プライバシーマーク・個人情報保護blog @pmarknews

米国の総合ネットワークサービス「Google」が、ほぼ全てのサービスに統一して適用されるプライバシーポリシーを作成し、3月1日から適用すると発表しました。

同社によると、これまでは各サービス毎に個別のプライバシーポリシーを作成して適用していたものを今回統一するとのことです。このポリシーは3月1日を持って自動的に施行されるもので、これを許容できない利用者に対しては、Googleの利用を停止して他のサービスに移行することを呼びかけています。

今回発表されたプライバシーポリシーは、内容的には比較的一般的なもので、特別な内容が含まれているようには思えません。ただし、具体的に何が変わるのかが誰にでも分かるように提示されているわけではありません。そのため、EUが適用延期を求めたり、ライバルのマイクロソフトが批判広告を新聞に掲載したりといった事態になっています。
http://www.google.com/policies/　（メインサイト）
http://www.google.com/policies/privacy/preview/　（新・プライバシーポリシー）
http://www.google.com/policies/terms/　（新・利用規約）

（私のコメント）
私自身、Googleのヘビーユーザーであり、私の多くの個人情報がGoogleのサーバーに格納されています。そういう意味で、自分も当事者の一人として今回のプライバシーポリシー改訂を見ていますが、正直言って利害関係的に何が変わるのか不明確なので、どうにもこうにも釈然としない感覚はあります。
特に釈然としない点を一つ上げてみたいと思います。同社は、今回のプライバシーポリシーにおいて、利用者の利用履歴、「ログ情報」を取得するとして下記の各項目を挙げています。

• お客様による Google サービスの使用状況の詳細（検索キーワードなど）
  
• 電話のログ情報（お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時、通話時間、SMS ルーティング情報、通話の種類など）
  
• インターネット プロトコル アドレス
  
• 端末のイベント情報（クラッシュ、システム アクティビティ、ハードウェアの設定、ブラウザの種類、ブラウザの言語、お客様によるリクエストの日時、参照 URL など）
  
• お客様のブラウザまたはお客様の Google アカウントを特定できる Cookie

ここをもっと明確にするべきでしょう。Googleは、ユーザーに意識させることなく様々な操作履歴を取得しています。それがこのログ情報なのですが、上記の記載ではまだまだ不明確です。たとえば、Gmailの本文に含まれるURLを開いた時には、そのURLがログとしてGoogleに収集されます。このログ収集は隠しURLのテクニックを使用しているので、ほとんどの利用者はそれに気づいていません。このような状況で同社がログをかき集めている状況は、私としては極めて不適切であると考えています。
結局のところ、私は「今後もGoogleを信用してデータを預ける」ことを選択します。多くの方々もそうすることでしょう。しかし、このような状況は決して最適な状態ではないと思います。

皆さんのご意見もお聞きしたいです。ご意見はFacebook上の「プライバシーマーク研究会」にお書きいただければと思います。

https://www.facebook.com/pmarknews　（プライバシーマーク研究会）

2月は、政府の定めた「情報セキュリティ月間」です。

官房長官の談話が出ています。また、特設サイトも更新されています。

官房長官談話
http://www.kantei.go.jp/jp/tyokan/noda/20120131message.html
国民を守る情報セキュリティサイト
http://www.nisc.go.jp/security-site/month/index.html

1月23日に都内で開催された「第三回データセキュリティ勉強会」において、ソーシャルメディアリスク研究所・代表の田淵義朗氏が講演し、「本人が大変な目にあうことを自覚させるソーシャルメディア教育が必要」と説明しました。

田淵氏の発表によると、
・ソーシャルメディアというと、Twitter／Facebookだけと考える人がいるが、2ch、カカクコム、一般のBlog、Yahoo!知恵袋、Mixi、食べログなど、もっと古いものが沢山ある。
・これら「自分発信メディア」は、人の知らないことを書きたいという習性を持つので、どうしても企業の内輪話を書く人が出てくる。
・組織の内部と外部を分けて内部統制を及ぼすという考えはもう古い。私物のパソコンやスマートフォンが当たり前の時代には、社員の「自立統制」をもたらす社員教育が必要である。
・都内高級ホテルの女性アルバイトが、来客者の情報をツイッターで漏らした事件では、数時間のうちにホテル名、女性アルバイトの氏名、顔写真などが特定された。
・あれもダメ、これもダメの教育は、限界にきており、「本人が大変な目にあうことを自覚させる」教育が必要である。
とのことでした。

