プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年05月

97b96d69.jpg3月に金融機関としては前例のない個人情報流出事件を発表した三菱UFJ証券は、5月20日に社長による会見を実施し、流出した5万人の顧客にそれぞれ一万円のギフト券を送ると発表しました。このような金額のお詫び金を出すことも、前例のないことです。

(私のコメント)
国内で発生している個人情報流出事件におけるお詫び金というのは、500〜1000円と相場が決まっていたのですが、今回、同社はこれを大きく上回る金額を出すことにしました。下記に、過去の各社の例を並べて見ました。よく見てみると、各社、総額が億単位になっています。同社としては、総額で考えて「この規模の事件を起こしてしまったからには、億単位のお詫びをしないとけじめがつかない」と考えたのかもしれないなあと思いました。しかし、今後、こんな金額を出せる会社はそうそう無いのではないかと思います。

・個人情報流出事件におけるお詫び金の前例(一人当たり金額と総額)

2003年6月 ローソン 500円(総額5億7500万円)
2003年8月 アプラス 1000円(総額8000万円)
2003年11月 ファミリーマート 1000円(総額1億8000万円)
2004年2月 Yahoo!BB 500円(総額22億円)
2004年6月 コスモ石油 500円(総額4億6000万円)
2004年8月 DCカード 500円(総額2億4000万円)
2007年3月 大日本印刷 500円
(公表されていませんが、出している例があるようです)
2009年3月 三菱UFJ証券 1万円(総額5億円)

http://www.sc.mufg.jp/company/inform/apology/press0520.html

日経BP社サイト上で、LACの西本逸郎氏が、三菱UFJ証券事件について論じています。興味深いのでご紹介します。

■誰が犯罪性を問われるのか?

西本氏は、今回の事件で犯罪性を問われるのは誰かとして、今回の行為を整理しています。

(1)元社員が他人のIDを使用したこと
(2)元社員がオペレーターを巧みに騙してコピーさせたこと
(3)元社員がこの情報(CD)を持ち出し、自宅のパソコンにコピーしたこと
(4)元社員がこのデータの一部を第三者に売却したこと
(5)不正に持ち出されたものと知った名簿業者がその名簿を使用し続けること
(6)善意の第三者を装い名簿をさらに別な業者に転売すること
(7)名簿を手にいれた業者が執拗に勧誘すること
(8)持ち出された会社の管理の不備

(1)〜(4)は、元社員の行為ですが、個人情報保護法については、主務大臣による勧告、命令が罰則規定の前に来ます。今のところそういう話は聞いていませんので、個人情報保護法の罰則規定が適用される可能性は低いかと。また、不正競争防止法、不正アクセス禁止法、著作権法などに問われる可能性がありますが、それぞれの法律には適用にあたり条件がありますので、まずは検察がどう立件するかですね。

(5)(6)は、名簿屋ですね。個人情報保護法17条には「適正な取得」の規定がありますので、この伝家の宝刀をぬいてもらって、主務大臣が勧告や命令をしてくれればいいのですけどね。。。で、この勧告にも命令にも従わなかった場合にはじめて、個人情報保護法の罰則による立件になると。あと、今回の事件で、名簿屋は不正競争防止法の違反を問われる可能性はあります。

(7)は、営業会社ですね。そもそも盗んできた名簿を利用して売り込みをしたりして、売れる訳がないと思うのですが。。。ここも名簿屋と同じく主務大臣に動いてほしいと思います。

(8)については、三菱UFJ証券自体の責任になりますが、個人情報保護法に基づく主務大臣による勧告があったとしても、それに従わないことは考えられませんので、それにしたがって、終わりですね。立件の可能性はないと思われます。

まとめると、主務大臣の動きがカギになりますね。元社員と三菱UFJ証券に対しては金融大臣が、名簿屋と営業会社に対しては経済産業大臣が主務大臣となりますので、連携して動かないとうまく行きそうにないですね。

■なぜ発覚しなかったのか?

