薬の購入履歴や自宅住所など含む個人情報70万人分が漏洩

エストニアの国家情報システム庁（RIA、注）は4月4日、薬局や病院に対して医薬品などを販売するアリウムUPIが管理する顧客カード所有者のデータベースが、2月に不正アクセスされ、顧客の個人コード、購入履歴、連絡先情報などが違法にダウンロードされたと発表した。

アリウムUPIは、エストニア国内に163店舗を構える薬局大手アポテーカと、そのパートナー企業であるアポテーカ・ビューティーとペットシティに対して統一したロイヤルティープログラム（顧客への特典提供プログラム）の運営・管理を行っており、今回のサイバー攻撃は、このアリウムUPIが管理していた顧客情報が狙われた。アポテーカなど3社は、国民IDカードを顧客カードとしても利用しており、店舗で個別のカードを発行していない顧客のデータも漏洩（ろうえい）した。

同庁の発表によると、本件については中央刑事警察庁サイバー犯罪局による刑事手続きが進められており、これまでのところ、約70万件のアポテーカなど3社の顧客カード所有者のID番号、40万件以上のEメールアドレス、約6万件の自宅住所、および約3万件の電話番号が、アリウムUPIのデータベースから違法にダウンロードされたことが判明している。また、2014年から2020年までの間に購入された市販薬やその他の製品についての情報も漏洩した。

アリウムUPIは、データが違法にダウンロードされた顧客に対して電子メールで個別に案内をしており、アポテーカなど3社を装った第三者から送られてくる各種メールに注意するよう呼びかけている。

人口約137万のエストニアは、先進的な電子国家として注目を浴びている。日本のマイナンバーカードに相当する国民IDカードは2002年に導入され、99％の行政サービスがオンラインで提供されている。一方で、サイバー攻撃の件数も多く、2021年には約29万人分のIDカードの顔写真データが漏洩する事案も発生している（2021年8月4日記事参照）。

（注）国家レベルでの情報システムの相互運用性を確保する情報システムの開発と管理を行う経済通信省管轄の機関。

（吉戸翼）