田淵氏のプレゼンテーションは多くの参加者の注目を集め、参加者からは社内教育に使用したいのでプレゼンテーションのデータが欲しいとの要望が多く出されました。

※この勉強会は、ハードディスク物理破壊機「CrashBox」の製造販売元である日東造機株式会社をはじめとする幹事各社（弊社も参加しています）が主催する勉強会で、当日は70名ほどの関係者が参加しました。

1月23日に都内で開催された「第三回データセキュリティ勉強会」において、（社）情報セキュリティ相談センター事務局長の萩原栄幸氏が講演し、「アンドロイドのウイルス対策はまだ”ないよりまし”というレベルである」と説明しました。

萩原氏の発表によると、
・Android向けウイルスの中には、管理者権限を奪い取って動作するものがあるが、実はユーザーには管理者権限が与えられていないので、ユーザー側では対処できない。
・現在のAndroid用ウイルス対策ソフトも、同様に管理者権限を持っていないため、事実上ウイルスに完全に対処することができない。
・その意味で、Android用ウイルス対策ソフトは、BIOSレベルで機能するパソコン用ウイルス対策ソフトとは水準が違う。まだ、”ないよりまし”なレベルである。
・アンドロイドマーケットの審査はかなり厳しくなっているので、ここでウイルスが混入する心配は小さいが、審査の緩いマーケットプレイスは危険であり、ウイルス対策ソフトを入れたからと言って安心してはいけない。
とのことでした。

最後に、萩原氏は、スマートフォンのセキュリティ対策については、日本スマートフォンセキュリティフォーラム（JSSEC）が昨年12月に発表した「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」を参考に対策を取ってほしいとして、講演を終了しました。
http://www.jssec.org/dl/guidelines2011_v1.0.pdf

※萩原氏の講演内容について、さらに詳しくお知りになりたい方は下記の記事をご参照下さい。
http://www.itmedia.co.jp/enterprise/articles/1112/26/news015.html

※この勉強会は、ハードディスク物理破壊機「CrashBox」の製造販売元である日東造機株式会社をはじめとする幹事各社（弊社も参加しています）が主催する勉強会で、当日は70名ほどの関係者が参加しました。

情報セキュリティに関する専門サイト「Scan NetSecurity」の記事によりますと、中国の裁判所で、日本政府のWebサイトに対して集団で攻撃をしかけたり、ハッキングツールを有償で販売などしていた悪質なハッカーに対して、懲役5年の判決が下ったとのことです。

詳しくは記事本文をご参照ください。

http://scan.netsecurity.ne.jp/article/2012/01/12/28087.html

（私のコメント）
日本政府のWebサイトが中国から攻撃される度に、中国政府の関与が取りざたされてきました。今回の判決により、１）それらの攻撃は必ずしも政府が率先してやっているわけではなく、２）悪質なハッカーに対しては、中国政府としても放置しない、という姿勢が明確になったと思います。少し安心しますね。

（写真は前回のプライバシーマークOFF会の開催風景です）

プライバシーマーク取得事業者の担当者の皆様に相互に懇親を深めていただくための「プライバシーマーク新年会」を開催いたします。皆様のお越しをお待ちいたします。

日時：2012年1月23日(月)　16時受け付け開始
　第一部　データセキュリティ研究会（16時20分〜18時30分）
　第二部　懇親会（18時30分〜20時）
場所：アットビジネスセンター大手町2階会議室
　地下鉄「大手町駅」より徒歩1 分
会費：5000円 （懇親会参加費含む。会場にて集金します）
主催：オプティマ・ソリューションズ株式会社

※今回の新年会は、日東造機さん主催のデータセキュリティ研究会＋懇親会」と同時開催とさせていただきます。

共催イベントということもあり、プライバシーマーク取得事業者様以外の方も多数ご来場されますが、できるだけプライバシーマーク取得事業者の皆様の相互の懇親を深めていただけるように会場で工夫いたしますので、皆様ご安心してお越しください。

