2023年09月27日

一連のマイナンバーに関する問題に対して個人情報保護委員会が指導を実施

皆さんこんにちは。
プライバシーザムライ中康二です。

今年の春からくすぶり続けているマイナンバーとマイナンバーカードに関する問題。これはいわば政争の具になっており、問題が起こるたびに「デジタル庁はどうなっているんだ！」という話になり、河野大臣が人気を下げていますが、この騒ぎで飛んできた火の粉を被ることになったのが個人情報保護委員会（PPC）。

PPCは、もともと「特定個人情報保護委員会」として発足した組織でもあり、個人情報とマイナンバー全般に関する監視機関ですが、一方で「個人情報／マイナンバーの有用性に配慮する」という命題も抱えており、公正取引委員会／証券取引等監視委員会などのような規制当局としての強面（こわもて）の顔はあまり見せていなかったと思います。

しかし、2022年／2023年の個人情報保護法改正により、行政機関や自治体への監視権も得て、日本の公共／民間双方のセクターにおける個人情報／マイナンバーの取り扱いに関する監視を行わなければならなくなりました。

そこで起こったのが今回のマイナンバー問題。PPCとして初めて、行政機関を相手にして指導を行わなければならない事態になったというわけです。

9月20日、PPCは下記の二つの指導を行ったことを公表しました。

（１）公金受取口座の誤登録等

　デジタル庁に対して＞
　自治体が開設したマイナポイント支援窓口において、一人の操作が終わったあとログアウトしないまま他の人の口座を登録することによる誤登録が散発していたのに対して、デジタル庁が適切に対応しなかったために多数の誤登録を誘発する結果となったことに対する再発防止策の指導

　国税庁に対して＞
　確定申告の還付先口座を公金受取口座に登録する際、別人に紐づけしてしまったことに対する再発防止の指導

（２）コンビニでの住民票等の誤交付

　富士通Japanに対して＞
　利用者が集中して負荷が高まった際に他人の住民票などを誤交付してしまったことと、それが発覚後の対応も不十分であったことに対する再発防止策の実施と結果の報告

　各自治体＞
　委託先の監督の観点から再発防止策を取るように指導

https://www.ppc.go.jp/news/press/2023/20230920_02/
https://www.ppc.go.jp/news/press/2023/230920_01/

（私のコメント）
PPCの文書を見ると、とても詳細に調査を行い、問題点を明らかにしています。それはマスコミの報道などとは全く違う世界観です。丁寧に丁寧に問題を分析し、どこがよくなかったのかを淡々と記載し、そして二度とこういうことは起こさないようにという指導を行っています。大変意義深いものだと感じます。

ちなみに今もまだ問題としてマスコミをにぎわしている「マイナンバーカードの健康保険証利用における紐付け誤り」については、PPCからの指導は出ていません。次はこれが来るんだろうと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年09月26日

個人情報データベース等不正提供罪で初の逮捕事例～名刺クラウドのIDを不正流用～

（画像は日経新聞のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、都内の建築関連の人材派遣会社に勤めていた男性が、同社で活用していた名刺管理クラウドのアカウント情報を転職予定先の会社に知らせ、転職予定先の社員がその名刺情報を営業活動に不正利用したことにより、警視庁に逮捕されたとのことです。

報道の内容と人材派遣会社の発表を総合すると、今回の事件は下記のようになります。
・同社が活用していた名刺クラウドには数万人の名刺情報が登録されていた
・本人のアカウント情報ではなく、同僚のIDパスワードを転職先に知らせた
・転職予定先の会社では不正に取得した情報を元に営業活動を行い、契約も成立させていた
・逮捕容疑は個人情報保護法と不正アクセス禁止法違反の疑い
・個人情報保護法は個人情報データベース等不正提供罪（179条違反）と考えられるが、この条項での逮捕事例は全国で初めて。これまで顧客情報の不正提供に関しては、不正競争防止法の営業秘密侵害での摘発が行われてきたが、今回は不正競争防止法違反に必要な「秘密管理性」「有用性」「非公知性」の3つの条件を満たすことができないと判断され、今回は個人情報保護法と不正アクセス禁止法での摘発となった
・不正アクセスが行われたのは2021年6月から2022年9月までで、同社がパスワードを変更したことによりこの不正アクセスは終了した
・同社では、下記の対応を取ったとのこと。
　①流出した可能性のある人全員に通知し、謝罪を行った。
　②個人情報保護員会への報告を行った
　③セキュリティ対策の強化等を実施した

