カテゴリ：個人情報漏えい事件

2023年03月03日

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです

（画像は実際に顧客に送付された手紙と金券）

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者（契約終了者も含む）の
姓（漢字、カタカナ）、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券（クオカード）を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

（私のコメント）
500円の金券を送付することは、2004年に発生したYahoo！BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円（2021年度）とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を（金額という形で）表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年02月17日

ソースネクストからカード情報含む個人情報約12万件が漏えい～公表まで1か月の妥当性を考える～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

（１）2022年11月15日～2023年1月17日の間に同社サイトで製品を購入した利用者
　個人情報120,982名分
　（氏名、メールアドレス、郵便番号、住所、電話番号　※一部は任意入力）

（２）上記のうち、クレジットカード情報を登録した利用者
　カード情報112,132名分
　（カード名義人名、クレジットカード番号、有効期限、セキュリティコード）

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き（費用は同社負担）などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日　クレジットカード会社から連絡を受ける
1月5日　Webサイトでのカード決済を停止
1月5日　第三者調査機関による調査を開始
1月6日　個人情報保護委員会に報告（速報と思われます）
1月10日　所轄警察署に被害申告
1月13日　総務省関東総合通信局に報告（電気通信事業者のため？）
1月17日　不正プログラムの特定と削除が完了
1月23日　調査機関による調査が完了
2月14日15時　本人へ通知メール発信
2月14日　公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

（過去の記事）
ワコム公式ストアからカード情報などが流出～発覚から公表まで3カ月かかる～
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年01月28日

JIPDEC、メタップスペイメントに対するプライバシーマーク取消しを発表

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。

同社では、2022年1月に不正アクセスによる個人情報（クレジットカード情報含む）の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。

この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。

JIPDECからの発表
https://privacymark.jp/news/system/0127.html

メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html

（私のコメント）
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。

プライバシーマーク付与に関する規約
（別紙）欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年11月21日

ワコム公式ストアからカード情報などが流出～発覚から公表まで3カ月かかる～

（画像は同社のWebサイト）

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

（１）2022年2月19日～4月19日の間の「ワコムストア」での購入者
　クレジットカード情報最大1,938件
　（名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス）

（２）2021年2月22日～2022年4月19日の間の「ワコムストア」の利用者
　個人情報最大147,545名分
　（氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど）

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日　クレジットカード会社から連絡を受ける
8月22日　「ワコムストア」での販売・カード決済を停止
8月22日　個人情報保護委員会に報告（速報と思われます）
8月30日　第三者調査機関による調査を依頼
9月30日　調査機関による調査が完了
10月3日　埼玉県警に被害申告
10月17日　個人情報保護委員会に報告（確報と思われます）
11月21日　公表

https://estore.wacom.jp/ja-JP/info/202211

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止／再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年11月09日

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される

（画像は杉並区のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

（私のコメント）
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年11月28日

つるぎ町立半田病院でランサムウェア被害が発生～2億円かけて電子カルテ再構築～

（画像は同病院のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

徳島県のつるぎ町立半田病院でランサムウェア（身代金要求型ウイルス）の被害が発生し、病院の心臓部ともいえる電子カルテシステムのデータを全く読みだせなくなり、機能停止の状態に陥っています。報道によると、同病院では身代金を支払わず、約2億円をかけて電子カルテシステムを再構築する方針とのことです。

事件が発生したのは10月31日、電子カルテシステムにランサムウェアが感染。プリンターが勝手に動き出して「データを暗号化した。複号するためには身代金を払え」との内容が印刷されたとのことです。病院では、外部の専門会社にデータ復旧を依頼したがうまくいかず、そのまま病院としての機能が停止したようです。

同病院では、フォーティネット社のVPN機器を使用していたとのことですが、同社製品には以前から脆弱性が報告されており、ログインするためのアカウント情報のリストが公開されるという危機的な状態が続いていました。しかし、同病院はその対応を取っていなかったために狙われたのでないかと推測されます。

