プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年11月

Crushbox株式会社ソフマップ(東京都豊島区)は、全国のソフマップ店舗で、ハードディスクの物理的破壊サービスを開始しました。

これは、従来より秋葉原地区の一部店舗で実施していたサービスですが、好評につき全国展開を行うことのようです。

実施店舗リスト:
秋葉原5店舗・新宿2店舗・池袋パソコン館・大宮店・横浜店・町田店・立川店・川越店・札幌店・名古屋駅ナカ店・京都店・梅田店・なんばザウルス2・日本橋1号店・天王寺店・神戸店・岡山駅前店・広島店

ソフマップは、ビックカメラの完全子会社化が発表されており、ビックカメラと併設の形で店舗展開が強化されてますので、利便性は結構高いかなと思います(弊社のある池袋にもあります!)。

料金は一台980円。

パソコン廃棄時のデータ流出の危険性を考えれば、これは安い投資なのではないかと思います。

(私のコメント)
ソフマップさんの紹介ページに掲載された画像によると、機材は日東造機さんの「CrushBox」を使用するようですね。この製品は、ハードディスクの物理的破壊の分野では世界のデファクトスタンダードともいえる存在。独自の油圧圧縮技術を採用しており、米軍・防衛省・検察・警察・裁判所・国税局・国土交通省・自治体などで採用されており、全世界で数千台が稼動しているそうです。

http://www.sofmap.com/tenpo/topics/exec/_/id=tp00025/-/sid=0
http://www.nittoh.co.jp/ntz3/topics/tp_db25/

興味深い記事がありましたので、ご紹介します。

ライフハッカー[日本版]
自分が死んだ後のメールアドレスやSNSアカウントはどうなるの?
http://www.lifehacker.jp/2009/11/091121sns_mail.html

(私のコメント)
海外記事の翻訳のため、日本のサービスについては完全には調査し切れていないようですが、問題提起としては面白いと思います。メールやSNSの情報は、家族も知らないセンシティブな内容が含まれている可能性も高く、一概に家族に公開するのがいいものかどうか、家族もそれを見たほうがいいのか、見ないまま削除したほうがいいのか、いろいろと難しい問題を含んでいると思います。そういう中で、GoogleとYahoo!の対応が対照的で、興味深いなと思います。

fsa_logo金融庁は、11月20日付で、「金融分野における個人情報保護に関するガイドライン」を改正しました。

今回の改正内容は大きなものではなく、経済産業分野ガイドラインの改正とレベルを合わせる部分もあり、全体的に読みやすく、かつ明確な指示になっています。

(私のコメント)
今回の改正で、金融分野ガイドラインもようやくよいものになってきた感じがします。金融の業界にお勤めの方は、是非ご一読をお勧めします。

http://www.fsa.go.jp/common/law/kj-hogo/index.html

spam_mail
いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

どこからともなく送られてくる迷惑メール。泣き寝入りするしかないとあきらめなくてもいい方法がありますので、皆様にお知らせします。

それは、国に報告するのです。

実は迷惑メールは、下記の二つの法律で規制されています。

・特定電子メール法(総務省管轄)
・特定商取引法(経済産業省管轄)

適用対象が微妙に異なるのですが、この2つの省庁は別々に迷惑メール対策を行っているようです。

総務省は、「特定電子メール等送信適正化業務」をおこなう機関の登録を受け付けており、プライバシーマークの指定機関でもある(財)日本データ通信協会がこれに登録していて「迷惑メール相談センター」というセンターが開設されています。(費用は国からは出ていないようです)

経済産業省は、(財)日本産業協会に迷惑メール対策を委託していて、それにもとづいて「電子商取引モニタリングセンター」が迷惑メールの情報を集めています。

ま、というわけで、この2つのどちらか、または両方に報告すれば、それが集計されて悪質なものから取り締まられるという仕組みになっているのです。

(財)日本データ通信協会「迷惑メール相談センター」
http://www.dekyo.or.jp/soudan/ihan/

(財)日本産業協会「電子商取引モニタリングセンター」
http://www.nissankyo.or.jp/mail/index/index.html

いずれも、報告は簡単です。届いた迷惑メールを特定のメールアドレスに転送するだけです。悪質なものから、「特定電子メール法」「特定商取引法」の規定に基づいて、行政処分が行われますので、一定の効果があるかと思います。(ただし、行政処分の対象は国内事業者に限られますので、海外からの英語のSPAMメールへの対抗は難しいと思います)

ご参考まで。

※2つの法律の関係については、下記URLをご参照ください。
http://www.pmarknews.info/archives/51314546.html


また、何か情報が入りましたら、皆様にシェアいたしますね。

alico_logo

7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)は、11月11日付で、再度流出範囲が拡大したこと、ならびに流出経路が海外の委託先の企業であることを発表しました。