西本氏は「顧客の問い合わせより前に、他人のIDを使用した操作や業務上不自然なデータの抽出、暗号の目的外使用、CDへのコピー依頼などを監視や監査で発見できなかったのか」と書いています。確かにその通りですね。データベースのアクセスログを適切に監視していれば、もっと早い段階で気づけたはずだと思いますね。

また、西本氏は、「事故はあってはならぬもの」から「事故前提の対応力を強化する」への移行を強く勧めています。「事故は発生しない」対策を講じようとするよりも、事故が起こることを前提にした対策を立てろと言うことです。

とても勉強になります。

http://it.nikkei.co.jp/security/column/nishimoto_security.aspx?n=MMIT2g000012052009

aaba450b.jpg
中国NSFOCUS社のブースで、お話をお聞きしました。

この会社は、中国に本社のあるセキュリティの専門会社ですが、1)WEBサイトの脆弱性診断や、2)社内のネットワーク機器の脆弱性診断などを行うサービスを国内の代理店を介して提供しているとのことです。

簡単に言えば、中国版のLACということなんですが、エンジニアは中国にいますので、価格競争力があるということのようです。

1)のWEB脆弱性診断というのは、単純に公開WEBサイトに対して、中国から攻撃を仕掛けてみて、大丈夫かどうかをチェックするもの。最小規模のテストで定価で50万円だそうです。報告会は10万円でオプションだそうですが、価格については柔軟に対応するとのことでした。

2)の社内ネットワーク機器の脆弱性診断というのは、社内に専用の機器を持ち込んで、IPアドレスを持つ様々な機器に対して、危険な設定が放置されていないかなど、綿密にチェックしていくそうです。

まだまだ、この世界は日本ではLAC社が一人で引っ張っているような状態ですが、こういう新しい会社も登場することで、業界全体が大きくなっていけばいいのではないかと思いました。

国内の代理店は、株式会社インテカーというところだそうです。今後に期待しましょう!

http://www.intecur.com
http://www.nsfocus.jp/jp/

29eba312.jpg
最近、クラウド型のウイルス対策ソフトを発表したパンダセキュリティ社のブースに来ました。

最初、手元のファイルをサーバーに送ってウイルスチェックをするのかと思いましたが、そういうことではなくて、クラウドに置いてあるパターンファイルを利用するので、一々ダウンロードしなくて良いということだと分かりました。

このサービスは商用利用も含めて無料で利用できるとのことですので、試しに利用してみようと思います。

※しかし、この会社、スペインの会社なんですが、パンダがキャラクターになっているので、どうしても中国の会社のように思えてしまいます。実は、今日も中国のキングソフトと勘違いして、ブースに入っていってしまいました。。。。

f7ba7b28.jpg
セキュリティソフトの会社である「網屋」社のブースで、サーバーのアクセスログ取得システムについてお聞きしました。

プライバシーマークの審査基準の一つに、「個人情報を取り扱うシステムのアクセスログを取得して定期的に確認すること」というのがあります。

これは、ウェブサイトで個人情報を取得する際の通信の暗号化と並んで、必ずやらないといけない対策の一つになっています。

個人情報を大量に取り扱う会社だとデータベースのアクセスログを取っておけばいいのですが、普通の会社の場合にはそんなものはなく、大半の個人情報はファイル共有サーバーにおかれてます。

linuxサーバーを使っている場合には、簡単な設定で共有ファイルへのアクセスの記録を取得することができます。

しかし、なぜかWindowsサーバーの場合には、これがそう簡単にはいきません。イベントビューアーというところに、利用記録が残りますが、人間の目で見ても意味を把握することは困難です。

ですから、多くのプライバシーマーク取得事業者においては、「イベントビューアーで見てまーす」と言ってごまかしているケースが多いと思います。でも、実際にはこれで異常事態が起こっているのかどうかを知る事は困難であり、あくまで審査対策としてそう言っていることになると思います。

というような話をしていると、「うちの製品でそれができます!」という元気な御返事が帰ってきました。すばらしい!

同社の製品では、イベントビューアーの記録をもとに、「誰が、いつ、何のファイルを、作ったか、見たか、変えたか、消したか」という内容を大変見やすい形式に加工してくれて、ウェブの画面で検索したりできます。

これは素晴らしい!で、最小構成でのお値段は?と聞くと、サーバー5台分で初期費用100万円という。残念ながら、高い!