同病院では新規の患者受け入れを停止し、患者から情報を聞き取って紙のカルテを作成するという対応を取っており、今後の方針としては身代金は支払わず、約2億円をかけて新しい電子カルテシステムを再構築する方針とのことです。

つるぎ町立半田病院
http://www.handa-hospital.jp

VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起（Security NEXT）
https://www.security-next.com/129771

（私のコメント）
今回の事態で明らかになったように、フォーティネット社のVPN機器の脆弱性をそのままにしておくことは組織崩壊の危機を招きます。同システムを使用されている会社の方は、今すぐ対応することを強く推奨いたします。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2021年11月28日

製粉大手「ニップン」が不正アクセスにより会計システムが全停止～業績発表を延期する事態に～

（画像は同社のリリース文より）

皆さんこんにちは。
プライバシーザムライ中康二です。

製粉大手の株式会社ニップン（東証一部上場）は、2021年7月に、何者かによる大規模なサイバー攻撃を受けたことにより、社内の業務システムの多くのデータが暗号化されて読みだせなくなり、バックアップサーバも同様の被害を受けたとのことです。これにより同社は上場企業に義務付けられている四半期報告書を通常のスケジュールで作成できなくなり、8月から10月まで公表を遅らせる事態となりました。

この事件については、詳細が明らかにされておらず、原因などが不明なのですが、同社のリリースからは
・社内のサーバーと端末の多くで一斉にデータが暗号化されて読みだせなくなった。
・バックアップシステムも同様にデータを暗号化されて読みだせなくなった。
・オンラインバックアップも同様にデータを暗号化されて読みだせなくなった。
・全ての社内ネットワークを停止したために一時的に全業務（生産管理除く）が停止した。
・生産管理システムには影響はなかった。
・会計報告については、伝票を手入力することにより集計し、作成する。
ということが分かっています。

同社のリリース文
https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/08/16/20210816-1.pdf

（私のコメント）
一部上場企業を攻撃対象にしたとんでもない規模の事件です。犯人はどのようにしてこれを実行したのでしょうか？ネットワークに侵入し、少しずつサーバーを乗っ取っていき、準備を万端に整えたうえで、一気に実行に移ったように見えます。同社としても一定のセキュリティ対策は取っていたと思われますが、悪意を持った人たちに狙われるとこうなるという貴重な事例として、日本のビジネスパーソンには認識を新たにしていただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2021年04月14日

Facebook、5億人の個人情報流出は「スクレイピング」によるものだそうです

（画面は同社Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

Facebookの利用者の5億人分の個人情報が流出し、闇サイトで販売されているとの報道に対して、米国Facebook社は「スクレイピング」により抽出されたものだと発表しました。

スクレイピングとは、特定のプログラムを使用して公開されているWebサーバーにアクセスすることにより、データを自動的にダウンロードさせることであり、Googleなどの検索エンジンも使用している一般的な仕組みです。

Facebookには、スマートフォンの住所録をアップロードしてお友達を自動的に検索してレコメンドする機能があり、今回はこの機能が利用規約に反して悪用されたとのことです。

「スマートフォンの住所録をアップロードさせてお友達をレコメンドする」という機能は、Facebookだけではなく、LINEなどその他の多くのSNSでも利用されてるものですが、携帯電話番号やメールアドレスを入力するだけでその人のアカウント情報を知ることができるため、今回のようなことができることは理論上、誰にでも分かっていたと思います。

今回は、あたかも架空の電話番号（例えば00000000001から99999999999までの全ての数）を大量にスマートフォンに登録し、その住所録をFacebookにアップロードしたかのような挙動をするプログラムを作成して作動させ、Facebookのサーバーはまんまとそれを真面目に処理してしまったということのようです。

同社では、2019年9月にこの問題に気づき、現在は同様のことは起こらないようにしたとしていますが、それはあくまでも架空の電話番号を大量にアップロードした場合に拒否するように対応したということであり、この機能自体を廃止したわけではありません。

