「未来の万博」でまさかのアナログ事故──その背後にある問題とは
2025年に開催される予定の大阪・関西万博。世界各国が参加し、日本の「未来型社会」を象徴する一大イベントとして注目を集めています。
そんな万博の開催を目前に控え、思わぬトラブルが発生しました。
ウズベキスタン館の予約システムにおいて、他人の個人情報が閲覧可能な状態になっていたというのです。
今回はその詳細と、この一件が示唆する日本のIT体制の根本的な課題について掘り下げていきます。
ウズベキスタン館の「予約システム」に潜んでいた致命的な欠陥
問題が明るみに出たのは、2024年4月24日。
報道によれば、ウズベキスタンパビリオンの独自予約サイトにて、一部の利用者に他人のQRコードが誤って送信され、さらにそのQRコードを読み取ることで氏名やメールアドレスといった個人情報が閲覧できる状態だったといいます。
広報事務局によると、影響を受けた人数は「200人未満」とのこと。
しかし、これに対してネット上では「いつもの過小報告では?」という懐疑的な声が相次いでいます。
QRコードに関して簡単に補足しておくと、これは2次元バーコードの一種で、スマートフォンなどでスキャンすることでデータを読み取る仕組みです。
イベントの入場管理や予約確認などで広く使われていますが、個人情報と直接紐付けてしまうと、そのセキュリティは極めて脆弱になります。
なぜこんな初歩的なミスが起こったのか?──「短時間の大量予約」が原因?
事務局は今回の流出について「短時間に大量の予約が殺到し、システムに混乱が生じた可能性」を示唆しています。
しかし、これに納得する声は少なく、SNSや掲示板では「そもそものシステム設計がガバガバすぎる」「テスト環境で再現できなかったのか?」など、設計・運用の甘さを厳しく問う声が多数見られます。
実際、基本的なセキュリティ対策が講じられていれば、他人のQRコードが送信されるという事態は起きにくいはずです。
しかもそのコードを読み込むだけで、本来なら非公開であるべき情報が参照できてしまうというのは、完全に「設計ミス」と言われても仕方ありません。
実は万博だけじゃない、日本のITインフラが抱える深刻な問題
今回の一件は、単に万博の一部門で起きた小さな事故…では済まされない問題を浮き彫りにしました。
過去にも、日本の行政や公的機関ではたびたび個人情報の流出事件が起こっています。
たとえば、2021年には大阪市で職員がUSBメモリを紛失し、約46万人分の個人情報が危険にさらされた事件が記憶に新しいところです。
このような出来事を見るたびに思うのは、日本におけるデジタル化=便利」という短絡的な考え方の危うさです。
表面的な利便性ばかり追い求める一方で、情報セキュリティやユーザビリティ、危機対応の設計が圧倒的に追いついていないのが現実です。
「おもてなし」国家のITは本当に世界に誇れるのか?
万博は、日本が世界に向けて「未来の都市」「テクノロジーの力」を示す舞台。
その象徴とも言える場所で、他人の個人情報が漏洩するというのは、国としての信頼性にも関わります。
「おもてなし」や「品質重視」といった日本の強みは、今やITの世界では通用しづらくなってきています。
海外ではシステム開発の初期段階からリスク管理やセキュリティ対策を前提としたアーキテクチャが組まれているのに対し、日本では「動けばOK」「後から直せばいい」という風潮が根強いように見受けられます。
個人情報漏洩のリスクとその現実的な影響
「たかがメールアドレスくらい」と思う方もいるかもしれませんが、メールアドレスが流出すればスパムメールはもちろん、フィッシング詐欺(※1)やなりすましアカウント作成のリスクもあります。
加えて、名前とメールアドレスがセットで漏れることで、SNSやショッピングサイトなど他のアカウント情報と紐づけられる恐れもあるのです。
実際に被害が「確認されていない」とは言え、事後的に気づかないうちにトラブルに巻き込まれる可能性も無視できません。
※1:フィッシング詐欺…信頼できる組織を装って個人情報を盗み取ろうとする手口。詐欺メールや偽サイトが使われる。
まとめ – 未来を掲げるイベントだからこそ、ITの未来も問われる
大阪・関西万博は、日本の未来を象徴するイベントであると同時に、その足元を問われる試金石でもあります。
今回のような「QRコードで個人情報丸見え」という事態は、デジタル化の本質を理解しないまま突き進む危険性を、我々に改めて突きつけました。
システムの問題を単に「技術のせい」にせず、設計思想そのものを見直すことが今後の日本にとって重要です。
目指すべきは「動く」ことではなく、「守れる」IT。
“未来”を掲げる万博が、単なる見世物にならないためにも、この問題を他人事として終わらせてはなりません。