7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン（東京都千代田区）の高橋和之代表が、7月27日会見しました。以下、複数の報道より情報を総合してお届けします。

●不正利用は2200件に拡大

カードの不正使用は、当初の発表においては約1000件とされていましたが、実際には2200件以上と、倍の規模に拡大しているとのこと。

毎日新聞によると、従来の国内でのカード不正利用の最大事例は2005年の米国カード情報処理会社からの流出事件であり、それが745件(総額1億1100万円)であり、今回はこれを件数で上回っており、すでに国内最大規模ではないかとのこと。

今回の不正利用は主にインターネット経由で家電製品などが購入されていたとのこと。ただし、今回は不正利用の時点ですでにカード会社側では異常を察知していたため、カード会社にオンライン照会があった時点で止められていて、実際には被害は出ていないという。

アリコでは、顧客に直接被害が出た際には金銭的負担は一切、かけないとしているが、そもそもカード会社の段階で被害が食い止められている可能性が高そうです。

●流出件数は13万人に拡大

流出件数も、最大11万人から増加して約13万人と被害が拡大しているしているという。これは、途中からカード決済に変更した人のデータが含まれていることが判明したためという。

●内部関係者の犯行か

一部の報道によりますと、今回流出した情報は、2008年5月ごろクレジットカード決済システムの動作をチェックするために作成されたテストデータである可能性があるとのこと。もしこれが事実とすると、三菱UFJ証券事件に続き、また内部の関係者の犯行ということになります。

（私のコメント）
ちょっと大騒ぎになっていますが、よくよく読むと、カード会社の即座の対応により、大きな問題になることは防げているようです。そもそも、2200個も家電製品を購入したとしても、その受け取り人の住所を調べればすぐに犯人に繋がることになり、ばれてしまいます。もしかすると、これは本当の金銭目当ての犯罪ではないのかもしれません。

Google News

アリコ（ALICO:American Life Insurance Company/アメリカン・ライフ・インシュアランス・カンパニー）の日本支社であるアリコジャパン（東京都千代田区）は、7月23日付で、自社の顧客の一部のカード情報を含む顧客情報が流出した可能性があると発表した。

これは、カード会社からの通報により判明したもので、7月上旬から同社の顧客のクレジットカード情報を利用した不正な決済が行われていたという。

報道によると、その規模は最大で11万人という。

流出の経路や原因は今のところ発表されていない。

http://www.alico.co.jp/http://www.alico.co.jp/about/press/09_0723.pdf

高木浩光（たかぎ・ひろみつ）さんという人がいます。肩書きは、独立行政法人 産業技術総合研究所 情報セキュリティ研究センター 主任研究員。情報セキュリティに関する積極的な意見の表明で知られています。

最近では、
・児童ポルノの所持問題
・Googleストリートビュー問題
・SSLの電子証明書の使い方
・セキュリティ設定を緩めることを推奨するサイトの存在
・Bluetooth付き携帯電話を持ち歩くだけで追跡されてしまう危険性
・Googleマップで作成したマイマップが意図せず公開されてしまう件
などなど、様々な領域に意見しています。

かなりこわもて。。。という印象なのですが、その高木氏のにっこりとした写真で始まるのが、下記のインタビュー記事です。かなり興味深いです。

http://blog.hitachi-system.co.jp/04/1077.html

http://takagi-hiromitsu.jp/diary/

基調講演の2人目として、VISAワールドワイドの井原氏が登場しました。要旨をメモしましたので、掲載します。

●不正利用の動向

カードの偽造
非対面利用での不正利用

が増加している。これらはいずれも本物のカードの情報を入手して不正利用していることを示している。

万が一、情報流出があった場合、情報流出を起こした会社はつぐないようのない問題を抱える。

●PCIDSSとは

国際カードブランド5社が共同で提唱するセキュリティ規格

国内では2004年12月に規格書を配布開始

●PCIDSSの12要件

委託先にも同水準のセキュリティ対策を求めることになる(?)

●米国での普及

米国ではPCIDSSが普及している。これには、大規模なカード不正利用が続いたこともあるし、カード不正利用が国際テロリストグループの資金源になっているという話があり、政府が神経質になっていることもあるようである。

●国内での普及

JR東日本、旧道路公団はPCIDSS対応済みです。

●PCIDSSのメリット

メリットはいろいろあるものの、基本的には「やって当たり前」のものであり、必須のものと考えて欲しい。

●国内加盟店の状況

加盟店はVISAとの直契約ではなく、カード発行会社と契約するため、VISAとしては契約関係はない。

国内には、
レベル1の加盟店が8社(?)
レベル2の加盟店が11社
レベル3の加盟店が292社ある。

●今後の取り組み

（１）報告体制の整備
カード会社は、加盟店の取引実績を見て、レベル1・2の加盟店が出てきたら年に1回VISAに報告すること、レベル1・2・3の加盟店のPCIDSS遵守状況を年に2回VISAに報告すること。