詳細は下記のURLをご覧ください。
http://optima-solutions.jp/misc/20120123.pdf

EMCジャパン株式会社（東京都渋谷区）は、12月26日付けで、同社が提供しているフィッシングサイト閉鎖サービス「RSA FraudAction」により閉鎖されたフィッシングサイトが、2003年のサービス開始以来で全世界50万サイトを突破したと発表しました。

この「RSA FraudAction」というのは、フィッシング詐欺をはじめとするインターネット上での犯罪から、企業とその顧客を守るためのサービスです。24時間365日体制で監視/検出し、企業に対して警告し、サイトを閉鎖させるとのことです。

AFCC（Anti-Fraud Command Center）という不正対策指令センターにいる130名以上の専門家が、24時間365日体制で監視し、フィッシングサイトを見つけ次第、プロバイダに連絡して閉鎖するんだそうです。このサービスは、世界185カ国でサービス提供されていて、日本でも金融機関を中心に41社が採用しているそうです。

http://japan.rsa.com/press_release.aspx?id=11623

（私のコメント）
このサービスはすごいですね。こういうのがあるから、最近はアプリを利用したフィッシング詐欺が多くなっているのかも知れませんね。

独立行政法人情報処理推進機構（IPA）技術本部 セキュリティセンターが12月20日に発表した「情報セキュリティの脅威に対する意識調査」の結果によりますと、パソコンやスマートフォンなどの情報機器やインターネットサービスを利用する際のパスワードについて、「サービス毎に異なるパスワードを設定している」と回答した人が21.7％にとどまり、約8割の人は「パスワードを使い回し」していることが分かりました。

パスワードの使い回しは大変危険な行為です。

たとえば、複数のオンラインショッピングサイトで同じパスワードを使用している場合、一つのオンラインショッピングサイトの社員が悪意を持ってあなたのパスワードを使用すると、他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

たとえば、一つのオンラインショッピングサイトでパスワードの流出事件が発生すると、その情報を使用して他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

このように、パスワードの使い回しは、相手の良心にゆだねているだけと言えるのです。
これをお読みの皆様、今すぐにパスワードの使い回しはやめていただきたいと思います。

http://www.ipa.go.jp/security/fy23/reports/ishiki/index.html

12月14日に、一般社団法人日本コンピュ−タシステム販売店協会（JCSSA）が主催した「脅威を増すサイバー攻撃に対する情報セキュリティ対策の強化〜標的型サイバー攻撃／新しいタイプの攻撃の手口と対策〜」というセミナーに参加してきました。講師は、独立行政法人情報処理推進機構（IPA）のセキュリティセンターの大森さんでした。

大森さんの講演内容は、ここ数年のサイバー攻撃の変化、その中での「標的型攻撃」の詳細と、それに対してどのような対策が出来るかを網羅しており、とても分かりやすいものでした。一方で、一筋縄では対策出来ないこともよく分かる内容となりました。

特に、標的型攻撃メールについては、
●日本語のメールで
●自分に関係のある話題の内容について
●知っている人のメールアドレスから
●自分のメールアドレス宛に
送られてくるものであり、さらに
●ウイルス対策ソフトに引っかからない
ので、開く前に見分けることは極めて困難ですし、
●ウイルスはこっそりと動作する
ので、その後も気づかない場合が多いとのことです。

その上で、大森氏としては、江戸時代の「入り鉄砲に出女」の発想を活かすべきであるとして、出口対策の重要性を訴えました。出口対策とは、外部からの侵入を許してしまったとしても、それ以上内部で活動させたり、データを流出させないために様々な工夫を組み合わせて対策することです。

（私のコメント）
要は、今のハッカーというのは、ウイルスを無差別にばらまいて何かが起こるのを期待するのではなく、特定の組織をターゲットにして、非常に丁寧に攻撃を仕掛けてきており、日々創意工夫をこらしながら目的を達成しようとしているわけです。ですから、対策する側も一定の機械的な対応ではダメで、非常に丁寧に見ていかないといけないということのようです。まったくやっかいな時代になったものだと思います。

講師はIPAの大森さんです。