入るくらい、かなり大きい規模だ。
もっとも、マイナンバーやクレカ・口座情報は漏洩しなかったようなので、影響度で考えるとそこまで大きくないと見ることもできる。
この事例を眺めていて面白いと感じたポイントが2つあったのでずらずらと書いた。
不正アクセス自体は4/17~4/21にかけて発生したようだ。その後、4/25に損保ジャパンが第一報を出している。
(https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2025/20250425_1.pdf)
おそらく、第一報の後に調査やら金融庁への報告を行い、再発防止をとりまとめ、金融庁に再度報告、それから今回のリリースといった流れだろう。
流出情報の特定に時間がかかりそうなことを踏まえると、大企業にしてはそれなりにスピード感のある対応のように思える。
※筆者は損保での経験はないが、銀行や生保のシステムに携わった経験があり、金融システムの複雑性についてある程度勘所がある。そのため、今回のような事例で被害件数や他システムへの影響などを調べるのにかなり手間がかかりそうで、1か月ちょっとで正式発表まで持って行けたのはかなり汗をかいただろうと想像している。
気になったのはこのポイント。「指標管理を主としたサブシステム」とは、データ分析やBIを行うためのシステムのように見える。
こんなシステムに生の個人情報を大量に入れるわけはないので、おそらくこのサブシステムへの侵入を土台に、他システムやDBへアクセスされた(水平移動)と見るのが妥当ではないか。
「損保ジャパン 指標管理 システム」でGoogle検索するとそれらしきシステムの紹介が2つ出てくる。
こちらは今年3月に日経に載った、営業社員の活動管理システムだ。システムの内容はよくある行動管理系のもので目新しさはない。
営業管理系のシステムというのは基本的に社内で完結するため、情報漏洩のリスクは低い。社内NWからしかアクセスできないよう設計するのが一般的だからだ。
今回のケースはこちらのシステムではないか。ページ右下に「「SOMPO Report」の提供開始」とあり、”保険代理店自身が指標やアンケート結果を管理・確認できるツール「SOMPO Report」の提供を開始しました。複数の指標の総合的な分析に加え、お客さまアンケート結果をタイムリーに確認できることで、お客さまの声に基づく保険代理店の業務改善・品質向上を支援しています。”と書かれている。
SOMPO reportで検索すると代理店が画面をアップロードしてくれている。俺が心配することじゃないけどこれってWebにアップして大丈夫なのか?
https://lifesupport.agency/download/kpi-kanri.pdf
これを見るに、お客様アンケートの結果を集計して代理店活動にフィードバックするようなシステムに見える。
生の個人情報をこのシステムに保管しているかは不明だが、アンケートの集計に当たり契約者情報を参照しているのだろう。今回は、このシステムへの不正アクセスが行われ、その後にこのシステム自体の参照権限を用いるなどして個人情報が抜かれたのではないだろうか(現時点で公表されている情報は何もないため、これは妄想だ。不正アクセスの手段というのは非常に多岐にわたるので、これ以外の手法である可能性も全然ある)。
保険になじみのない人向けに説明すると、日本の大手損害保険は代理店方式で商売をしている。保険の提供や保険金の支払元は保険会社だが、保険を消費者(業界では契約者と呼ぶ)に販売するのは代理店だ。
損害保険と言えば自動車保険が最も有名だが、自賠責でも任意でも、保険の加入はディーラーや中古車販売業者で行う人がほとんどだろう。この場合、ディーラーや中古車業者が「保険代理店」として保険を売る資格を有しており、販売を代行しているという図式だ。
保険会社と代理店は全く別の会社なので、上記のSOMPO Reportのようなシステムを保険会社から代理店に提供する場合、インターネット経由でアクセスさせることが多い。このとき、セキュリティ対策をきちんとしないと不正アクセスされてしまうリスクが多いというわけだ。
余談だが、普通は代理店向けに保険会社が総合窓口的なシステムを提供し、その中の1メニューとして各システムが存在するという方式が一般的だ。ただし、保険というのは非常に情報システムが多く、1人のユーザーに対していくつもの異なるWebページを異なるユーザー情報で利用させるような仕組みがまだまだ残っている。SSOは一部分だけ導入済みというのが実情だ。更に脱線するが、保険代理店というのは複数の保険を扱うことが一般的だ。東京海上、損保ジャパン、三井住友海上、あいおい同和の大手4社に加えていくつか扱っているというケースが多い。それぞれの保険会社が複数のシステムに個別のIDを設定するため、代理店が業務全体で管理するユーザー情報が膨大になって業務を圧迫している。早く何とかしてほしい。
2024年10月に金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」(https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf)をリリースしたのは業界関係者なら記憶に新しいだろう。保険業界を含む金融分野の情報システムについて、実施するべきサイバーセキュリティ対策や管理方針をまとめたものだ。
メガバンクや証券会社、カード会社、保険会社はこのガイドラインへの対応でそれなりに手間をかけている。今回のインシデントを受け、ガイドラインが更新・加筆されるようなら追加の作業が発生して現場としてはかなり面倒なことになりそうだ。ベンダの立場からすると追加の発注をもらえるのでありがたいところだが……
個社の事故を受けてガイドラインに手を加えるようなことを金融庁がするか?と言われるとそんなことはなさそうな気もする。ただ、今回は件数が大きく、事故の詳細な内容によっては監督官庁として手綱を強める必要を感じるかもしれない。面倒なことにならないといいのだが……
損保ジャパンをはじめとするSOMPOグループの中には、セキュリティベンダも存在する。
「SOMPOリスクマネジメント株式会社」という名前で、脆弱性診断からセミナー、各種セキュリティ製品導入まで手広くやっているようだ。
従業員数は560名。セキュリティ会社としては大きめだろう。参考までに、ラックが2,295名、エムオーテックスが472名、GMOイエラエが302名。
外販事業で知名度が高い印象はないのでグループ会社向けにもセキュリティ診断等を提供しているものだと思うが、今回のシステムの診断とかはやっていたんだろうか。
正直なところAIの登場でマルウェア製作とかゼロデイ攻撃とかが簡単になってるし、侵入されてない/侵入され得ない大企業ってほとんど存在しないのでは?