（２）情報保持の禁止
カード会社は、加盟店が今年9月30日までに、下記の情報を継続保持しないことを確実にすること。
磁気データ、CVV2、PINデータ

（３）PCIDSSへの完全準拠
カード会社は、レベル1の加盟店が来年9月30日までに、PCIDSSに完全準拠していることを確実にすること。

●サービスプロバイダの認定プログラムについて

サービスプロバイダ（カード情報を仲介する会社）に対する登録プログラムを開始する。VISAとして登録制度を運営して、それらの会社にはPCIDSSへの準拠を図っていく。

最後にメッセージ
「カード情報の保護は、関係者全員の責任です」
とのことでした。

SANS創設者のアラン・パーラー氏の基調講演の内容を私なりの理解でメモしたものを掲載します。

本日は、現在起こっている問題を明らかにして、
明日、それに対する解決策を明らかにします。

●最新の3つの攻撃方法

（１）狙い打ちソーシャルエンジニアリング
　ビジネスマンや、官僚などが、つい開きたくなるような題名のメールを送付し、それを開くことでキーロガーを組み込む。
　英国の諜報機関MI6は、300社の企業に対して「皆さんの会社の幹部や、顧問弁護士のパソコンが攻撃されている可能性があり、中国企業との交渉の際には機密情報が漏れていると思ったほうがいい」との警告を発信した。

（２）著名サイトを使用してウイルスに感染させる
　いわゆるSQLインジェクション攻撃

（３）いろんな製品にウイルスを混入させる
　MP3プレイヤーを購入したら、ウイルスに感染してしまったというようなこと。

これらの攻撃をストップすることは実際のところ「不可能」である！

●これからの企業に求められること

事前の対策ではなく、事後の発見と対応に予算を割り当てる必要がある。
セキュリティポリシーを作成する人材ではなく、ログなどを深く分析する人材の重要性が高まってくる。

●アメリカ政府における変更

サイバー軍が創設された。
陸・海・空軍と並んで、サイバーが取り上げられた。

従来、政府は、IDSを入れれば大丈夫ですよというような偽者の専門家をアドバイザーにしていた
そういう人を全部入れ替えた。

毎年一回レポートを作るような仕事のやり方ではダメだ。
ログを見ないと本当のことは分からない。

（質疑応答）

Q＞最近のアメリカ・韓国でのサイバー攻撃についてお答えください。

今回、発生したのは、単なるDOS攻撃。

エストニアなどで事件が起こっていて、ついにそれがアメリカにも来たかと言う事で、マスコミが騒いだ。

しかし、今回のは180Mbpsくらいの規模で、たいしたことないもの。

アメリカの主要な機関のサイトはAkamaiなどで分散済みで対策済みだった。対策をまったくやっていない機関のサイトがダウンした。

ただし、DOS攻撃は全く問題ないよと言っているわけではない
インテリジェントなDOS攻撃が出てきたら、対策は難しくなると思う。

また、明日お会いしましょう。

http://japan.zdnet.com/news/sec/story/0,2000056194,20396858,00.htm

プライバシーマークホームページに掲載されているプライバシーマーク取得事業者のリストを元に、本Blogが独自に集計した結果によると、7月14日現在、2006年版JISに移行していない事業者の数が1000社を下回ったことが判明しました。



JIS Q 15001：2006　9518社（90.7％）
JIS Q 15001：1999　973社（9.3％）

審査機関別に見ると、

JIPDEC　778社（13.2％）
KIIS　　104社（8.7％）
MEDIS-DC　36社（12.9％）

となっています。

（私のコメント）
JIS Q 15001の2006年版への移行が、あと1000社を切り、ようやく最終段階に来たということで、めでたいニュースではあるのですが、実際のところ、まだ2006年版に移行していない973社には移行申請を出していないところも多いものと推測されますが、それらの事業者は現在の有効期限を持ってプライバシーマークを返上することになります。

2008年、プライバシーマーク取得事業者数が1万社をなかなか超えず、停滞していたことを分析してみますと、2006年版のJISが登場して以来、移行の負担に耐えられず、更新申請をせずに期限切れでプライバシーマークを返上した事業者がかなりの数にのぼっており、これが取得事業者数の引き下げ圧力となっていたために、なかなか1万社を超えなかったのではないかと思います。

ですから、まだ2006年版に移行していない973社のうち、ざっくりいって半数が更新辞退だと推定すると、まだ500社弱の引き下げ圧力があるということになり、当分はこの引き下げ圧力は続くということになります。

こういう数字の分析をしてみますと、JIS Q 15001の2006年版への改訂は必要なことであったとはいえ、事業者に負担を強いるプライバシーマークの制度変更を実施すると、更新辞退する事業者が増えるということです。ですから、JIPDECならびに関係機関は、制度維持に本当に必要不可欠な制度変更に限らないといけない、そういうことがいえると思います。

http://privacymark.jp/certification_info/list/clist.html

プライバシーマークの指定機関（審査を行う権限をJIPDECから付与されている機関）の一つである（財）日本データ通信協会（東京都豊島区、略称：デ協）は、7月10日に同協会Pマーク推進室の3周年を記念して都内で関係者向けプライバシーマークセミナーを開催しました。