元勤務先のニュースリリース
https://worldcorp-jp.com/news/2023/20230915.html

（私のコメント）
ついに「不正競争防止法違反」「不正アクセス禁止法違反」に次いで、「個人情報保護法違反」で捕まる時代がやってきましたね。これらは刑事事件になりますから、ある日突然警察の人がやってくる訳です。のんびりしていられない事態になります。

そのような事態にならないためにも、セールスフォースやSansanといったクラウドサービスを利用して顧客データベースを構築している場合には、二要素認証やシングルサインオンなどを利用して、不正利用されないための対策をしっかり取ることが重要になると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2023年07月26日

社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を正式発表

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム（本社：大阪市）は、7月19日付で、これまでの調査で明確になった事実を取りまとめて正式に発表しました。

結果的には「一切の情報漏えいは確認できなかった」ということになりました。特にマイナンバーは別管理をしていたから漏えいの可能性は一切ないという発表です。

以下、同社の公表内容を要約します。

6月5日　同社の複数のサーバー上のデータが暗号され、システムが停止
　　　（ユーザー数3400）
　　　　ランサムウェアによる被害と判明、ネットワークを遮断して対処
　　　　外部の情報セキュリティ専門会社に対応要請
6月6日　大阪府警に連絡
　　　　Webサイトに情報を掲載①
6月8日　個人情報保護委員会へ速報
6月9日　Webサイトに情報を掲載②
6月21日　Webサイトに情報を掲載③
6月30日　一部サービスを再開
7月19日　個人情報保護委員会へ確報
　　　　Webサイトに情報を掲載④

外部の第三者による侵入経路、不正アクセスの影響を受けたサーバー機器、侵害状況と漏えいの恐れのある情報範囲については、いずれも調査の結果判明しているとのことですが、「今後のことを考慮して」非公表としています。

また、情報が外部に漏えいした可能性は完全には否定できないものの、これまでの調査の結果では漏えいの痕跡は確認できておらず、またダークウェブなどにも掲載されていないとのことです。

エムケイシステム社
「当社サーバへの不正アクセスに関する調査結果のご報告（第３報）」
https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

（以前の記事）
6月13日付　社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害～1000万人マイナンバーは無事か？～
6月20日付　社労士向けクラウド「社労夢」不正アクセス事件の続報～1000万人マイナンバーは無事と弁明～
7月6日付　社労士向けクラウド「社労夢」がサービス再開～情報流出はなかったらしい～

（私のコメント）
「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持ってこの事件に注目してきましたが、一応の収束を得ました。情報漏えいはなかった、特にマイナンバーに関しては漏えいは確実になかったとのことで、ホッとしました。（侵入してデータ暗号化までしておいて、持ち出さなかったとは、攻撃者が初心者でミスしたのかもしれません）

そして、同社は事件発覚から1か月半で、個人情報保護委員会への確報までたどり着いていて、振り返ってみると意外と短い期間で収束させたということになります。しかし、その過程において、今回の事件ほど混乱と不透明性が伴ったことはないという感想を持ちました。これは何だったのでしょうか？

それは同社の広報体制が「最低限のことしか公表しない」「報道機関の取材にも協力しない」というスタンスであったことにあると思います。

「これは事件であり、捜査にも影響するから今は言えません」「マイナンバーは別システムで管理しており、今のところ攻撃された痕跡は確認されていません」というようなことだけでも対外的にきちんと説明していれば、もう少し不安は解消されたと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年07月14日

トヨタ自動車の漏洩事案に関して、PPCが個人情報保護法に基づく指導を実施～何が個人情報だったのか？～

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会（PPC）は、今年5月に発覚したトヨタ自動車株式会社（愛知県豊田市）での個人情報漏洩事案に関して、個人情報保護法第147条に基づく指導を行ったと7月12日付で発表しました。