儲けのほどはわからなかったが、子どもながらに中流の下くらい、2人の子どもを大学(公立)に入れることならなんとか・・・レベルの家庭だったと思う。
しかし、'00年代前後に進んだ保険業界の規制緩和によって、保険代理業の経営は苦しくなっていった。
家族会議の場で、父は、「こんなことになったのは、小泉政権のせいだ」と言った。
今ならわかる。確かに「規制緩和」という時代の影響をマトモに受けたのだろう、と。
しかし当時、借金を隠していた父への怒り心頭だった私たちは、「自分の怠慢を、時代のせいにするな」と、父をさんざん責めた。
父は何も言い返さなかった。ただ、家計の立て直しに向けて、それまで数十年吸っていたタバコを、家族会議の日からやめた。
それからは、母が司法書士に借金返済の相談をし、私たちも返済を手伝って、10年以上かかって返済を終えた。
しかしその頃、母のガンが発覚した。
後に聞いたところによると、少ない収入で何とか家計管理を続けてきた母にとって、突然の1千万円の借金、長期に渡る返済、子どもを大学へ行かせることができないかもしれない…という不安は、相当のストレスだったと言う。
借金がガンの直接原因ではないかもしれないが、母自身はそう捉えていた。
数年の闘病の後、母は他界した。
一人になった家で過ごすことを嫌がっていた父も、母を追うように病気で他界した。
もしあの時代に規制緩和がなかったら、父はここまで借金を作らずに済んだろう。
そして母も、借金返済のストレスを抱えずに、もう少し長生きできたかもしれない。
それは、実現しなかった仮想世界だ。
その世界では、財政は今ほど健全化していないかもしれない(今だって、健全とは言えないが)。
それでも、私の両親がまだ生きている世界。
ヤルタ会談で、ソ連のアレクセイ・アントーノフ陸軍大将は英米の戦略爆撃に対し2つ提案を行った。一つはソ連軍に対する誤爆を避けるためドイツを南北に縦断する線を引き、これより東への爆撃にはソ連の許可を取ること。もう一つは東部戦線へのイタリアやノルウェーからの増援を妨害するため、ベルリンとライプツィヒにある交通の結節点を麻痺させて欲しいということだった。
ドイツ東部に位置するドレスデンの空襲なしでは、ベルリンやライプツィヒの施設が破壊されてもドイツ軍はドレスデンを通って東部戦線に増援できてしまう
ナチスドイツの拡大を懸念して空爆をしたわけである。拡大するほど、あとで証拠を消す苦労がある。
東京にはナチスの行為を示すものが多く残されており、それを消さなければならず、降伏目的の空爆ではなかったかもしれない。
日本は日独文化協定を締結しており、東京にはドイツ福音派エヴァンゲリッシュの東郷坂教会もあった
この教会は靖国神社近くにあったが、東京大空襲で焼失し、組織は戦後は五反田に転居し、東郷坂の情報は殆ど公開していない
裕仁組は2月に停戦を検討し始めていたのに、硫黄島を争った(なお島津鹿児島の硫黄島の硫黄鉱業は、明治維新の原因の一つだ)。3月に東京大空襲を受け、近衛らはユダヤ人脈もあったのに、アメリカには停戦交渉してない。あるいは交渉した結果、8月の原爆に至っただろうか。
日本の戦闘計画は西側ユダヤ組から指示されていたことすら考えられる。ナチスが5月に降伏しても日本はせずに原爆を受けたわけだ。
では戦後のUSAIDへのナチス・ユダヤ資金の影はどうだろう。
ユダヤ人迫害を指導したメルク・フィンク投資銀行はユダヤ財閥を乗っ取った資金があった。後継のアリアンツ保険などの保険業界は、途上国支援職員に保険を売ったことは間違いない。