プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報漏えい事件

2018-10-23 16.13.47
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、大規模な不正アクセス事件を起こしているFacebook社に対して、個人情報保護法に基づく指導を行ったとWebサイト上で発表しました。

2017 年に改正施行された個人情報保護法で、外国法人であっても、国内にいる人に対してサービスを提供している場合には、国内の個人情報取扱事業者と同等の義務規定の適用を受けることとされました(第75条)。今回は事実上これが初めて適用された例ではないかと思われます。

今回の指導は3つのポイントに関するものとなっています。

⑴ ソーシャルプラグイン(いいね!ボタン)
⑵ ケンブリッジアナリティカ事案
⑶ 不正アクセス事案

(1)については、「いいね!」ボタンが設置されているWebサイトにアクセスするだけで、ボタンを押すかどうかに関わらずアクセスした事実がFacebook社に送信され、閲覧データとして蓄積されていることを問題視しています。個人情報保護員会は以前からこの問題に関心を持っており、Webサイト上で利用者並びにWebサイトの開設者に対して注意喚起を行ってきました。今回の指導の中で、この件に関しては利用者への分かりやすい説明の徹底と本人同意の取得を行うようにとの内容が含まれています。

(2)については、性格診断アプリを使った利用者とその友達の個人情報が、英国のケンブリッジアナリティカ社で不正に利用されていた件ですが、これについても利用者への説明、本人からの削除要求への対応、今後のサードパーティーアプリの監視などを徹底することしています。

(3)については、まさに今発生している問題ですが、これについては本人通知、原因究明、再発防止策の策定と個人情報保護委員会への報告などを求めています。

https://www.ppc.go.jp/news/press/2018/20181022/

(私のコメント)
外国法人に対しても、個人情報保護委員会が毅然とした対応を取ることができるようになって、よかったなと思います。

なお「いいね!」ボタンについては、当Webサイトでも利用しております。注意書きなどに関して早急に検討し、掲載するようにしたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。






UBER
(画像は日経新聞社ニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

米国ライドシェア大手の「Uber」社は、2016年に発生した大規模な個人情報流出事件を1年間隠ぺいしていた事件に関して、全米50州と総額1億4800万ドル(約170億円)の和解金を払うことで合意したとのことです。情報流出に関連する和解金としては米国で過去最大規模とのこと。

Uber社に関しては、当時から不祥事が相次いでおり、本件は経営陣が交代した後に発覚したもののようです。

https://www.nikkei.com/article/DGXMZO35808780X20C18A9TJ2000/

(私のコメント)
個人情報の取り扱いにおける違法行為に関して、今回のように多額の制裁が課せられることは、すでに米国や欧州では当たり前のこととなっています。欧州でのGDPR全面施行も話題になりましたが、海外にもビジネス展開されている場合には、より一層、しっかりした個人情報保護対策が求められることを意識していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




公益通報
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報の取扱いに関する公益通報窓口を開設したとWebサイト上で発表しました。

2004年に定められた公益通報者保護法において、労働者が業務上知りえた違法行為に関して、社内外に通報したとしても、一定の条件を満たしている場合には不利益を一切受けないこととされました。

今回の個人情報保護委員会の公益通報窓口の開設は、個人情報保護法やマイナンバー法を管轄する行政機関として、公益通報を受け付ける体制を整備したものと言えます。

●公益通報の方法

(郵送の場合)
〒100-0013
東京都千代田区霞ヶ関3-2-1
霞が関コモンゲート西館32階
個人情報保護委員会事務局総務課宛
※「公益通報」と明記する

(電子メールの場合)
kojyoui_tsuuhou@ppc.go.jp
※添付ファイルは不可

(FAXの場合)
個人情報保護委員会事務局総務課宛
FAX:03-3593-7962
※「公益通報」と明記する

https://www.ppc.go.jp/application/internalreport/

(私のコメント)
今後、個人情報の流出事件・事故などが発生した場合に、会社がしっかりとした対応を取らない場合に、内部の関係者が個人情報保護員会に公益通報するケースが出てきそうですね。

また、何か情報が入りましたら、皆様にシェアいたしますね。



SAY企画
(画面はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライこと、オプティマ・ソリューションズの中です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、日本年金機構から受託した業務で大きな問題を発生させた株式会社SAY企画(東京都豊島区)に対して、プライバシーマークの一時停止措置とすると、6月1日付で発表しました。

同社は、日本年金機構から受託した年金情報の処理業務を、中国の関連会社に無断で再委託したうえで、31万件以上の入力ミスを発生させ、今年2月の年金の支払い時に間違った金額で支給されるという事態を招いたとして、問題となっていました。

https://privacymark.jp/news/system/2018/0601.html

(私のコメント)
誠に残念な事態だと思います。プライバシーマーク制度としても、日本のビジネス社会全体としてもこのような事態を再発させないことが必要だと思いますし、私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、その一助となれるようさらに努力してまいります。