プライバシーマークの取得事業者といっても、サーバーが一台しかないという会社も多く、もう少し小規模な契約もご検討くださいというお話をして、同社のブースを離れました。

※もちろん、同社でも小規模事業者向けのライセンスも検討されてるようですが、顧客数がヒトケタ増えることが見込まれるため、サポート人員の確保を進めながら、段階的に対応していくとのことでした。堅実な対応だと感心しました。。。。

a78ab3b7.jpg
データ復旧サービスを提供しているアドバンスドデザイン社のブースで、最近のデータ復旧サービスの動向をお聞きしました。

データ復旧というと、大半はハードディスクからの復旧となりますが、データの破損・消失の場合もあれば、ハードウェアの故障の場合もあり、最初に診断するそうです。その上で、作業量から費用を見積もることになるため、単純にデータサイズで見積もりを出すものではないとのこと。

同社では、ハードウェアの故障の場合には、クリーンルームでハードディスク自体を分解して、記録ディスクを取り出して、別のハードディスクに取り付けるような方法で、データを復旧する場合もあるとのこと。

興味深かったのは、同社のエンジニアは、ハードディスクに聴診器をあてて、内部の動作音を聴くことである程度の症状を診断できるとのことです。面白いですね。

まあ、しかし、ハードディスクはいつか壊れるものです。単純に毎日でもバックアップを取っておけば、万が一の場合でも大丈夫になりますので、日々のバックアップが重要だなあと思いました。

※当社では、フリーソフトを使用して、サーバーの共有ファイルを外付けハードディスクに毎日深夜にバックアップしています。これだけでも全然違いますね。ご参考まで。

7d835587.jpg
ウイルス対策ソフトの名門、カスペルスキー社のブースです。

確か、数年前にはロシアからカスペルスキー氏自らが来日してプレゼンテーションしてくれました。

その時にはジャストシステム社との共同出展でしたが、今回は、日本法人の単独出展のようです。

コンパニオンさんが、看護婦さんの格好をしていて、目立ってます。

従来型のウイルス対策ソフトとしては、カスペルスキーは機能的にも性能的にもよさそうなんですけどねえ。価格が少し高めなので、躊躇してしまいますね。。。。

9d56d8d0.jpg
351a5ce5.jpg

情報セキュリティEXPOに来てます。駆け足での参加ですが、この後、レポートします。

pp_harddisk1_7IT Mediaの5月8日付け記事によると、英グランモーガン大学などが実施した調査の結果、中古で出回っているハードディスク(HDD)の3分の1以上に個人情報などが記録されたままで流通していたことが判明したとのことです。

(私のコメント)
この調査は、eBayという誰でもが利用できる手段を利用して、世界中からランダムに中古ハードディスクを調達していることが、興味深いですね。その中から、まさか米軍の軍事機密に関する内容が出てくるとは思わないですよね。真実は小説より奇なり。

http://www.itmedia.co.jp/enterprise/articles/0905/08/news016.html

is_expo_2009
明日5月13日から、東京ビッグサイトにて「第6回 情報セキュリティEXPO」が開催されますので、本Bloogでもお知らせします。

このイベントは、情報セキュリティ関係の展示会としては、国内最大規模(実際にそうなのです)ですので、私も例年参加しています。明日13日に行く予定にしています。

名称:第6回 情報セキュリティEXPO
会期:2009年5月13日(水)〜5月15日(金)
   10:00〜18:00 (15日(金)のみ17:00終了)
会場:東京ビッグサイト
主催:リード エグジビション ジャパン株式会社
   情報セキュリティEXPO (IST) 事務局

同時開催)
第18回 ソフトウェア開発環境展
第14回 データウェアハウス&CRM EXPO
第12回 組込みシステム開発技術展
第11回 データストレージEXPO
第4回 RFIDソリューションEXPO
第3回 ダイレクト マーケティングEXPO
第3回 Web2.0マーケティング フェア
第1回 グリーンIT EXPO

出展製品/サービス)
不正侵入、DoS攻撃、ウイルス対策製品/サービス
情報漏洩・内部不正アクセス対策製品/サービス
詐称・改ざん・盗聴対策製品/サービス
IT資産管理製品/サービス
インテグレーション・コンサルティング・監査サービス
物理的セキュリティ対策製品
その他

基調講演)
5月13日(水) 13:00〜14:00
セキュリティ トップ企業のCEO来日決定!業界リーダーが語る最新動向
 シマンテック コーポレーション 社長兼CEO エンリケ T.セーラム
 トレンドマイクロ(株) 代表取締役社長 兼 CEO エバ ・チェン
 (参加費15,000円)

http://www.ist-expo.jp/jp/exhibit/outline.phtml

↑このページのトップヘ