（画像は同社Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

FX取引（外国為替証拠金取引）や海外株式取引サービスを国内で提供しているサクソバンク証券は、今年7月に発生した個人情報流出事件に関して、詳細な調査結果を公表しました。またあわせて金融庁から業務改善命令を受けたことも明らかになりました。

同社によると、今年7月に自社の顧客管理システムに不正アクセスがあり、マイナンバーを含む多数の個人情報が流出していたとのことです。

流出したのは、同社の顧客管理システムに登録されていた情報であり
（１）「ユーザーID」「氏名」「生年月日」「住所」「電話番号」「電子メールアドレス」など38,026名分
（２）本人確認書類の画像データ（運転免許証、保険証、パスポート、住民票、在留証明書、個人番号カード）750件。
このうちマイナンバーが含まれるものが378件
とのことです。

同社では、今回の不正アクセスは海外のハッカー集団による可能性があり、情報を公開するとの脅迫も行われているものの、悪意のある集団との対話や交渉は行う予定がないと態度を明らかにしていました。

なお、この事件を受けて、金融庁は、財務省関東財務局を通して、9月18日付で業務改善命令を出したとのことです。

同社によるリリース
https://www.home.saxo/ja-jp/about-us/security-incident/final-report-personal-information-leakage
https://www.home.saxo/ja-jp/about-us/security-incident/important-notice-about-personal-information-leakage-continued
金融庁による業務改善命令
https://www.fsa.go.jp/news/r2/shouken/20200918.html

（私のコメント）
マイナンバーが大量流出しており、注目いたしました。また、海外のハッカー集団から脅迫が行われているとのことでも、注目に値する事件です。

また、何か情報が入りましたら、皆様にシェアいたしますね。

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、東京国税局など委託元の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していたシステムズ・デザイン株式会社（東京都杉並区）に対して、2020年8月24日から１か月間「プライバシーマーク一時停止」の措置をとると発表しました。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

システムズ・デザインによる発表
https://www.sdcj.co.jp/dcms_media/other/news20181218.pdf

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf

（画面は上記文書より）

（コメント）
プライバシーマーク一時停止になるということは、欠格レベルが「8または9」ということです。これは事業者に重大な過失があったと判断されたということになります。

しかし、今回の対応は少し遅いですね。
　2018年12月　事態が発覚
　2019年8月　個人情報保護委員会による指導
　2020年8月　プライバシーマーク一時停止
新型コロナによる遅れがあったとしても、もう少しタイムリーに対応していただきたいなと思いました。

た、新しい情報が入りましたら、皆様にシェアいたしますね。

（画面はガーミン社Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

報道されている情報を総合しますと、GPS機器大手の米国ガーミン社に対して、7月末にサイバー攻撃がかけられ、同社の全ての業務が停止してしまったとのことです。

社内のパソコンやサーバーの内容が暗号化されたために、同社製品の利用者向けネットワークサービスが停止したのはもちろんのこと、社内業務から工場での生産までストップしたとのことです。一方で、同社には身代金支払いの要求があったとのことです。

このような場合に、どのように対応するべきでしょうか？

もちろん、このようなサイバー攻撃は、多くの国における違法行為です。国内法においても威力業務妨害罪や、不正アクセス禁止法違反などにあたる可能性が高いでしょう。ですから、司法当局によって取り締まられるべきなのです。

しかし、サイバー攻撃は国境をまたいで行われる場合がほとんどです。どこの国にいるのか分からない犯罪集団に対して、国際的な司法ネットワークと言っても無力である場合が多いのです。

どのような状況においても、企業としては、自社のビジネスを継続する必要があります。

今回のケースにおいて、同社は身代金を支払うことで、問題を解決したようです。

https://www.garmin.co.jp/
（同社からの公式の発表はありません）

このような被害は、いつ、どこの会社においても発生する可能性があります。情報セキュリティに対する取り組みの重要性を再認識させてくれる事件だと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

（画面は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、官報に掲載された破産者の個人情報を無断でデータベース化して公開している2つのWebサイトに対して、個人情報保護法に基づく停止命令を出しました。個人情報保護委員会が個人情報保護法第42条第2項に基づく「命令」を出すのは初めてのようです。

今回の命令にあたっては、Webサイトの運営者が双方とも判明しておらず、命令を送付できないため、「公示送達」という方法を採用（裁判所等の掲示板に2週間掲示することにより意思表示するもの）するなど、かなり異例の対応が取られているようです。

