薬の購入履歴や自宅住所など含む個人ブラック ジャック カード ゲーム70万人分が漏洩

エストニアの国家ブラック ジャック カード ゲームシステム庁（RIA、注）は4月4日、薬局や病院に対して医薬品などを販売するアリウムUPIが管理する顧客カード所有者のデータベースが、2月に不正アクセスされ、顧客の個人コード、購入履歴、連絡先ブラック ジャック カード ゲームなどが違法にダウンロードされたと発表した。

アリウムUPIは、エストニア国内に163店舗を構える薬局大手アポテーカと、そのパートナー企業であるアポテーカ・ビューティーとペットシティに対して統一したロイヤルティープログラム（顧客への特典提供プログラム）の運営・管理を行っており、今回のサイバー攻撃は、このアリウムUPIが管理していた顧客ブラック ジャック カード ゲームが狙われた。アポテーカなど3社は、国民IDカードを顧客カードとしても利用しており、店舗で個別のカードを発行していない顧客のデータも漏洩（ろうえい）した。

同庁の発表によると、本件については中央刑事警察庁サイバー犯罪局による刑事手続きが進められており、これまでのところ、約70万件のアポテーカなど3社の顧客カード所有者のID番号、40万件以上のEメールアドレス、約6万件の自宅住所、および約3万件の電話番号が、アリウムUPIのデータベースから違法にダウンロードされたことが判明している。また、2014年から2020年までの間に購入された市販薬やその他の製品についてのブラック ジャック カード ゲームも漏洩した。

アリウムUPIは、データが違法にダウンロードされた顧客に対して電子メールで個別に案内をしており、アポテーカなど3社を装った第三者から送られてくる各種メールに注意するよう呼びかけている。

人口約137万のエストニアは、先進的な電子国家として注目を浴びている。日本のマイナンバーカードに相当する国民IDカードは2002年に導入され、99％の行政サービスがオンラインで提供されている。一方で、サイバー攻撃の件数も多く、2021年には約29万人分のIDカードの顔写真データが漏洩する事案も発生している（関連ブラック ジャック ゲーム）。

（注）国家レベルでのブラック ジャック カード ゲームシステムの相互運用性を確保するブラック ジャック カード ゲームシステムの開発と管理を行う経済通信省管轄の機関。

（吉戸翼）