プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年10月

alico_logoアリコジャパンは、10月29日付けで、自社から流出したと思われるクレジットカードの不正利用(正確には不正照会と思われます)が続いており、9月11日に発表した18,184名という流出範囲を拡大することになるかもしれないとする発表を行いました。

また、これは未確認情報ですが、三菱UFJ証券から流出した顧客名簿に名前が含まれていた方のところには、今でもセールスの電話がかかってきていると聞きました。

本当に、個人情報が一度流出してしまうと、それを取り戻すことは事実上不可能であり、いつまでも被害が続くことになります。

クレジットカードの場合には、番号を変更して新しいカードを発行することで回避可能ですが、これにはそれなりの費用がかかります。また、電話番号やメールアドレスの場合には、個人にとって重要なコミュニケーション手段でもありますので、簡単には変更できない場合があると思います。

とにかく、最初の個人情報の流出をおこなさないこと、これが企業にとって重要なことであると改めて実感しました。

http://www.alico.co.jp/about/09_0723.htm
http://blog.optima-solutions.jp/archives/51341710.html

あまり馴染みのない本かもしれませんが、中央経済社刊の法律誌「ビジネス法務」11月号で、「施行5年目の個人情報保護法」と題した特集記事が掲載されています。

 ビジネス法務 2009年 11月号 [雑誌]ビジネス法務 2009年 11月号 [雑誌]
販売元:中央経済社
発売日:2009-09-19
クチコミを見る





岡村久道氏、鈴木正朝氏など、著名な人々が文を寄せています。

弊社の法律顧問である弁護士の鶴巻暁氏(JIPDECのプライバシーマーク審査会メンバーでもある)も「プライバシーマーク新規取得・継続の戦略」と題した文章を担当しています。

この中で、鶴巻氏は、個人情報保護法とJIS Q 15001の比較をしながら、どのような場合にプライバシーマークの取得が有効なのかを検討しています。

結論的には、
・B to C取引を行う事業者、特に「特定の機微な個人情報」を扱う事業者に有効。
・すでに信用を獲得している大企業よりも、これから信用を獲得する必要のある新興中小企業においてこそ有効。
としています。僭越ながら、妥当なコメントかと思います。

興味のある方は、ご一読をお勧めします。

meti_logo経済産業省が10月9日付で改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」についての続報です。

中央経済社刊「ビジネス法務」11月号の個人情報保護法特集の中で、ガイドラインの検討委員会作業部会委員でもある鈴木正朝氏が書いておられるのを読んで気づいたのですが、ガイドラインの29ページには、下記のように記されています。

-----------------------------------------
事業者は次の事例について、認定個人情報保護団体又は主務大臣への報告を月に一回ごとにまとめて実施することができる。
・ファクシミリやメールの誤送信(宛名及び送信者名以外に個人情報が含まれていない場合に限る。)。

(分かりやすくするためにここで段落を分けます。実際のガイドラインでは続けて表記されています。)

なお、内容物に個人情報が含まれない荷物等の宅配又は郵送を委託したところ、誤配によって宛名に記載された個人データが第三者に開示された場合については、報告する必要はない(2-2-3-2.【安全管理措置の義務違反とはならない事例(従業者の監督及び委託先の監督の義務違反ともならない場合)】参照)。
-----------------------------------------

前段で書いているのは、FAXやメールの誤送信であって、宛先以外に個人情報が含まれていない場合には、認定個人情報保護団体又は主務大臣への報告を月に一回にまとめてよいということです。これはすでに前回のこのBlogの記事でも書きました。

しかし、後段に注目すべき内容が含まれていたのです。

すなわち、宅配便や郵便での誤配により、宛先の情報が第三者に知られただけの場合には、認定個人情報保護団体にも主務大臣への報告も行う必要がないということです。

そういうことのようですので、事業者の皆様は、誤配については報告不要ですので、ご理解ください。

(私のコメント)
いやあ、やはり、この経済産業省のガイドラインには、重要な内容が含まれていますね。この世界で仕事をするのであれば、一字一句見落とさず読む必要があると思いました。

http://blog.optima-solutions.jp/archives/51407157.html
http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm

10月21日追記:ちなみに、JIPDECも同様の指針を出しています。プライバシーマーク取得事業者の皆様も、誤配については、審査機関への報告は不要です。

http://blog.optima-solutions.jp/archives/51391500.html

10月15日午後、アークヒルズ(東京都港区)内にあるエムオーテックス株式会社東京本部セミナールームにおいて、LanScopeシリーズでおなじみのエムオーテックス社と弊社の共催セミナーの第一回目が開催されました。

-------------------------------------------
「最新IT動向セミナー」【第2弾】
〜意外に知らないPマーク取得の本音と建前〜
-------------------------------------------