また、新しい情報が入りましたら、シェアしますね。



プレミアム・アウトレット
(画像は同社Webサイトトップ画面)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

また、個人情報流出の知らせが入ってきました。
今回のは危ない事件です。


三菱地所グループの三菱地所・サイモン株式会社は、自社が運営するアウトレットモール「プレミアム・アウトレット」の顧客の個人情報27万件が流出したと、4月14日に発表しました。

流出したのは、顧客向けメールマガジン登録者の情報で
・メールアドレスとパスワードの組み合わせ 24万件
・メールアドレスのみ 3万件
が現在も有効な内容であったとのことです。

日経XTECHの記事によりますと、今年2月に様々なWebサイトから流出したと思われる個人情報がインターネット上で公開されており、その中に同社の情報が含まれていたとのことです。

同社のWebサイト(どこで告知されているか分かりますか?)
http://www.premiumoutlets.co.jp/

プレスリリース
http://www.premiumoutlets.co.jp/pressroom/pdf/180414.pdf

日経XTECHの記事
http://tech.nikkeibp.co.jp/atcl/nxt/news/18/00777/

(私のコメント)
これは結構ヤバい事件です。メールアドレスとパスワードの組み合わせが実際に外部に流出していますので、パスワードリスト攻撃にすぐ利用できます。このリストを入手した人が、メールアドレスとパスワードを著名なクラウドサービスに流し込めば、かなりの高確率でログインできるはずです。

今回の被害者で、同社に登録していたパスワードを他のサービスでも使い回ししていた方は、その他のサービス側のパスワードを変更するべきです。今すぐにです。


一方で、同社の動きはあまりよくありません。Webサイト上での案内も正式なプレスリリースではなく、分かりにくいところに置いてあります(上記画像の右の赤枠です。いい場所ではありますがデザインになじみすぎていて緊急性が伝わりません)。流出した43万件のうち24万件が現在も有効であったと情報開示したのも得策とは思えません。残念ながら、同社は緊急性の認識が低いのではないかと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。







17
(画像はTBSニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

Facebook利用者を対象とした「診断アプリ」が2013年に作成され、診断を受けた30万人と、その友達の個人情報、あわせて約5000万人分が利用規約に違反してダウンロードされ、他の用途に再利用されていたことが問題になっています。

特に前回の米国大統領選挙で、トランプ陣営がこれらの情報を活用していたとの報道もあり、騒ぎが大きくなっているようで、Facebook社の株価も下がり、CEOのマーク・ザッカーバーグ氏がコメントを発表して事態の収拾を図っている状態です。

Facebookアプリが、アプリ本来の機能の実現に必要がない場合であっても、利用者の許諾さえ得れば、利用者本人とその友達の個人情報をまるごとダウンロードできる仕様になっていることは、当時から問題視されていました。外部からそのような声を上げても、Facebook社として素早い対応が取られてはいませんでした。

一方の利用者も、Facebookアプリが不必要に個人情報をダウンロードしていることについて、数多くの方法で様々な警告がなされていたにも関わらず、無頓着にアクセス権を承諾していたという実態があります。

ですから、ちょっと私などからすると、「何を今さら」という感は否めません。また同様のアプリは他にもたくさん存在しており、おそらくダウンロードされた個人情報を累計すると、数十億〜数千億件くらいの規模になっていてもおかしくないと思います。

ともあれ、Facebook社としては今日までこれに対する対策を徐々に進めてきました。今回、大きな問題になったことにより、それをさらに加速し、今後は批判をあびるようなことがないようにすることでしょう。

というわけで、これでまずは一安心ということになるのだと思いますが、今後も、Facebookの利用にあたっては、掲載する個人情報の利用方法や許諾範囲について、注意深くチェックして、慎重に対応することが必要だと思います。

2011年に書かれた警告記事
http://socialmediaexperience.jp/3617

マーク・ザッカーバーグ氏のコメント
https://www.facebook.com/zuck/posts/10104712037900071

参考記事:Facebookで使用しない方がいいと思うひとつの機能(改訂版)
http://www.pmarknews.info/archives/51852736.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



04
(画面はヒヤリハット事例集より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報に関するヒヤリハット事例集を
ウェブサイト上で公開しました。

企業の担当者として、業務を進めるうえで何らかの突発事項が起こり、
解決策として、何か行ったことが実は個人情報保護法に違反していた。。。

そんなことは意外とあるかもしれません。

このヒヤリハット事例集で学んでみてください。

https://www.ppc.go.jp/personal/hiyarihatto/

また、何か情報が入りましたら、皆様にシェアいたしますね。



23
(画像はブルームバーグ社ニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

世界中で何かと物議をかもしているライドシェアサービスの「Uber」社から、2016年10月に約5700万人分の利用者とドライバーの個人情報が流出していたとのことです。