セミナーの冒頭において、同協会Pマーク推進室長の松田治男氏が講演を行いました。松田氏の講演は、Pマーク審査の実態を詳しく説明しており、大変参考になるものでした。概要を報告します。

●デ協ではもともと旧郵政省のガイドラインをもとにした「個人情報保護マーク」を運用していましたが、2005年9月をもってこれを廃止し、2006年6月から「プライバシーマーク」の指定機関としての認証活動を開始した。審査対象は、情報通信事業関連7団体の会員企業ならびに情報通信事業に関連する事業者であり、すでに審査件数は500社を超えたとのことです（デ協では、かなり広い範囲で審査を行っています。詳しくはデ協で審査を受けた事業者のリストをご参照下さい）。

●現在、審査員15名が登録しており、6チーム（2名一組）が同時並行的に審査を行っているとのこと。また審査会メンバーは5名であり、その中に、同日、松田氏の後に講演を行った鈴木正朝氏や丸山満彦氏が含まれるとのこと。

●審査の方針としては「迅速・懇切丁寧な審査業務の実現」を掲げていて、過去の実績としては申請から平均54日で現地審査、平均73日で審査会付議されていて、申請の3ヶ月後に認定されているという。また、相談に関してはコンサルにならない範囲内で質問に対応するという。

●審査のポイントとしては、今年5月から現地審査のやり方を変えていて、
1)事故事例から導き出された安全対策の審査項目を追加（業務用携帯電話の紛失対策など）
2)採用業務など全ての業務を一律に審査するのではなく、主要業務の流れに沿って安全対策を確認し、実際にPCなどでの運用状況を確認する。
3)特定電子メール法に則った同意を正しく取っていることを確認する。
4)電気通信事業者に関しては、通信の秘密を正しく教育しているかを教育資料などで確認する。
などを行っているという。

●結果として、指摘事項の数は、文書審査の段階で平均15件、現地審査後の段階で平均12件となっているという。指摘事項は、多いものから
1)個人情報の特定漏れ
2)直接書面による取得時の通知内容の不足
3)JISとの適合性チェックにおける不適合
4)委託先の認識漏れ
5)リスク分析の漏れ
などとなっているという。

（私のコメント）
デ協のセミナーは、昨年に引き続き開催されたもので、松田室長の後に講演された3名の方々の内容も大変興味深いものでした。このセミナーは一般には告知されていないようですが、来年度以降も開催される際には、アンテナを張っていると何らかの形で案内が来るものと思われますので、興味のある方は是非参加されることをオススメします。私は、デ協の審査の素早さに関しては、弊社のお客様がスピード取得を実現される際に大きな助けになっており、大変感謝しています。同時に、デ協が今後も今の状態を継続してくれることを願っており、関係者の皆様の奮闘に期待いたします。

http://www.dekyo.or.jp/pmark/

経済産業省は、6月30日付で、個人情報保護法に基づく経済産業分野のガイドラインの改正案に関してパブリックコメント（意見公募）を開始した。

今回の主な改正点は、下記の通り。
（１）「個人情報の保護に関する基本方針」の一部変更への対応
（２）「個人情報の保護に関する法律施行令」の一部改正への対応
（３）「個人情報保護に関するガイドラインの共通化について」への対応
（４）「パーソナル情報研究会」で検討を行った各課題への対応
1)性質に応じた個人情報等の取扱い
2)「事業承継」に係るルールの明確化
3)「共同利用」制度の利用普及に係る具体策
（５）その他

（私のコメント）
おおむね順当な内容という感じですが、皆様も内容をご確認いただき、意見のある方はパブリックコメントを提出してみることをオススメします。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=

三菱UFJ証券は、7月2日付で、金融庁から求められていた業務改善報告書を取りまとめ、ウェブサイト上で一部を公表した。かなり詳細な内容となっており、参考になります。

http://apology.sc.mufg.jp/press0702.html

警視庁は、6月25日に、本年2月に三菱UFJ証券社員が顧客情報149万人分を持ち出し、うち5万人分を名簿業者に販売した事件に関して、事件を引き起こした元社員を不正アクセス禁止法違反と窃盗の疑いで逮捕したとのことです。

現在の日本の法律では、個人情報そのものを盗み出しても法律違反として問うことはできません。今回は、
１）他人のIDを使用して、社内LANを介して顧客データベースにアクセスした行為が、不正アクセス禁止法違反に
２）顧客データをコピーしたCD-Rを持ち出した行為が、刑法上の窃盗に
それぞれあたるとして、立件されたようです。

（私のコメント）
これ、もし、自分のIDを使用してアクセスしていて（彼に権限があったとした場合）、会社のCD-Rにコピーしたデータを私物のCD-Rや私物のUSBなどに再度コピーして持ち出していたとしたら、立件できなかった可能性があります。やはり、情報窃盗罪は必要ですね。

また、報道によりますと、この元社員は自分の小遣いが月2万円であったにも関わらず、キャバクラに通い、消費者金融に560万円の借金を抱えていたとのことです。ちょっと可哀相な境遇ですね。。。。