プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年09月

CloudForce Japanの情報の続きですが、私はあまりに興奮してしまい、新しいBlogを立ち上げました。続きは、新Blog「クラウドblog〜SalesForce/GoogleApps」をご覧ください。

http://cloudshock.blogspot.com/2009/09/blog-post.html

accb70a5.jpg
8654ba62.jpg
c40897ca.jpg
CloudForce Japan会場より。 午前のマーク氏の基調講演はすごかった。 午後は、Googleのデモを見てました。 いろいろ興味深いものがあり、いろいろお話して、忙しく過ごしましたので、レポートする余裕がありませんでした。 取り急ぎ、写真だけアップします。文章は後で追加しますね。

ef509889.jpg 今日は、ザ・プリンス パークタワー東京で開催されているCloudForce Japanというイベントに来てます。 これは、SaaSで飛ぶ鳥を落とす勢いのセールスフォースドットコムが、ユーザーを招いて開催する巨大イベントです。 メイン会場は2500人くらいの来場者でいっぱいです。このあと、米国本社のCEOであるマーク・ベニオフ氏の基調講演が予定されてます。 今日一日、会場からレポートします。


ciaudit_logo今回は、久しぶりにセキュリティ関係の製品のご紹介です。

プライバシーマークの審査の基準となっているJIPDECのガイドラインでは、JIS Q 15001「3.7.1運用の確認」のチェック項目として、「個人情報を取り扱う情報システムのアクセスログを取得して定期的に確認すること」とされています。

しかし、多くの企業で使用されているWindowsサーバーは、イベントビューアーという専用アプリでしかログを見ることができず、しかもこのイベントビューアーは、人間の目で見てもどんな操作が行われたのか容易には分からなくなっており、これを解読することは至難の業です。

そこで、この専用のソフトやハードが各社から発売されているのですが、これらは30万円〜100万円程度して、なかなか手が出ないという事業者の方が多いと思います。

今回ご紹介する、サイバネットシステム(株)の「Ci-Audit for File Server」という製品は、これまでにない低価格を打ち出した製品で、1サーバーあたりの初期費用が144,000円(税別)となっています。

機能的には、もちろん、必要にして十分なモノがあります。このような製品をお探しの方に、オススメします。

製品情報は下記をご参照下さい。
http://www.cybernet.co.jp/cia/

alico_logo報道によりますと、7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)は、9月11日に記者会見を開き、今回の個人情報流出の経路は、システムの開発を委託した業務委託先からの可能性が高いと発表しました。また、流出件数はこれまで最大13万件とされてきましたが、1万8184人分に修正されました。

今回の調査は、クレジットカード会社に不正照会された4292件のデータから、逆に調査を進めたとのことです。その結果、今回流出したのが昨年2月〜3月にホストコンピュータ上に存在していた2つのファイルであることが判明し、システム開発を委託していた業務委託先から不審なアクセスがあることも分かったとのことです。

今回、流出が確認されたファイルに含まれていたのは、保険の証券番号、クレジットカード番号、有効期限の情報であり、氏名や住所、電話番号などは含まれていなかったとのことです。

(私のコメント)
よくここまで調査したと思います。また、外部からの様々な声にもかかわらず、拙速に対応するのではなく、正確な調査を実施したことは、一定の評価をしてよいと思います。

ここまで分かったからには、もう警察当局にボールを渡してもよいのではないかと思います。

今回の事件は、まさにクレジットカードの情報だけを抜き出し、それを不正利用するという、まさに現在のクレジットカードの穴を真正面からついたものでした。その後、執拗に続いた不正照会も、これまでにない規模のものでした。この騒ぎを起こした犯人を早く見つけ出して欲しいと思います。

※同社より、Web上でのリリースはまだ出ていないようです。

softbank_logoソフトバンクモバイル株式会社(東京都港区)は、9日付で、自社の携帯電話サービスにおいてメールシステムの障害が発生し、間違ったメールアドレスにメールを配信したり、第三者のメールアドレスを間違って送信アドレスに表示したりする事象が発生したと発表しました。