今回の事件は、トヨタ自動車の利用者向けサービスである「T-Connect」「G-Link」に関するもので、約10年間にわたり、合計230万人分の下記の情報がインターネット上から閲覧できる状態にあったとのことです。

T-Connect　車載機ID、車台番号、車両の位置情報、時刻
G-Link　　　車載機ID、更新用地図データ、更新用地図データの作成年月日等に関する情報

また、この業務は関連会社のトヨタコネクティッド株式会社に委託されていたとのことです。

PPCが指摘したポイントは下記の３点です。
①これらの情報が個人情報であるとの認識がされていなかったこと
②サーバーの設定に不備があり、意図せずインターネット上に公開されていたこと
③委託先の監督が不十分であったために、事態が放置されていたこと

PPCは、トヨタ自動車に対して再発防止策を立案し、実行することを指導しました。

https://www.ppc.go.jp/news/press/2023/230712_01/

（私のコメント）

今回の事案は「名前」が含まれていない個人情報の漏洩事案であり、少し珍しい事態です。どこが個人情報と認識され、PPCが指導したのでしょうか？

ここでもう一度、個人情報の定義に立ち返ってみたいと思います。個人情報の定義は、「生存する個人に関する情報であって、特定の個人を識別できるもの」です。これには「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とされます。では今回、漏洩したとされる情報のどこが個人情報なのでしょうか？

それは「車台番号」に秘密があるように思います。車台番号というのはメーカーが自動車を製造した際に発行される通し番号だそうです。車台番号は車検証に記載されているほか、クルマの室内の見えにくいところに刻印されており、所有者でない限り容易には見れないようになっています。ただし、この車台番号をメーカーのWebサイトなどに入力すれば、どの車種のどのグレードなのかなどが容易に分かるようになっているとのことです。

では、今回漏洩したと言われる情報を使って、どのように本人を特定できるのか、シミュレーションをしてみたいと思います。

自分が探偵であり、ある特定のターゲットの動向を追いかけているとします。その人は高級なトヨタ車に乗っており、「T-Connect」サービスに加入しています。そうすると、今回漏洩していたデータからその地域にいるクルマをざっと検索し、車台番号から車種とグレードを調べることで、ターゲットは数台に絞り込まれます。しばらくそのクルマの移動を追いかけて、絞り込んだ数台の位置情報と照合すれば、いつかはそのクルマの車台番号を特定することができるでしょう。そして、いったん車台番号を特定してしまえば、そのあとはそのクルマが「いつ」「どこ」を走っていたのかをいくらでもインターネット上で知ることができるようになります。

これが「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に含まれるのかどうかは、個人的には少し疑問があります。しかし、今回のPPCの指導からひも解くとすれば、この解釈くらいしかないのではないかなと思いました。

今回のPPCの指導の裏側にある事情は私は知りません。海外ではダイレクトに個人情報が漏洩していた事案も発生していたようです。今やトヨタ自動車といえば、日本経済を支える最大の企業グループですから、しっかりしてほしいという考えもあるのかもしれません。同社が再発防止を行い、このような事案を起こさない体制を作られることを私も望みます。

（参考記事）
【用語集】個人情報の定義は何ですか？どこまで含まれるのですか？
https://www.optima-solutions.co.jp/dictionary/kojin_joho/

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年07月06日

社労士向けクラウド「社労夢」がサービス再開～情報流出はなかったらしい～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム（本社：大阪市）は、サービス停止から約1か月の7月3日付で、一部サービスを再開すると発表しました。

このサービスは、国内の勤労者800万人以上（とその家族）の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模であり、その動向が心配されていました。

同社では、最低限の情報しか公表していないため、依然として全容がつかめていませんが、同社としては
・従来の環境ではなく、AWS（Amazonクラウド）上でシステムを構築した。
・サービス再開にあたり、セキュリティ面の強化を実施した。
・個人情報流出の痕跡は発見されていない。
・マイナンバーは、他の社労夢製品とは切り離した別環境で完全に暗号化されている。
と説明しており、情報流出はなかった模様です。

エムケイシステム社リリース
https://www.mks.jp/company/topics/20220703a

（以前の記事）
https://www.pmarknews.info/accident/52173171.html
https://www.pmarknews.info/accident/52173440.html