熱心な参加者の皆様に、たくさん集まっていただきまして、会場はちょうど満員でした。

第一部で私から「Pマーク取得って難しいのか?」と題したお話をさせていただき、第二部は、エムオーテックスの坂本さんから「Pマーク取得・更新に有効なLanScopeの活用法とは」と題して、デモを交えた分かりやすいお話でした。

参加者満足度も88%と、非常に高い数字を記録しました。

今回のセミナーを開催してみて感じたことですが、
(1)社内制度としてのプライバシーマーク
(2)セキュリティ対策システムとしてのLanScopeシリーズ
の2つは、ある意味で車の両輪ともいえるということです。

セミナーの中でもお話しましたが、
もちろんLanScopeシリーズのような特別なシステムを導入しなくても、プライバシーマークは取得できます。

でも、システム的な裏づけがないと、人間系でそれを処理することになりますし、低い水準のセキュリティ対策にとどまってしまうことは事実です。(繰り返しますが、それでもマークは取れます)

そこに、LanScopeシリーズのようなシステム的な裏づけがあると、セキュリティ対策が容易になると同時に、より高い水準を実現することができます。

また、逆に、セキュリティ対策システムを導入する際、プライバシーマークを取得しなければならないということはありません。

しかし、プライバシーマークの取得した場合に行うはずの社内体制作りが行われていない場合、せっかくのシステムもあまり効力を発揮しないと思います。(システム管理者の単なるおもちゃになってしまう危険性すらあります)

そこに、社長を筆頭とする個人情報保護のための社内体制がきちんと整備されていれば、単なるシステムではなく、会社運営のための目的が注入されることになり、定期的な教育・監査を行ったりすることになりますし、日常的な運用にも大きな意味が出てくると思いました。

だから、結論的にプライバシーマークと、LanScopeシリーズは、とっても相性がいいのだと、セミナーを終えた後に気づいたのです。(笑)

第二回目以降は、そういう話も含めていきたいと思います。
まだ席に若干の余裕がありますので、関心をお持ちの方は、今すぐお申し込みください。

第二回目 2009年10月23日(金)エムオーテックス大阪本社にて開催
第三回目 2009年11月18日(水)エムオーテックス東京本部にて開催

※大阪で第四回目を行う予定もあります!

いずれも14:00〜16:15(受付開始時刻13:30〜)
参加費:無料

http://www.motex.co.jp/seminar/2009_optima-seminar.shtml

meti_logo経済産業省は、このたびの個人情報保護に関する経済産業分野のガイドラインの改正にあわせて、全国で説明会を開催するようです。(株式会社電通パブリックリレーションズが受託)
10月26日(月) 東京会場(第1回目)(定員500名)
11月10日(火) 大阪会場(定員500名)
11月11日(水) 名古屋会場(定員300名)
11月24日(火) 福岡会場(定員200名)
11月25日(水) 広島会場(定員200名)
12月15日(火) 札幌会場(定員200名)
12月16日(水) 東京会場(第2回目)(定員500名)
1月15日(金) 仙台会場(定員200名)
第一部で、経済産業省の担当者より説明があり、第二部は、特別講師として株式会社シーピーデザインコンサルティングの鈴木靖氏、またはマイクロソフト株式会社の久保田成氏が公演するそうです。特に東京会場は、毎回満員になりますので、関心のある方はお早めにお申し込みください。

http://www.guideline-setsumeikai.jp/index.html

meti_logo経済産業省は、10月9日付で、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改正しました。

今回の主な改正点を列記します。
(1)昨年5月に「個人情報の保護に関する法律施行令」が改正され、個人情報取扱事業者の要件が変更されたことによる修正(市販の名簿など未加工で利用する場合の不算入の規定)
(2)本人の同意なく目的外利用ができる例外規定「法令に基づく場合」に関する事例の列挙の拡大(強制力を伴う事例と、そうではなくても適用除外となる可能性のある事例)
(3)不正取得の事例の列挙の拡大(第三者提供制限違反や不正取得を知りながら、それを再度取得する行為が明らかに不正取得であると列記された)
(4)個人情報の流出したものの、高度な暗号化が施されている、または第三者では識別できない場合には本人への連絡や公表を省略してよいが、その場合でも具体的にどのようにそうなのかを大臣に報告することの明記
(5)FAXやメールの誤送信については、宛先以外に個人情報が含まれていない場合は、認定個人情報保護団体または主務大臣への報告を月1回にまとめてよいと明記
(6)配達記録郵便の廃止に伴う移送・送信時の安全対策の記載の修正
(7)第三者提供の例外規定である「事業の承継」について、契約締結前の交渉段階での提供を認める記述の掲載
(8)共同利用に関する記載の大幅修正
(9)個人情報取扱事業者の公表事項に関する記載の修正(すべての利用目的を列記するのではなく、本人に明確になるようにすることの推奨など)

