プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2008年10月

プライバシーマークの取得事業者数は、今年に入って9000社を突破して以来、なかなか1万社の壁を破ることができず、9000社台にいます。どうして、1万社を超えないのか、理由を調査してみました。

(1)新規取得事業者数は約35%減少

2008年4月以降の新規取得事業者数は、下記の通りです。
4月 166社
5月 149社
6月 221社
7月 126社
8月 126社
9月 152社
10月 123社(29日現在)
合計 1063社
平均 151.8社

2007年の同月と比較します。
4月 274社
5月 181社
6月 294社
7月 291社
8月 184社
9月 226社
10月 192社
合計 1642社
平均 234.6社
ほぼ35%減ですね。
かなりの減速と言えると思います。

(2)中止事業者は5%程度

10月29日現在の中止事業者が703社、
今年の3月31日時点での中止事業者が485社でしたので、
今年度に入り218社がマーク使用を中止していることになります。

2年前の2006年度といえば、取得事業者数が7000程度でした。7ヶ月で218社が使用中止ということは年間に伸ばすと373社となりますので、約5%が更新せずにこぼれていっている計算になります。

(3)まとめ

まとめると、新規取得事業者数は確かに減少傾向にある。これに追い討ちをかけているのが大量取得ブームに乗って取得したものの更新するまでの必要性がなく約5%の事業者が更新していないという実態といえます。このぎりぎりのバランスの中で、かろうじて取得事業者数がマイナスになっていないという現状が見えました。

新規取得事業者数がゼロになっているわけではないですし、今後もゼロになるわけではないのですが、取得事業者数の総計に関しては、1万行くか行かないくらいがひとつのバランスの取れた状態であり、今後に関しては予断を許さない状態にあるというのが、私が調査した結論です。

今後は、11月19日に2006年版JISへの更新期限を迎えて、更新せずにマーク使用中止する事業者がどの程度出てくるかにかかっていると思います。

http://privacymark.jp/

※11月11日、一部書き換えました。当初「中止事業者は約1割」としていましたが、母数の取り方が間違えていましたので、「5%程度」という表現に変更します。

日本情報処理開発協会(略称:JIPDEC)のプライバシーマーク推進センターは、10月27日付で、「プライバシーマーク制度説明会」及び「個人情報保護マネジメントシステム(PMS)構築相談会」を全国で開催すると発表した。

「プライバシーマーク制度説明会」は、過去にも開催されていたものと同様のイベントで、制度一般に関する情報を得ることができるもの。誰でも参加可能です。

「個人情報保護マネジメントシステム(PMS)構築相談会」は、今回はじめての新企画で、プライバシーマークの取得を検討している中小規模の事業者に対して、個人情報保護体制の構築とプライバシーマーク取得支援を目的として1社30分ずつの個別相談を受け付けてくれるそうです。事前にヒアリングシートを提出して、それに基づいて助言をもらえるようです。

(私のコメント)
プライバシーマーク事務局が、このようなイベントを定期的に開催してくれることは歓迎すべきことですね。しかも、個別相談会はとてもよい試みだと思います。是非、これで制度自体がさらに活性化していってくれればと思います。

http://privacymark.jp/
http://privacymark.jp/news/20081027/Setsumeikai.pdf

10月9日、CSS2008(コンピュータセキュリティシンポジウム2008、沖縄で開催)で、無線LANの主流の暗号化方式であるWEPを容易に瞬時に解読できる方式を森井昌克・神戸大学大学院教授らのグループが発表しました。

WEPに関しては、過去からも解読できるという危険性が指摘されていますが、今回の方式はもっとも決定的なものとなったようで、無線LANの通常の電波を一定量受信した後、瞬時の計算で暗号を解読できるようになるとのことです。

同グループでは、安価なノートパソコンでもこの解読を実行できるプログラムの開発にすでに成功しており、一定期間が過ぎた後に公開するとしています。

(私のコメント)
「WEPは死んだ」これはどこかのサイトの受け売りですが、事実そういうことです。WEPで暗号化していますから安心ですなんてもう言えなくなるのです。会社のビルの前でうろうろしながら無線LANの漏れ電波を捉えて、WEPキーを解読すれば、社内ネットワークに接続できる、そういうことです。
実際にWEPを使用している無線LANは、早急にWPA(AES)方式での暗号化などに切り替えることをお勧めします。

http://srv.prof-morii.net/~morii/#CSS20081009
※当日のプレゼンテーションのPDFファイルがあります。

明治安田生命(東京都千代田区)は、10月27日付で、来年度入社希望者と内定者の、顔写真を含む個人情報が、ファイル共有ソフト「Winny」で流出したと発表した。

同社によると、大阪地区の採用担当者が、社内規程に違反して、自宅の私物パソコンで、これらの個人情報を編集したところ、Winnyのウイルスに感染していて個人情報が流出したという。

