数週間前、IRS（内国歳入庁）から、税金が二重に申告されているという手紙が届きました。私は一度も申告したくないので、これは驚きでした。私の個人情報が盗まれ、そして、これ以上ないほど苛立たしい形でその事実を知りました。それがどのようにして起こり、どのように回復したかをお話しします。

まず、無害な警告サインが現れました...

「個人情報窃盗」という言葉はよく聞きますが、それが一体どういうものなのか、私は全く知りませんでした。でも、どうすれば避けられるかは分かっています。強力なパスワードを使い、パスワードマネージャーを使い、二段階認証を有効にすることです。自分が利用しているサービスがハッキングされたらどうなるかは分かっています。でも、実際に自分が個人情報を盗まれたとしたら、どうすれば分かるのでしょうか？

私の場合、Spotify アカウントでエンリケ・イグレシアスの曲が流れ続けなくなったのがすべての始まりでした。

2月上旬から、私は兆候に気づき始めました。サインインしていないサービスへの2段階認証コードが記載された、見覚えのないメールが数通届きました（つまり、システムは正常に動作していて、誰かが侵入していないということです）。最初は、あまり気に留めませんでした。企業のパスワードデータベースが漏洩するケースがこれほど多いことを考えると、いずれこういう事態になるだろうと思っていました。それに、実際には侵入されていなかったのですから。

最初の侵入はSpotifyでした。Facebookでは、パスワードマネージャーが生成するランダムな文字列ではなく、覚えやすいパスワードを使っていました。なぜなら、私は頻繁に入力していたからです。しかし、二段階認証で保護されているだろうと思っていました。Facebookアカウントは保護されていたものの、私がSpotifyアカウント（二段階認証は設定されていません）を使用している間、Facebookのログイン情報を使って誰かが私のアカウントを操作できてしまったのです。アカウントを乗っ取った犯人は、エンリケ・イグレシアスのアルバム「Sex and Love」から曲を再生し始めました。Spotifyのリモートコントロール機能のおかげで、その曲は私のコンピューターから再生され、侵入に気付きました。Facebookのログイン情報を変更し、Spotifyに再ログインしたところ、すべてうまくいきました。今にして思えば、もっとひどい事態が待っていると気付くべきでした。

...そして IRS が介入しました...

2月16日、必要な最終書類を受け取った翌日に、確定申告をしました。早めに申告することは、通常、なりすましを防ぐのに非常に効果的ですが、私はほんの数日遅すぎました。後で知ったのですが、2月8日に誰かが私の名前で確定申告をしていたのです。

2月26日、IRSから手紙が届きました。先ほど提出した申告書は私の名前で2番目であり、受理される前に本人確認が必要だという内容でした。結局、長い電話のやり取りになり、最初の申告書を提出した人が約2万ドルの過大な収入を申告し、私が実際に受け取る予定だった金額よりも約9,000ドル多い還付金を受け取っていたことが分かりました。もし私がもっと早くこの問題に気付いていなければ、詐欺師は相当な大金を手にしていたでしょう。

IRSとの電話を終えた後、自分の情報がどのようにして漏洩したのかを突き止めようとしました。すると、個人情報が盗まれたことに関する2つ目の奇妙な事実に気づきました。何が悪かったのか、本当のところは決して分からないということです。後に、私が納税申告に利用していたサービス「TaxSlayer」がセキュリティ侵害を受けており、おそらくそれが私の情報漏洩につながったと考えられます。もう一つの可能​​性は、昨年末に発生したT-Mobileのデータ侵害に私の情報が含まれていたというものです。いずれにせよ、どのサービスが詐欺師の侵入を許したのか、実際に何が起こったのかを100%確信することはできません。私にできることは、所有するすべてのアカウントを監査することだけです。これは、まずセキュリティ対策をしっかり行うことがいかに重要かを示しています。