(私のコメント)
いつも書いているとおりですが、経済産業省のガイドラインは、本当に貴重な文書です。ぜひ、皆様ご一読ください。

http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm

追記:郵便物の誤配対応について、続報を書きました。
http://blog.optima-solutions.jp/archives/51409339.html


kanpo株式会社かんぽ生命保険(東京都千代田区)は、10月08日付けで、同社の加入者の個人情報が、同社のシステム開発業務の委託先社員の私物パソコンから、Winnyネットワーク上に流出したと発表した。

流出したのは、簡保(簡易生命保険)加入者の「カナ氏名」「生年月日」「住所コード」など13,574名分。

2007年3月に、当時の日本郵政公社簡易保険事業総本部がシステム開発を委託していた日本情報通信開発株式会社(東京都港区、ISMS認証取得済み)の社員が、作業のために業務用パソコンから自宅の私物パソコンに今回流出した個人情報をメールで送信していたものが、この私物パソコンがファイル共有ソフト「Winny」をターゲットとしたウィルスに感染し、ネットワーク上に流出したことが10月7日に発覚したという。

同社では、流出した個人情報の不正利用などの二次被害は確認されていないという。

(私のコメント)
確かに、カナ氏名と生年月日と住所コードだけでしたら利用価値はないのかもしれませんが、Winnyでの流出ということで今後も当分の間は流通し続けることになりますので、「二次被害なし」の一言で終わらせられてしまうと、ちょっといかがなものかと気になります。

http://www.jp-life.japanpost.jp/aboutus/press/2009/abt_prs_id000169.html

今週に入り、Hotmail、Gmail、Yahoo!(米国)などのメールパスワードが流出したとの報道が続いていますが、これはフィッシング詐欺により集められたものが、あるサイト上で公開されていたということのようです。

※フィッシング詐欺とは:著名サイトにそっくりなサイトを用意して、ユーザー本人にそのサイト用の本物のアカウントやパスワードなどを入力させること。

これに対して、米国のセキュリティ専門機関であるSANS Instituteは、「全てのWebメールのパスワードを変更するように」と注意喚起しています。

(私のコメント)
原因がフィッシング詐欺と分かり、少し安心しました。なぜなら、フィッシング詐欺の場合は、本人がそのサイトを見てだまされることが必要なのですが、今回のケースではフィッシング用のサイトは英語で作られていたようですので、日本人にはあまり被害はなさそうです。ただし、フィッシング詐欺が実際に大規模に行われていることは事実であり、日本語圏でも同様のことが起こる可能性は高く、用心に用心を重ねたほうがいいですね。

alico_logo7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)は、10月6日に自社のWebサイト上で最終的な報告結果を発表した。

また、報道によると、実際に流出した人には1万円分、実際には流出しなかった人には3000円分の「お詫びのしるし」を送付するとのことです。総額は5億円になるそうです。

●流出した個人情報

流出した個人情報は、18,184名分の「保険証券番号」「カード番号」「有効期限」「内部整理用の記号など」だけであったとのことです。本人の氏名、住所、電話番号などは何もなし。すなわち、クレジットカードの決済に必要な情報だけが狙い撃ちにされたことになります。

これはすごいことですね。プロの犯行ともいえますし、現在のインターネットにおいて「カード番号」「有効期限」だけがあれば決済ができてしまうという弱さがつけ込まれたということだと思います。

●同社の対応

(1)実際に情報が流出した18,184名には、「お詫びの書面」と「お詫びのしるし(=金券を意味していると思われます。マスコミ報道では1万円とのこと)」を送付済み。

(2)流出の可能性があるとして注意喚起の連絡をしたが、実際には流出していなかった約11万人には「お詫びの書面」と「お詫びのしるし(=金券を意味していると思われます。マスコミ報道では3000円とのこと)」を送付済み。

(3)お詫びのテレビCMを9月14日から25日まで放映。また、セキュリティ強化の決意をこめたテレビCMを9月24日から10月2日まで放映した。

(4)専用ダイヤルを設置して個別の流出の有無を確認できるようにした。

●流出経路

流出経路は、外部の業務委託先のコンピュータ(パソコンと思われます)から、同社のホストコンピュータへの不正アクセスと断定されており、実際に不自然な複数回のアクセス履歴を特定済み。

この操作を行ったのは、委託先の社員複数名まで絞られているが、物的証拠等が得られておらず、個人は特定できていない。(ここに関しては司法当局が動くことになると思います。)