（私のコメント）
当初「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持って注目手してきたこの事件ですが、今のところ収束に向かって動いているようです。ただし、同社の情報公開が不十分であることは変わりなく、同社にはどこかのタイミングでしっかりと外部に説明していただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月20日

社労士向けクラウド「社労夢」不正アクセス事件の続報～1000万人マイナンバーは無事と弁明～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

6月5日に、社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止してから既に2週間が経過しました。このサービスは、国内の勤労者800万人以上（とその家族）の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模を誇っていました。

しかし、本サービスを運営しているエムケイシステム（本社：大阪市）は、6月9日を最後に、Webサイト上で事件に関する情報を公開していません。

2023-06-20_14h13_01

顧客である社労士に対してはもう少し詳細な事情説明を行っているようで、Twitterなどではそれらの情報がちらほら見えますが、我々部外者には分からないことです。

驚いたことには、日経新聞の6月13日の記事によると、同社は記者の取材要請に対して「サイバー攻撃に関する問い合わせは受けない」と回答したそうです。

また、東京新聞が6月15日に「マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える」とのタイトルの記事で本事件に触れたことに対して、同社は「東京新聞に掲載された記事について」とのリリースをWebサイトに掲載。その中で「同記事は事実に基づかない全くの憶測にすぎず、（中略）東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するように要請すべく、弁護士に相談している」と反発する姿勢を見せています。

ただし、その同じリリース文において、同社はようやく正式にマイナンバーの取扱いについて弁明を行いました。それによると「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。（中略）現時点では情報流出の事実は確認しておりません」としています。

同社の強硬な態度を見ると、マイナンバーの流出はないのかなあと推測できます。
（今のところはそういう風に理解するしかないのではないかと思います）

日経新聞の記事
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/

東京新聞の記事
https://www.tokyo-np.co.jp/article/256708

エムケイシステムの反論リリース
https://www.mks.jp/company/topics/20230616
（相変わらずWebサイトは重いままです）

（以前の記事）
https://www.pmarknews.info/accident/52173171.html

（私のコメント）
同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとのことです。これを基に、家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれているのではないかと私は推測しています。

しかし、これまでのところ、エムケイシステムの対応は遅く、情報開示も十分にはされていないため、憶測が憶測を呼び、混乱を招いていると言わざるを得ません。
「もしかして1000万人分のマイナンバーが流出しているから何も言えないのかなあ」
「6月22日に株主総会があるからそれまでは公表しないのかなあ」
「国会のマイナンバー審議に影響があるから黙っているのかなあ」
「岸田首相はこの事実を知っているから解散しないと言い出したのかなあ」など、
もちろんこれらはどれも憶測に過ぎませんが、情報を隠すからこそ、このような状況になるのだと思います。

また、全国の社労士事務所、そしてその顧問先に与える影響は私の予想を超えるものだと思います。社会保険関係の手続きが急に紙ベースに戻り、標準報酬月額の見直しと労働保険の申告という年に一度のイベントを乗り切れるのか、不安に感じている関係者も多いことでしょう。

さらに、PPCへの事故報告やプライバシーマーク審査機関への事故報告をどうするのか、事故報告したくても情報がないため詳細不明のまま出すしかないというような状況も生じています。私たちの会社でも、複数のお客様から問い合わせを受けて対応しています。

私自身、過去18年間にわたり、国内の個人情報流出事件を綿密に追ってきましたが、これほど混乱と不透明性が伴う事件は初めてです。情報開示が極めて少なく、対応が不十分であると感じています。

とにかく、同社からの続報を待つことにしたいです。

繰り返しになりますが、私としては、大事件に発展せず、早急に解決されることを願っております。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月13日

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害～1000万人マイナンバーは無事か？～

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面停止～1000万人マイナンバーは無事か？～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」などを展開する株式会社エムケイシステム（本社：大阪市）は、同社が利用しているサーバーに不正アクセスがあり、サーバー上のデータが暗号化され、サーバーが動作を停止したと6月6日に発表しました。