同じような状況に陥った場合、問題に気付く前にIRSから連絡が来る可能性が高いです。ただし、情報が盗まれた可能性がある場合のIRSへの連絡方法については、こちらのIRSウェブサイトをご覧ください。

…短期間で全て解決しました…

税務署員との電話の後、やらなければならないことがたくさんありました。IRSは偽造申告を取り消してくれましたが、今度は紙の申告書を提出しなければならなくなりました。さらに、その申告書にはForm 14039「個人情報盗難宣誓供述書」（PDF）を添付しなければなりませんでした。少し面倒ではありますが、実際には比較的楽です。利便性は劣りますし、還付にも少し時間がかかりますが、生活に支障が出るほどではありません。

IRS は私に、できるだけ早く終わらせるべきちょっとした ToDo リストも渡しました。

• 連邦取引委員会（FTC）に苦情を申し立てる： FTCはIdentityTheft.govというサイトを運営しており、ここで苦情を申し立てることができます。申し立てられた内容は記録に残され、必要に応じて詐欺調査に使用されます。また、このサイトでは、個人情報を保護するために取るべきその他の手順についても説明しています。

• 3大信用情報機関のいずれかに通知する：あなたの情報が信用情報に影響を与えるために利用されたかどうかにかかわらず、Experian、Equifax、TransUnionのいずれかに、あなたの個人情報が漏洩したことを通知する必要があります。いずれかの機関に連絡すると、他の2機関にも通知されます。

• 社会保障局（ SSA）に連絡してください。SSAのウェブサイトにログインして、社会保障給付金の不正利用を監視することができます。社会保障番号が不正に利用される問題が繰り返し発生し、何をしても解決しない場合は、新しい番号を取得できる可能性があります。

これらの手順の多くは、こちらでも詳しく説明しています。個人情報が盗まれた場合はいつでも、できる限り徹底した対策を取ることが重要です。エンリケ・イグレシアスを軽視していた時に学んだように、最初の問題に対処したからといって、将来的に注意すべき大きな問題が起こらない、あるいはより深く掘り下げて予防する必要がある問題が起こらないというわけではありません。

…しかし、これが終わったかどうかは分かりません。

午後中ずっとフォームに記入し、電話をかけ、略語がわかる限りの連邦政府機関に連絡を取り続けましたが、まだ終わりませんでした。二度とこのようなことが起こらないように、念のため、自分のセキュリティについてすべて点検することにしました。パスワードマネージャーを使って、様々なパスワードの強度を確認しました。まず金融情報を保管するサービスをチェックしましたが、それだけに留まりませんでした。

また、資格を満たしていた無料の信用情報監視サービスに登録することにしました。企業が大規模なハッキング被害に遭うと、ほぼ必ずと言っていいほど、サードパーティ企業と提携して、一定期間の個人情報保護サービスを提供する契約を結びます。ハッキング被害を受けた企業のタグページをスクロールして見れば、きっとあなたも利用したことのあるサービスが見つかるはずです。信用情報監視は永久に無料で利用できます。私の場合、T-MobileがExperianの個人情報保護サービスを2年間無料で提供してくれたので、登録してみることにしました（正直に言うと、最初に提供された時に登録しておけばよかったと思っています）。

しかし、私にとって最も奇妙なのは、本当のクライマックスがないことです。個人情報が盗まれた原因が正確には分からなかったので、問題を「解決」できたのかどうかも分かりません。セキュリティ対策は万全だと三重に確認しましたが、完璧というわけではありません。幸いなことに、個人情報盗難の被害者を支援するための、私が思っていたよりも強力なシステムがあることを知りました。しかし、私の個人情報が盗まれたのは、運が悪かっただけでした。多くの人にとって、このような状況は、解決までに数ヶ月、あるいは数年にわたる災難の始まりであり、解決には果てしない電話、書類、そしてストレスの連続が必要になることもあります。自分には起こり得ないことのように思えるかもしれませんが、これほど多くの著名なハッキング事件が起きている今、ほぼ避けられない事態になりつつあります。備えておくに越したことはありません。