(私のコメント)
基本的にはこれで、同社としてはこの事件は幕引きですね。しかし、金融機関が個人情報を流出した場合には「1万円」。もうこれは相場になってしまいましたね。今後、「個人情報の価格=1万円」。こういうことになると思います。
あとは、警察が動くことになるでしょう。しかし、上記の流出犯人の特定も必要なんですが、その後に起こったクレジットカードの大規模な不正利用(正確には不正照会)の方はどうなっているのでしょうか?こちら、早く誰が4000件以上の不正照会を行ったのか、同一犯人なのか、別の犯人なのか、大規模なグループが動いていたのかなど、捜査を進めて欲しいと思います。

http://www.alico.co.jp/about/apology_info.htm

Lac_Rep_13情報セキュリティの専門会社である株式会社ラック(東京都港区)は、9月16日付で「侵入傾向分析レポート Vol.13」を発表しました。 これは、同社が半年に一度のタイミングで定期的に発行している文書で、同社の誇るセキュリティセンター「JSOC」において、日々監視対象としている国内の数多くのルーター類のログを解析し、攻撃者の進入傾向を分析しているレポートです。同社Webサイト上で個人情報を入力することで、誰でも無料で入手することができます。

今回のレポートにおいては、WebサイトをターゲットにしたSQLインジェクション攻撃が2月に入り急減しており、攻撃手法に大きな変化が出ていることが報告されています。

以下、私の理解でのサマリーを掲載します。
(1)JSOCの顧客で発生した被害は、前年との比較で急減している。特にWebサービスに関連する被害が数千件単位から100件程度に急減。一方でWebサービス以外のその他のサービスに関連する被害は実数は少ないが微増傾向にある。
(2)2008年から続いていたWebサイトの改ざんを狙ったSQLインジェクション攻撃は、今年1月末をもって急減し、収束の方向にある。これは、攻撃者が1月30日をもって攻撃が終了されるようにプログラミングしていたからと言う。
(3)変わって重要性が増して来たのは、「パッケージ版WEBアプリを狙った攻撃」「ブルートフォース攻撃」である。
(4)クライアントPCがGENOウイルスに感染し、そこで盗み出されたFTPアカウントを使用してWebサーバーの内容を書き換える攻撃も多い。これに対しては、FTPのID、パスワードを定期的に変更することや、IPアドレスによるアクセス制御などの対策を取るべき。
(5)データベースに対するブルートフォース攻撃もそれなりに頻発している。データベースをインターネットに公開する場合には、IPアドレスによるアクセス制御、デフォルトアカウントの無効化などを行うべき。
(6)攻撃手法が変わったと言っても、主要なターゲットがWebサーバーの改ざんであることには変わりはない。改ざんされたサイトを閲覧することにより利用者にボット感染させてしまうリスクを経営者に正しく伝える必要がある。

皆様もどうぞ読んでみてください。生の情報ですので、本当に参考になります。

http://www.lac.co.jp/info/jsoc_report/
http://www.lac.co.jp/info/jsoc_report/_vol13.html

出典:株式会社ラック【侵入傾向分析レポートvol. 13】

神奈川県報道によりますと、神奈川県教育委員会は、今年1月に発表した県立高校生徒11万人分の個人情報流出事件に関連し、システム開発を受託した日本IBMとの間で、同社が1674万円を賠償すると旨の協定を9月28日付で結んだと、29日に発表した。

内容としては、県職員の時間外勤務手当てが1374万円、違約金が300万円という。

(私のコメント)
個人情報流出事件で、システム開発会社が賠償したケースに関して、賠償の事実ならびに金額が明確に公表されたのは珍しいことだと思いますので、掲載しておきます。

http://blog.optima-solutions.jp/archives/51278481.html
http://blog.optima-solutions.jp/archives/51373398.html

http://www-06.ibm.com/jp/news/apology.html

crm0910010757007-n1MSN産経ニュースは、10月1日付で「京都府警はなぜサイバー犯罪に強いのか」という記事を掲載しました。

WinMXユーザーの初逮捕、Winnyの開発者逮捕など、確かに、サイバー犯罪に関しては、京都府警が率先して動いてきたということがあります。

記事の中に、下記のような内容があります。
---------------------------------------------
winMX捜査の突破口となったのが、違法ファイルを放出するユーザーにネット上でアプローチし、捜査員側と直接接触する大胆な手法。匿名性が高く、外側からでは証拠固めが困難な犯罪に対し、府警の捜査員が思いついた「発想の転換」だった。この手法はその後、ファイル共有ソフト取り締まりの標準型となる。
---------------------------------------------

すなわち、違法な使い方をしているユーザーに対して、何らかの方法で連絡を取ったり、ユーザーのパソコンにはっきりとした証拠を残し、そのパソコンを後で没収して調査することで、その本人であることを証明すると言うことですね。

(私のコメント)
いやあ、こりゃ、恐ろしい。
ご参考まで。

http://sankei.jp.msn.com/affairs/crime/091001/crm0910010757007-n2.htm

(画像はMSN産経ニュースより引用)

↑このページのトップヘ