今回、被害が発生したのは、
　・社労夢V3.4
　・社労夢V5.0
　・社労夢Company Edition
　・ネットde顧問
　・MYNABOX
　・MYNABOX CL
　・ネットde事務組合
　・DirectHR
であり、同社の主要サービスがほぼ全面停止したと言ってよいのではないかと思われます。

その後、同社が公表した内容によると、
6月5日早朝　データセンター上のサーバーがダウン
　　　　　　外部専門家の協力の上、調査を開始
　　　　　　インターネット回線を切断
　　　　　　対策本部を設置
　　　　　　警察への通報を実施
6月8日　　　個人情報保護委員会への報告（速報）
と、緊急対応を続けているようです。

同社ではバックアップしていたデータを復旧させることにより、一部のサービスの復旧を進めているとのことですが、6月12日現在、主要サービスの全面復旧には至っていないようです。

https://www.mks.jp/company/

（私のコメント）

同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとしています。家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれている可能性があります。情報漏えいの可能性は現時点では確認されていないとのことですが、万が一の場合、被害は甚大となることが懸念されます。

なお、今回の事態については、現段階では詳細は不明ではありながらも、不正アクセスによる被害とされていますので、個人情報保護委員会（PPC）への「報告対象事態」に当たる可能性が高いと思われます。そのため、多くの社労士事務所ならびに顧問先事業所が、PPCへの事故報告を行ったか、またはその準備をしているものと思われます。

ただし、一件の事件に関して、全国2754か所の社労士事務所と、57万社の顧問先事業所から個別に報告が行われたとしても、PPCがすべてに対応することは困難であり、かえって混乱を招く恐れもあると思います。今回は大元のエムケイシステム社がすでに報告していることもあり、各事業者からのPPCへの報告は現段階では見送ってもいいのではないかと思います（これはあくまでも私の個人的意見です）。ただし、それとは別に本人通知は行う必要があると思います。

とにかく、もう少し詳細が明らかになれば、PPCへの報告ならびに本人通知の必要性や内容の検討などを行えるようになると思います。同社からの続報を待ちたいと思います。

私としては、大事件に発展せず、早急に解決されることを願っております。

（6月17日追記）
同社は東京新聞への抗議のリリースの中で、マイナンバーの流出の可能性はないと公表しました。もっと早く教えて欲しいですね。

https://www.mks.jp/company/topics/20230616

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月02日

マイナンバーカードへの信頼が揺るぐ事態に対し、個人情報保護委員会が対応方針を公表

マイナンバーカードへの信頼が揺るぐ事態に対して個人情報保護委員会が対応方針を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

健康保険証を廃止し、マイナンバーカードに機能を集約するマイナンバー法改正が成立したタイミングの中で、マイナンバーカードの利用に関する複数問題が浮上しています。これらの問題に対し、個人情報保護委員会（PPC）が対応方針を公表しました。ここでは、その概要をご紹介します。

これは、5月31日に開催された第244回個人情報保護委員会で議題に上げられたもので、対応方針案がPPCのWebサイトで公表されています。公表されている資料には（案）とついており、最終版ではありませんし、議事の内容もまだ掲載されていないため、確定した内容は分かりませんが、おおむねこの方針で進むことになるのであろうと思われます。

資料では、現在問題となっている事態を下記の3点に集約し、それぞれに対する着眼点と対応方針を記載しています。

（１）コンビニでの住民票等の誤交付
　各自治体＞委託先の監督に問題がなかったか
　開発元の富士通Japan＞安全管理措置の問題がなかったか

（２）マイナンバーカードの健康保険証利用における紐付け誤り
　健保組合＞規律を順守していたか
　厚生労働省＞確認手順について適切に通知していたか
　実施機関＞登録チェックの仕組みに改善点はないか

（３）公金受取口座の誤登録等
　デジタル庁／国税庁＞共有端末でのマイナンバーの利用に関する対策は十分だったのか
　自治体＞窓口での対応は適切であったのか
　国税庁＞事務の実施手順は適切であったのか
　
PPCとしては、今回の事態に対して、あくまでも規制当局として、マイナンバーの運用に関わる主体（自治体、健保組合、デジタル庁、国税庁など）に対して、監督権を行使する方向で対応するようです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230531/