発生していたのは、8月28日から31日にかけての約56時間で、関西、北陸より西のサービスエリアにおいて3902通が誤配信されたとのことです。

同社では、端末を認識するメールサーバーの不具合によるものであり、現在は復旧していると説明しています。

(私のコメント)
ありえないことが起こってしまいましたね。携帯電話キャリアが提供しているメールアドレスは、ID・パスワードを使用しないで端末自体を認証していますので、その認証システムに異常が発生するとこういうことが起こる可能性があるわけですね。

この事件は、電気通信事業法で規定される「通信の秘密の保護」を犯してしまったことにもなりますし、個人情報保護法で規定される「正確性の確保」「安全管理措置」「第三者提供の制限」にも違反したことになりますので、単にお詫びしただけで終わるかどうか、総務省からの指導や命令なども考えられると思います。

また、本件に関しては、同社のコーポレートサイト
http://www.softbankmobile.co.jp/ja/index.html

には掲載されているものの、サービスサイト
http://mb.softbank.jp/mb/

には掲載されていないのも、問題を起こした企業の姿勢としては万全ではないと考えます。

今後もこの事件を注視していきたいと思います。

http://www.softbankmobile.co.jp/ja/news/press/2009/20090909_01/index.html

logo_jipdec(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク事務局は、9月3日付けで、プライバシーマーク公式Webサイト上において、「FAQ:個人情報の取扱いにおける事故等の報告について」を発表しました。

従来、プライバシーマーク取得事業者が個人情報事故を起こした際に、どの程度の大きさの事故の場合に報告するべきなのか、報告しなくてよい場合があるのか、ということがはっきりしていませんでしたが、今回の発表で明確になりました。

JIPDECの判断は、「基本的にどんな場合でも報告してください」ということのようです。

唯一、報告しなくてもよいとされるのが、「配送時の事故」です。しかし、これも、内容物に個人情報が含まれない場合(個人情報が宛先のみの場合)に限られます。内容物に個人情報が含まれる場合には、報告せよと言うのがJIPDECの判断のようです。

(私のコメント)
かなり厳しいですね。プライバシーマーク取得済み事業者の皆様は、くれぐれも事故を起こさないようにしてください。また、事故を起こしてしまった場合には、基本的にJIPDEC(または審査をお願いした指定機関)に連絡しなければいけない、これがスタンダードだということになります。

http://privacymark.jp/privacy_mark/faq/accident_report.html

marusan報道によりますと、大阪府警は、9月1日に、丸三証券(東京都中央区)の顧客情報を持ち出し、同業のキャピタル・パートナーズ証券株式会社(東京都中央区)の営業活動に使用したとして、同社元社員1名と、キャピタル社社員2名を不正競争防止法違反(営業秘密の不正取得など)容疑で逮捕したとのことです。

昨年7月から8月にかけて、同社からキャピタル社に転職した2名の誘いを受けて、同社の当時の社員(昨年9月懲戒解雇)が同社の顧客情報を使用し、共同で、あるいは単独で、キャピタル社の営業活動を行ったとのことで、規模は40人程度とのことです。

丸三証券では、9月1日付で、自社が今年1月にキャピタル社と今回逮捕された3名をそれぞれ告訴していたと発表しました。

キャピタル社では、内部調査委員会で事実関係の調査を進めるとともに、元名古屋高等検察庁検事長の高野利雄弁護士らをメンバーとする外部調査委員会も設置し、今後対応していくと発表しています。

(私のコメント)
本人たちは、ほんの出来心でやっていたんでしょうけど、おおごとになってしまいましたね。不正競争防止法の営業秘密に関する規定は改正が繰り返されて、どんどん厳しくなってきています。逮捕の事例は珍しいですが、今後もこの法律が適用されるケースは増えてくるでしょう。
また、今回の事件は、単純に丸三証券対キャピタル社の対決と言い切れないところもあります。キャピタル社としては、社員が勝手にやっていたという側面もあるわけです。だから、企業としては、そういうことを今後はきちんと教育したり、ルール化したりしていかなければならないと。対応すべことがたくさんありそうですね。

http://irs.marusan-sec.co.jp/ir/Ir_Seminar.nsf/alldocs/D6307FE087384EFE49257624002BC97F/$File/IR090901.pdf
http://www.capital.co.jp/topix/pdf/topix_090902.pdf