同社は犯人グループに10万ドルを支払い、情報消去と口止めをして、被害者には一切説明せず、公表もしてこなかったといいます。

これは責任ある企業として、あるべき姿とは言えませんね。

なお、今回流出した個人情報には、日本の利用者の情報も含まれているようです。心当たりのある方はご注意ください。(実は自分も。。。)

https://www.bloomberg.co.jp/news/articles/2017-11-21/OZSGJB6JIJUO01

また、何か情報が入りましたら、皆様にシェアいたしますね。


23
(画像は個人情報保護委員会のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

個人情報保護委員会がWebサイトで公表した注意喚起によりますと、仮想通貨の取引に関連してマイナンバーの提供を求める事例が発生しているそうです。

株式や債券の取引を行う証券会社では税務処理のためにマイナンバーの提供を求めています。そこから連想すると、仮想通貨の取引においてもなんとなくマイナンバーが必要かのように思えますが、2017年10月現在、仮想通貨の取引にマイナンバーは必要ありませんし、使えません。

皆様も騙されないようにご注意ください。

https://www.ppc.go.jp/news/careful_information/

また、何か情報が入りましたら、皆様にシェアいたしますね。



31
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先日、米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)が、米国版マイナンバーである社会保障番号を約1億4千万件以上流出してしまい、大きな問題になっているという事件を記事にしましたが、その後も混乱が続いているようです。

Equifax社は、今回の事件の対応のために専用のWebサイト(equifaxsecurity2017.com)を立ち上げたのですが、こともあろうに同社の公式Twitterがほんの少し違う偽URL(securityequifax2017.com)を記載してユーザーに案内してしまったといいます。

securityequifax2017.comというドメインは、セキュリティの専門家がわざと本物のサイトに似せて作った偽サイトであったにも関わらず、同社のTwitter管理者自らがまんまと引っかかってしまったということのようです。

下記URLの記事の中で、セキュリティの専門家のコメントとして「Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」との意見が記載されています。

http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html

(私のコメント)
先日の記事を書いているときに、事件の後始末のためだけに専用のドメインまで取ってるのはすごいけど、ひと段落したらドメインごと削除するつもりなのかなと私も少し気になっていました。新しいドメインを作成すると、今回のように偽サイトが登場したり、それに間違えてアクセスしてしまうことが起こるのですね。重要な局面であればあるほど、自社のWebサイトとしてみんなが知っていて信頼のおけるドメインを使わないといけないのだと改めて思いました。

たとえ話で言うと、大通りに立派な本社ビルが立っているのにも関わらず、「事件の対応は裏通りに用意した専用テントで受付します」と言って顧客をそちらに誘導していると、そこに行く途中にそっくりの偽テントが立っていて、ぞろぞろ顧客がそこに入っていっている、そんなことになるのだと思います。ドメインの使い方ひとつで、セキュリティ水準を下げてしまうということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


45
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)は、自社のWebサイトに不正アクセスが発生し、約1億4000万人以上の社会保障番号を含む個人情報が流出したと、9月7日に発表しました。

今回流出した個人情報は、米国とカナダの在住者の名前、住所、生年月日と、社会保障番号を含む約1億4300万件とのことです。また、一部については運転免許証番号、クレジットカード番号なども含まれているとのことです。また、今回の不正アクセスは、同社のWebサイトのアプリケーション脆弱性を悪用したものであり、今年5月中旬から2017年7月まで続いていたとのことです。

同社では今回の事件に対応するための専用のWebサイトを開設し、流出の有無をオンラインで確認できるようにしています。また、流出した被害者に対しては、専用のIDを発行し、信用情報業界大手三社における自分の信用情報を無料で確認してロック/アンロックできる機能や、被害を補填する保険を提供するなど、様々な対策を行うとしています。

https://www.equifax.com
https://www.equifaxsecurity2017.com/

(私のコメント)
米国では社会保障番号が事実上の国民総背番号になっており、この番号を提示することで信用情報が検索されて、金融機関の口座開設やクレジットカードの作成など様々な金融サービスに利用されています。一方で社会保障番号にはパスワードなどの認証機能がありませんので、番号が分かるだけで他人に悪用される事件が頻発しており、従来から問題とされていたところでした。今回の大規模流出をどのように乗り越えていくのか注目していきたいです。

なお、日本のマイナンバーが、厳格に目的外利用を禁止したり、何種類ものパスワードを用意しているのは、この米国の社会保障番号と同様の問題を起こさないようにと事前に工夫された結果ということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