個人情報保護委員会としては、対応期限の8月27日までに対応がなされない場合には、刑事告発を行うとしています。

https://www.ppc.go.jp/news/press/2020/200729kouhou/

（私のコメント）
以前にも同様のWebサイトが存在していたことがあり、その際には個人情報保護委員会が個人情報保護法第41条に基づく「指導」を行い、そのWebサイトは閉鎖されたようです。今回はどうなるでしょうか？

また、何か情報が入りましたら、皆様にシェアいたしますね。

（画像は愛知県Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

愛知県は、今回の新型コロナ対応を行う中で、誤ってWebサイトに個人情報を掲載してしまった感染者に対して、一人あたり最大4万円の賠償金を支払うと発表しました。

これは、5月5日の朝に、新型コロナ感染者の詳細な個人情報を操作ミスにより掲載してしまい、外部からの指摘を受けて45分後に取り下げたというものでした。

掲載されてしまった情報は、下記の項目で490名分とのことです。
　感染者の氏名、入院先医療機関、入院日、転院先医療機関、転院日、退院日、
　発生届提出保健所、クラスターの名称及び分類
（氏名が含まれていなかったものもあるようです）

これに対して、愛知県としては、下記の金額を賠償金として支払うとしています。
　氏名が掲載された人（396人）：一人当たり4万円
　氏名が掲載されていない人（94人）：一人当たり2万円

https://www.pref.aichi.jp/site/covid19-aichi/pressrelease-ncov200528.html

（私のコメント）
「賠償金額は過去の裁判例を参考に判断した」との説明がありますが、裁判も起こしていない段階で支払う金額としては史上最高額なのではないかと思います。正直言って、かなりの大盤振る舞いです。


また、何か情報が入りましたら、皆様にシェアいたしますね。

（画像は前橋市Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、前橋市は、2018年に発覚した特別支援学校の児童生徒の個人情報約5万件などが流出事件に関連し、ネットワークとシステムの運用管理を委託していたNTT東日本に対して、1億7千万円の損害賠償を請求する訴訟を提訴したとのことです。（前橋市Webサイトには本件は掲載されておりません）

1億7千万円の内訳については、システム復旧の際の対策費用を算出したもので、昨年よりNTT東日本に対して請求するべく交渉を続けてきたものの、同社がそれに応じないために提訴となったもののようです。

（私のコメント）
個人情報流出事件に関して、このような形でシステムを担当する会社が訴訟される事例は珍しいと思います。従来の個人による個人情報流出に関する訴訟は「精神的苦痛」に対する賠償が中心でしたが、今回のような被害を受けた団体からの訴訟は「復旧対策費用」という実額が算出されているものですので、全く性質が異なることに興味を持ちました。

また、何か情報が入りましたら、皆様にシェアいたしますね。

（画面はJIPDECのWebサイトより）

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、委託元の熊本市の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していた合同会社NEW FEEL（熊本県熊本市）に対して、1月10日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

プライバシーマークの取り消しは、先日のリクルートキャリアに続くものです。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

熊本市の広報発表
https://www.city.kumamoto.jp/hpKiji/pub/detail.aspx?c_id=5&id=24289&class_set_id=2&class_id=3054

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf

（画面は上記文書より）

（コメント）
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。

（画面はJIPDECのWebサイトより）

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、就職希望者に対して同意を取ることなく推定内定辞退率の第三者提供を行っていた株式会社リクルートキャリアに対して、11月14日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

https://privacymark.jp/news/system/2019/1114.html

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf

（画面は上記文書より）

（コメント）
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。

（画像はヤマト運輸Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。

流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報（カード番号の下4桁・有効期限・氏名）、アドレス帳情報（氏名・住所・電話番号）
3,467件
とのことです。

なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。

※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。

同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

（私のコメント）
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。

今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。

https://japan.cnet.com/article/35132120/

ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。

今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。

このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。

インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。

しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。

従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。

今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
（１）特定のIPアドレスから通信が行われている
（２）自社に登録していないメールアドレスでのログイン試行がある
（３）同一アカウントに対して何回もログイン試行がない（総当たり攻撃ではない）
（４）パスワード間違いの比率が80％から90％程度である（今回の事例では89％でした）
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。

※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も（１）などはすぐに対抗策を講じてくるとは思いますけどね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

（画像は7payアプリのスマホ画面）

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

（私のコメント）
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。