 

saqwa三菱商事子会社でネット通販事業を営む株式会社デジタルダイレクト(東京都中央区)は、9月4日付で、海外からの不正アクセスにより自社の通販サイトの顧客のクレジットカード情報が流出したと発表しました。規模は52000件です。

対象となるサイトは、
「saQwa(サクワ) ネットショッピング」( http://saqwa.jp/
「fun style shopping(ファンスタイルショッピング)」( http://www.fun-ss.com/
とのことです。両サイトとも、現在運用停止中です。

流出の可能性のある項目は、クレジットカード情報、ユーザーID、ログインパスワード、氏名、性別、生年月日、電話番号、住所、メールアドレス
で、クレジットカード情報が約52,000件、メールアドレス情報が約29,000件とのことです。

(私のコメント)
これも、SQLインジェクションでしょう(推測)。報道によると、中国や韓国などの計49か所からサイバー攻撃を受けていたことが判明したとのこと。本当に恐ろしいですね。

http://www.digitaldirect.co.jp/
http://www.digitaldirect.co.jp/images/houkokuowabi.pdf

oosaka_pref大阪府は、8月26日付で、個人情報9000人分の入ったSDメモリーカード(以下、SDカード)が匿名の差出人から障がい福祉室宛に郵送され、内容を確認したところ、大阪府で管理している個人情報約9000人分が含まれていたと発表しました。

内容としては、重度障がい者介護手当の受給者台帳、重度障がい者特例支援事業の受給者台帳、障がい者ケアマネジメント関係研修受講者・講師の個人情報で、住所氏名などの基本情報のほか、障害の程度、生活保護の有無、銀行口座の情報など、かなり細かい個人情報が入っていたと言う。

今回のSDカードが送付されてきたのは8月24日で、「コピーをもらいました。」というメモ用紙にセロテープでSDカードがつけられて匿名で送られてきたと言う。

当時の担当職員にヒアリングしたところ、昨年4月の人事異動の際、今回流出したファイルをSDカードに保存し、後任の職員のパソコンにコピーしたが、その後、そのSDカードの行方については「記憶が定かでない」という。

その後、何らかのルートでこれが流出し、そして第三者によってコピーされて、なぜか戻されてきたと言うことです。

(私のコメント)
後味の悪い事件ですねえ。どうしてわざわざ「コピーをもらいました」なんて書いて戻してくるんでしょうねえ。

http://www.pref.osaka.jp/chiikiseikatsu/fumin/index.html

http://sankei.jp.msn.com/photos/affairs/crime/090826/crm0908262047033-p1.htm(このURLに画像があります)

rikujo_jieitai報道によると、陸上自衛隊は、8月31日付で、陸上自衛隊員の9割以上に相当する約14万人の個人情報を流出させたとして、鹿児島地方協力本部の1等陸尉・ 徳永安成容疑者(46)を行政機関個人情報保護法違反の容疑で逮捕したとのことです。

陸上自衛隊では、多くの職員の「隊員出身地カード」と呼ばれる情報をデータ化して全国の本部に送り、業務に使用していたそうですが、徳永容疑者は、それを閲覧する権限を与えられており、そのデータをコピーして持ち出し、不動産関連業者に約100万円で販売したという。

徳永容疑者は、地方協力本部内で本データをメモリースティックにコピーして持ち出し、勤務先である鹿児島募集案内所で自分のパソコンにコピーし、その後CD-Rにコピーしたとのこと。もともとのデータは暗号化されていたが、それを自ら解除して販売したという。

今回の事件は、7月13日に東京・市ヶ谷の防衛省に男性から「市ヶ谷駅近くで自衛隊員の名前などのデータが記録されたCDを拾った」との電話があり、22日にその男性が防衛省に持参したという。

(私のコメント)
自衛隊は、イージス艦の情報流出以降、国家機密の流出を防ぐという観点からかなり対策をしたはずでしたが、今回は権限を持った幹部隊員が悪意を持って流出させたために、その対策は奏功しませんでした。残念ですね。それと、謎の男性が市ヶ谷の防衛省にCD-Rを持参するというのも不思議な話です。大阪府の事件に相次いで、不思議なことだと思います。

http://www.mod.go.jp/gsdf/

↑このページのトップヘ