流出したのは、下記の2種類の個人情報。

(1)来年4月入社希望者の氏名と大学名で2000名分。一部は住所、電話、メールアドレス、面接時の所見等が含まれている可能性があるという。

(2)来年4月内定者(大阪営業関連組織)の氏名と大学名と懇親会開催時の写真で45名分。

同社では本人への連絡、再発防止策、社内処分などを行うという。

(私のコメント)
超大企業の、採用関連の個人情報が、このような形で流出したことはあまりないので、珍しい事件です。その中でも、入社希望者の情報に含まれる可能性があるとされている「面接時の所見」は、本人の評価に関する内容でありセンシティブな内容が含まれている可能性が高いので、かなり危惧されます。

http://www.meijiyasuda.co.jp/
http://www.meijiyasuda.co.jp/profile/release/2008/pdf/20081027.pdf

先日、電子メールのセキュリティ対策ソリューションを提供するProofpoint社のCEOであるゲイリー・スティール(Gary Steele)氏が、新製品のプロモーションのために来日。私は、Blog執筆者として取材させていただく機会をいただきました。

私は、個人的にSPAMの被害をかなり受けており、断固とした対応が必要であると常日頃より考えております(そのため、私の業務用のメールアドレスには西暦の年号が入っています)。今回は、SPAMの最新事情ならびにその対策方法とその結果などを中心にお話をお聞きしたので、それらについて、記事をまとめてみます。

なお、Proofpoint社、ならびに最新バージョンの「Proofpoint 5.5」の詳細については、下記の記事や同社ウェブサイトをご参照ください。

http://www.computerworld.jp/news/sec/124149.html
http://www.proofpoint.com/jp/

■米国では電子メールの9割がSPAM


同氏によると、米国企業が受信する電子メールの90%〜95%がSPAMメールであり、それが単に社員の注意を奪うことにより業務効率を下げるというだけではなく、ウイルスが含まれている場合や、フィッシング詐欺の場合もあるので、企業としてしっかりとしたSPAM対策を行うことの重要性はますます大きくなってきているという。

日本企業の場合は、受信する電子メールに対するSPAMの比率は、6割程度ではないかと考えられるが、日本企業は特にSPAMを嫌う傾向が強く、SPAMフィルターの市場性は高いと考えているという。実際に日本企業の場合は、一通でもSPAMメールを通り抜けさせてしまうと、クレームが来るようなことがあるという。

■SPAMは誰が出しているのか?

次いで、SPAMメールについて「誰が出しているのか?」との質問をしてみた。

同氏によると、現在のSPAMの多くは、「ボット」と呼ばれる、不正に構築された仮想ネットワークから発信されてくるため、発信元のIPアドレスを調べても、「新興国」の普通のPCが出てくるだけであり、本当に誰が発信しているのかは知ることが困難という。

※ボットとは、一般の人が利用しているパソコンに本人に知られないうちにインストールされ、外部から自由に操ることができるように仕組まれたソフトウェアのこと。悪意を持った集団は、これらボットを大量に保有しており、それらを自由に操って様々な攻撃を行うことができる。語源は「Robot」らしいです。

特に、「新興国」(中国などのことと思われますが、同氏は直接言及されませんでした)のパソコンは、ウイルス対策ソフトが整備されていない場合が多く、ボットの繁殖源になっているという。

SPAMの発信は、日本では既に「迷惑メール防止法」により非合法化されているが、米国でも同様に非合法化されている。だから、本来は違法行為なのであるが、なかなか犯人は捕まらないという。

■同社の製品は、自動認識(マシンラーニング)でSPAMを認識

同社の製品の紹介を聞いて、驚いたことがありました。それは、自動認識でSPAMを認識しているということです。ですから、新種のSPAMに対してもあらかじめ対応でき、また多言語対応も可能であったといいます。

これについては、ホワイトペーパーが同社より発行されていて、それに詳しく書かれていました。同社のSPAMフィルターは、新種のSPAMメールに対しても、自動的に認識できるといいます。

■ネットワーク全体での検疫化には否定的

NTTドコモをはじめとする日本の携帯電話会社は、SPAM対策として毅然とした対応を取っており、ネットワークの機能の一部としてSPAMを受信した場合にはユーザーに送らないで排除しているようです。読者の皆様も、実際に携帯電話でSPAMを受信することは非常に少なくなっているのはご存知のとおりです。そこで、最後に、同様の対策をインターネットというネットワーク全体として行うことはできないのかと聞いてみました。

同氏は、ISP単位や、小規模な国家であれば、ネットワークの接続部でSPAMフィルタリングを行うことは可能であるが、インターネット全体としてそれを行うことは経路が複雑にいりこんでいるために困難ではないかとの認識を示しました。

これは私見ですが、私は、やはりインターネットもネットワーク全体としてSPAMフィルタリングすることが最もよい解決策であると考えます。中国からSPAMメールが大量に出てくるのであれば、中国とのネットワークの接続部にこちらからSPAMフィルタリングをかけてしまえばいいと思います。

今回、スティール氏の話をお聞きして、一企業としてSPAMを受信したり、SPAMを発信してしまったりすることに対する対策としては、かなり有益なものであり、またその結果も立派であり、かなり安心しました。

しかし、せっかくの貴重な技術だからこそ、事業者それぞれがSPAM対策に取り組むよりも、ネットワークの上流の方でこれらを遮断してくれればいいのではないかと、強く感じました。

スティールさん、貴重なお時間をいただき、SPAMメールの最新動向を教えていただきましてありがとうございました。SPAMが起こす迷惑や被害がなくなる日を、楽しみにしたいと思います。

↑このページのトップヘ