（私のコメント）
この対応方針は、PPCが規制当局であることを再認識させるものです。マイナンバーやマイナンバーカードの普及を目指す各主体に対し、法的な枠組みの整備と監視を行い、問題が発生した場合には、それを指摘して改善を促す。これにより、個人情報の保護と社会全体の効率化・最適化が実現される。そういうPPCの方向性がはっきりと示された対応方針だなと感じました。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年05月10日

マイナンバーカードを利用したコンビニ証明書発行を一時停止に～河野デジタル大臣が発表～

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、3月以降、トラブルが何度も発生している
「マイナンバーカードを利用したコンビニでの証明書発行サービス」
について、河野デジタル大臣は、
システムを一時停止して徹底的な再発防止を図るように
指示したとのことです。

このサービスは、コンビニでマイナンバーカードを利用して、
住民票の写し、印鑑証明書や戸籍謄本を交付するサービスですが、
今年3月以降、別人の証明書が発行される不具合が13件発生しているといいます。

システムを開発・運営している富士通Japanでは、
システムの負荷が一定以上になった場合に、
このような事態が発生する可能性があるとのことで、
既にシステムの改修は終えたということですが、
それにも関わらず、また再発したことをきっかけに、
デジタル庁として徹底的な再発防止を求めたもののようです。

NHKによる報道
https://www3.nhk.or.jp/news/html/20230509/k10014061271000.html
河野デジタル庁記者会見（2023年5月9日）
https://www.digital.go.jp/speech/minister-230509-01/

（私のコメント）
住民票は、マイナンバー（個人番号）を印字することもできるものです。
また印鑑証明書や戸籍謄本などは大変重要な文書であり、
別人に発行するようなことはあってはならないものです。

本件に関しては、広い意味ではマイナンバーに関する事項でもあり、
個人情報保護委員会（PPC）も関心を持っていると思われますが、
今のところ公式の見解や発表は出ていないようです。

また動きがあれば追いかけていきたいと思います。

（追記）
5月10日に開催された個人情報保護委員会で、本件が議題に上げられました。
番号法ならびに個人情報保護法に基づいて、各自治体に対する資料提供の求め、
富士通Japanに対する報告の徴収を行うとのことです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230510/

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年03月03日

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです

（画像は実際に顧客に送付された手紙と金券）

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者（契約終了者も含む）の
姓（漢字、カタカナ）、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券（クオカード）を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

（私のコメント）
500円の金券を送付することは、2004年に発生したYahoo！BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円（2021年度）とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を（金額という形で）表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年02月17日

ソースネクストからカード情報含む個人情報約12万件が漏えい～公表まで1か月の妥当性を考える～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

（１）2022年11月15日～2023年1月17日の間に同社サイトで製品を購入した利用者
　個人情報120,982名分
　（氏名、メールアドレス、郵便番号、住所、電話番号　※一部は任意入力）

（２）上記のうち、クレジットカード情報を登録した利用者
　カード情報112,132名分
　（カード名義人名、クレジットカード番号、有効期限、セキュリティコード）

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き（費用は同社負担）などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日　クレジットカード会社から連絡を受ける
1月5日　Webサイトでのカード決済を停止
1月5日　第三者調査機関による調査を開始
1月6日　個人情報保護委員会に報告（速報と思われます）
1月10日　所轄警察署に被害申告
1月13日　総務省関東総合通信局に報告（電気通信事業者のため？）
1月17日　不正プログラムの特定と削除が完了
1月23日　調査機関による調査が完了
2月14日15時　本人へ通知メール発信
2月14日　公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

（過去の記事）
ワコム公式ストアからカード情報などが流出～発覚から公表まで3カ月かかる～
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年01月28日

JIPDEC、メタップスペイメントに対するプライバシーマーク取消しを発表

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。

同社では、2022年1月に不正アクセスによる個人情報（クレジットカード情報含む）の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。

この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。

JIPDECからの発表
https://privacymark.jp/news/system/0127.html

メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html

（私のコメント）
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。

プライバシーマーク付与に関する規約
（別紙）欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーマーク・ISMSナビ

カテゴリ：個人情報漏えい事件