今回のような方法で自分のアカウント情報を公開されたくない場合には、Facebookのプライバシーの設定にある「メールアドレスであなたを検索できる人」「電話番号でああたを検索できる人」の設定を見直すことをオススメします。どちらも「自分だけ」にすれば、今回のルートを遮断できます。

https://www.facebook.com/settings?tab=privacy

Facebook社の公式発表
https://about.fb.com/ja/news/2021/04/facts-on-news-reports-about-facebook-data/

Wikipedia「ウェブスクレイピング」
https://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B9%E3%82%AF%E3%83%AC%E3%82%A4%E3%83%94%E3%83%B3%E3%82%B0

Facebookで使用しない方がいいと思うひとつの機能(改訂版)（過去記事）
https://www.pmarknews.info/archives/51852736.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年04月01日

個人情報保護委員会がLINEに立ち入り検査を実施

（画像は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、LINE株式会社の個人情報の取り扱いについて、適法性が問われる事態になっていることに関して、現在の取組状況を公表しました。

公表された内容によると、3月19日に同社に対して報告の徴収を行い、同社から回答を得たとのことで、3月26日に上記の文書が発表されました。また、マスコミでの報道では、3月31日に同社に対する立ち入り検査も実施したとのことです。

今回、適法性が問われているのは
個人情報保護法第22条（委託先の監督）
個人情報保護法第24条（外国にある第三者への提供制限）
とのことです。

詳細は明らかにされてはいませんが、
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
について、調査が行われていると思われます。

（私のコメント）
現在の個人情報保護法では、外国にある第三者へ個人情報の取り扱いを「委託」する場合には
①委託先がEUに所在すること
②委託先が日本の個人情報保護法の義務規定と同水準の体制を持っていること
③法令に基づく場合など例外の場合
④本人が同意していること
のいずれかを満たすことが求められます。

今回の場合は②または④が適用になります。同社が本当に委託先に日本と同水準の義務規定を満たさせていたのか、または本当に本人の同意を取っていたのか、そのあたりが焦点になるのではないかと思います。

個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年03月29日

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！

（画像はLINEのプライバシーポリシーより）

皆さんこんにちは。
プライバシーザムライ中康二です。

LINEの個人情報の取り扱いが問題になっています。

主に今回取り上げられているのは
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。

私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI／親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。（よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️）

ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。

それは【長すぎるプライバシーポリシー】問題です。

同社のプライバシーポリシー（リンクを下に貼っておきます）はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。

そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。

（１）個人情報の利用目的（第18条）
（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）
（５）保有個人データに関する事項の公表（第27条）

これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。

（１）個人情報の利用目的（第18条）

やはりいちばん重要なのは「個人情報の利用目的」です。（取り扱う個人情報の項目ではなく）取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。

個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。

さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。

（クリックすると拡大します）

どうですか？ひとことで言って長過ぎます。

冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。

次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。

その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。（「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない）

本来、この利用目的の部分は、下記のように簡潔に記載できると思います。

------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
１）お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
２）当社サービスの開発と改善のため
３）セキュリティや不正利用対策を促進するため
４）お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------

これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。

（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）

次に提供の部分を抜粋してみましょう。ここは上記の３つの項目が関係します。

（クリックすると拡大します）

これまた長々と書きすぎています。

冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。

また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。

また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。

（５）保有個人データに関する事項の公表（第27条）

保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。

さて、これに関する記載はここかな？

これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。

結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」（＝問い合わせがあったら個別に対応する）こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。

LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

（私のコメント）

以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。

同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。

長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。

LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか？

同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。

また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。

このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。

今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ　中康二
（オプティマ・ソリューションズ株式会社　代表取締役）

2021年03月27日

システム開発会社の社員が、証券会社の顧客情報を盗み出して2億円を着服した事件が発生

（画像は両社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

オンライン証券大手の松井証券株式会社から、システム開発業務を受託していたSCSK株式会社の社員(当時)が、業務上知りえた松井証券の顧客情報を利用して、松井証券のサービスに不正ログインし、2億円以上を着服していた事件が発生しました。

