※2016年に公開した記事を再掲します。内容は今も有効なものです。

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、2016年6月に「インターネット等にマイナンバーカード裏面のＱＲコードを掲載することに対する注意喚起」と題した文書を公表し、マイナンバーカード（個人番号カード）裏面のQRコードの取扱いに関して注意を喚起しました。

同文書によりますと、マイナンバーカードの裏面のQRコードは一人ひとりの12ケタの個人番号を変換したものがプリントされており、このQRコードを不用意にインターネット上で公開などした場合に、第三者がそれを読み取ることで個人番号が知られてしまうということです。

マイナンバーカードの交付時に一緒に提供される目隠し用のビニールケースでは、QRコードの部分が隠れないので、問題になっているようです。

http://www.ppc.go.jp/files/pdf/280620_qrcode.pdf

（私のコメント）
手元のマイナンバーカードをQRコードリーダーに読み込ませてみて、ちょっと笑ってしまいました。皆様も不用意に公開したりすることのないよう、十分ご注意ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画面はGigazineより）

皆さんこんにちは。
プライバシーザムライ中康二です。

AIの発達により、まさにその人が話しているかのような音声を生成できるようになってきています。ニュースサイトGigazineで、音声合成AIを使って金融機関の声紋認証を突破した事例が紹介されています。従来、音声合成で本人とそっくりの声を実現するには、長時間のラーニングが必要でしたが、最近のAI技術の発達により、30秒ほどの本人の音声データがあればかなりの精度で自動生成できるようになってきたため、リスクがより大きくなってきていると言います。

また、別の記事では同様に音声合成AIを使って、オレオレ詐欺を行った事例が紹介されています。従来のオレオレ詐欺はまさに「オレオレ、俺だよ」と数打てば当たる方式でやってきているわけですが、実在の人物の声のデータを使って、本人の実家に電話をかけてこれをやれば、成功確率が上がりそうです。

さらに、声だけではなく、その人の顔の動きを自動的に生成する技術も登場しており、日本のベンチャー企業HENNGEは、決算発表の動画で、社長からのプレゼンテーションにAIで作った音声と映像を採用しました。同社では、細かな文言の修正や英語版対応を容易にできる効果があったと言います。

（画面はHENNGE社Youtubeより）

これらの技術を活用すれば「政治家のフェイク演説」や「亡くなった俳優が登場する映画」などを作成することも可能になります。実際に一部そのような事象が発生していると聞いています。今後、情報セキュリティの面でも、もっと広く政治・文化の面でも、これらの音声合成・画像生成AIの技術に注目する必要があります。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
https://gigazine.net/news/20230224-bank-account-ai-generated-voice/

「オレオレ詐欺」にAI製クローン音声を用いる事例が急増、被害額は年間15億円近くに
https://gigazine.net/news/20230306-phone-scam-ai-voice/

この社長、実は｢そっくりアバター｣。SaaS企業・HENNGEが｢分身｣で決算動画作った理由
https://www.businessinsider.jp/post-255836

（私のコメント）
声紋認証と言っても、それは声の周波数帯やイントネーションの特徴などを数値化して解析して活用するのだと思われます。音声合成AIも結局は同じことをして声を生成していると思われますから、声紋認証の方が人間よりも騙されやすいという傾向があるのかなと思います。今後、同じような問題が顔認証や指紋認証など、その他の様々な生体認証でも出てくる可能性が高いのではないかと思いました。AI技術の進展に要注意ですね。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像は実際に顧客に送付された手紙と金券）

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者（契約終了者も含む）の
姓（漢字、カタカナ） 、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券（クオカード）を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

（私のコメント）
500円の金券を送付することは、2004年に発生したYahoo！BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円（2021年度）とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を（金額という形で）表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

（１）2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
　個人情報120,982名分
　（氏名、メールアドレス、郵便番号、住所、電話番号　※一部は任意入力）

（２）上記のうち、クレジットカード情報を登録した利用者
　カード情報112,132名分
　（カード名義人名、クレジットカード番号、有効期限、セキュリティコード）

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き（費用は同社負担）などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日　クレジットカード会社から連絡を受ける
1月5日　Webサイトでのカード決済を停止
1月5日　第三者調査機関による調査を開始
1月6日　個人情報保護委員会に報告（速報と思われます）
1月10日　所轄警察署に被害申告
1月13日　総務省関東総合通信局に報告（電気通信事業者のため？）
1月17日　不正プログラムの特定と削除が完了
1月23日　調査機関による調査が完了
2月14日15時　本人へ通知メール発信
2月14日　公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

（過去の記事）
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。

同社では、2022年1月に不正アクセスによる個人情報（クレジットカード情報含む）の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。

この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。

JIPDECからの発表
https://privacymark.jp/news/system/0127.html

メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html

（私のコメント）
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。


プライバシーマーク付与に関する規約
（別紙）欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画面はNISCのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

政府は、サイバーセキュリティ基本法が施行された2015年から、毎年2月の第一稼動日を「サイバーセキュリティの日」、2月を「サイバーセキュリティ月間」と決めて、様々な啓発活動などを開催しています。

今年も、官民の様々なサイバーセキュリティに関するイベントをこの時期に集中的に開催し、政府からも情報発信することで、国民のサイバーセキュリティに対する関心を高めようとしています。

告知サイトに「サイバーセキュリティ対策9か条」として、日常生活で注意する点を分かりやすく解説して掲載しています。

https://security-portal.nisc.go.jp/cybersecuritymonth/2023/

（私のコメント）
情報化社会の進展により、サイバーセキュリティの重要性は、日々ますます高まっています。このよういな形で政府もサイバーセキュリティの啓発を行うことの意味は大きいと思います。全国で様々なイベントが開催されるようです。皆さんも参加してみてはいかがでしょうか？

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

昨年10月25日に、ISMS認証の規格であるISO27001が改訂され、
「ISO27001：2022年版」として登場してきました。

当社でも、すでに2022年版対応コンサルを開始しております。

そこで、これに関するISMS担当者勉強会を、
3月14日（火）にリモートにて開催いたします。

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

また、セミナーご説明資料に加えて、当社のISMS文書ひな形（抜粋版）や、
2022年版対応の適用宣言書など、他では入手できない資料も配布します。

なお、今回は講師からのレクチャーを聞いていただいて、
皆さんに時々実践課題をしていただいて、
気づいたことや質問をチャットに書き込んでいただく形式で進行します。’

皆さんのカメラとマイクは使用しませんので、
お気軽にご参加ください。

ISMS担当者の皆様、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

小田一茂
オプティマ・ソリューションズ株式会社・コンサルタント
広告代理店出身
ISMS専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：「ISO27001:2022年版対応セミナー」（ISMS担当者勉強会）

日時：2023年3月14日（火）
　　15：20〜17：30
場所：リモート（Zoomを利用します）
内容：ISMSの審査基準であるISO27001：2022年版対応を解説します。
講師：プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者：
　ISMS取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方
参加費：無料

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓


皆さんのご参加をお待ちしております！
プライバシーザムライ　中康二

（画像は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会（PPC）は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

（私のコメント）
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（写真は東海道新幹線の車窓から見えた富士山です）

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

（10）【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
　


（９）ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
　


（８）しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
　


（７）【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法（個情法）が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
　


（６）破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会（PPC）が11月に停止命令を出しました。改正法の第19条（不適正な利用）の初適用になるのではないかと思われます。
　


（５）マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
　


（４）ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
　


（３）【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
　


（２）【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001：2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
　


（１）【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
　


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです）

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。