同社員は、松井証券の顧客データベースから本物の「ログインID」「パスワード」「取引暗証番号」などを盗み出して悪用し、顧客と同姓同名の銀行口座を不正に作成して現金の引き出しに利用していたとのことです。

この社員は電子計算機使用詐欺罪等の容疑で警視庁に逮捕され、また懲戒解雇されているとのことです。この事件は、実際に行われたのが2017年～2019年であり、発覚したのが2020年とのことですが、捜査に協力する必要性からこれまで公表が控えられていたとのことです。

松井証券のリリース
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
SCSKのリリース
https://www.scsk.jp/news/2021/pdf/20210324.pdf

（私のコメント）
まあ恐ろしい事件ですね。ベネッセ事件でもそうでしたが、システム開発や運用を実際に行う人が悪意を持って動くとこういうことは起こりえると言えるのかもしれません。ただし、パスワードや取引暗証番号はハッシュ化（復号できないように変換すること）して、顧客本人以外には分からないようにするなど、出来心を許さないシステムにすることが重要なのだと思います。

また詳細は公表されておらず真相は不明ですが、同姓同名の銀行口座をどのように不正に作成したんでしょうね。特殊詐欺対策もあり、銀行口座を作る際のチェックは厳しくなっています。もしかして顧客が登録した本人確認書類を一部利用した可能性もあるのかなと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年03月05日

ドコモ口座事件の情報の出どころはソフトバンクだった～銀行の暗証番号数字4桁を他では使わないように～

（画像はドコモ口座公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年、大きな話題となった「ドコモ口座事件」では、架空に作成されたドコモ口座に、実在の銀行口座が登録されて、口座の残高がどんどん吸い取られてしまいました。

ドコモ口座のセキュリティが甘かったのは事実です。
銀行口座の口座番号と4桁の暗証番号だけがあれば登録できました。
そのことで、ドコモは社会的に非難され、お詫び会見を開く事態に追い込まれました。

それでも、そもそも口座番号と暗証番号の組み合わせは
どこから入手したのだろうという疑問が残っていました。

過去にはゴルフクラブの貴重品ボックスから流出したことがありました。
その時はこんな方法でした。
------------------------------------------------------------
・ゴルフクラブの顧客が貴重品ボックスの暗証番号に銀行と同じ4桁を設定して財布を預ける
・貴重品ボックスには盗難対策として監視カメラがついていて、登録した数字4桁が読み取れるようになっていた
・顧客がゴルフプレイをしている間に、従業員が監視カメラの映像から数字4桁を読み取り、その数字4桁でロッカーを開け、財布の中の銀行カードをスキミングしてデータを複写
・複写したデータから銀行カードを複製し、記録しておいた4桁の暗証番号で預金を引き出す
------------------------------------------------------------
恐ろしいですよね。でもこれは実際に起った事件です。

最近の報道によると、今回のドコモ口座事件の流れはこういうことだったようです。
------------------------------------------------------------
・ソフトバンクの代理店の店頭で、顧客が自動引落で支払うために銀行の口座番号を記入する
・同時に顧客がソフトバンクのネットワーク暗証番号として銀行と同じ4桁を記入する
・代理店の店長が、氏名や連絡先と一緒に、口座番号と暗証番号をエクセルシートに保管する
・その情報を使用してドコモ口座に銀行口座の情報を登録する
・ドコモ口座を使って残高を不正に利用する
------------------------------------------------------------

これまた恐ろしい話ですね！

しかし、銀行の数字4桁の暗証番号をホイホイと関係のないソフトバンクの登録用紙に書いてしまったのがそもそもの原因なのです。

そういうことをしていない人は、ゴルフクラブの例でも、今回のドコモ口座の例でも、被害を免れているのです。

（今回の教訓）
金融機関の数字4文字を、関係のないところで使用しないこと
スマホの暗証番号なんかにも使っちゃだめですよ😅
これに尽きますね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