同社では、10月6日に最終的な報告となるはずであった報告を行いましたが、その後、流出範囲に含めていなかったカード情報を使用した不正照会が発生し、流出範囲の拡大を認めざるを得ない事態に追い込まれたようです。

同社がWebサイトに掲載した発表文で、流出経路として「外国の業務委託先の一人の社員」と記述し、同社としては初めて今回の流出事件が国内にとどまらないことを正式に公表したことになります。

毎日新聞の報道(本日付)では、取材に基づいたと思われるさらに詳しい情報が報じられています。「アリコは、システムに不審なアクセスをしていた中国企業の社員を流出元と特定。流出が発覚した7月以降、現地に職員を派遣するなどして調査しているが、問題の社員は関与を否定、流出したデータなどの証拠は入手できておらず、調査の遅れから被害の拡大を招いた形だ。これまで判明した以外にどの顧客のデータが流出しているかも不明という。  企業名や社員の国籍、現在も勤務中かどうかなどは『捜査に支障が生じる』として明らかにしていない。問題の企業との委託関係は継続して調査を進めているが、実際の業務は停止。システムにアクセスする権限を限定し、不正アクセスをなくすことで再発防止を図る。」とのことです。

(私のコメント)
これまで、一部の週刊誌の報道にありましたが、ついに流出が中国ルートであることが正式に発表されましたね。これで、私がずっと抱いていた謎が少し解けました。「なぜ流出犯が捕まらないのか」「なぜカードの不正利用が続くのか」ということです。

情報の持ち出しが中国での委託先で発生したとすると、日本の警察当局だけでは手出しはできません。ですから流出犯はなかなか捕まらない。

また、カードの不正利用に関しても、国内のネット通販での利用が多く発生していたという情報を信じるとするならば、犯人たちは中国からわざわざ日本の通販サイトにアクセスして、商品を買うようなふりをして、実在しない住所などを入力していたのかもしれませんね。これだと犯人は商品を手にできない一方で、足はつきませんから、犯人も捕まらない。

このアリコジャパンの事件は本当に奥が深く、容易には最終解決までたどり着けそうにないですね。

http://www.alico.co.jp/

http://www.alico.co.jp/about/press/09_1111.pdf

mufj_sc報道によりますと、三菱UFJ証券(東京都千代田区)で2月に発生した顧客の個人情報流出事件に関して、会社のほぼ全顧客にあたる148万件の個人情報を持ち出した元部長代理(45歳)に対して、本日、東京地裁は不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決を言い渡したそうです。

裁判官は「情報流出で会社の社会的信用を大きく失墜させた。遊興による借金返済という動機にも酌量の余地はない」としたとのことです。

なお、NHKニュース(本日17時18分発信)によりますと、この事件で三菱UFJ証券がうけた損害はお詫び金5億円を含めて約70億円に上るとのことで、今後この元部長代理に対して損害賠償請求訴訟を起こす考えだとのことです。

(私のコメント)
個人情報の漏えい事件で、実刑判決が出るのは極めて珍しいと思います。過去に、Yahoo! BB事件やNTTドコモ事件などで実刑判決が出たことがありますが、これらは恐喝罪や威力業務妨害罪など、流出後に金銭を要求したり、業務を妨害したことに対する処罰でした。今回の判決は不正アクセス禁止法と窃盗罪ですので、純粋な情報持ち出し対する処罰として、事実上初めての実刑判決といえるのではないかと思います。

参考までに、この事件に関する記事のURLを貼り付けておきます。

http://blog.optima-solutions.jp/archives/51379955.html
http://blog.optima-solutions.jp/archives/51361554.html
http://blog.optima-solutions.jp/archives/51361550.html
http://blog.optima-solutions.jp/archives/51361537.html
http://blog.optima-solutions.jp/archives/51341710.html
http://blog.optima-solutions.jp/archives/51321883.html

http://www.sc.mufg.jp/

http://ja.wikipedia.org/wiki/%E4%B8%89%E8%8F%B1UFJ%E8%A8%BC%E5%88%B8%E9%A1%A7%E5%AE%A2%E6%83%85%E5%A0%B1%E5%A3%B2%E5%8D%B4%E4%BA%8B%E4%BB%B6

日本情報処理開発協会(JIPDEC)は、10月30日付で、特定非営利活動法人中四国マネジメントシステム推進機構(略称:中四国MS機構)をプライバシーマーク付与認定指定機関(略称:指定機関)に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今回、新たに指定された中四国MS機構は、中国地方・四国地方に本社が所在する事業者(但し、医療・保健・福祉分野の事業を営む事業者を除く)の審査を担当することになるとのことです。

これで指定機関は17団体となり、全国各地域における指定期間の体制整備が完了したため、地域を対象とする指定期間の募集は終了すると、JIPDECではしています。 

 (私のコメント)
これで全国の指定機関の整備が完了ですね。JIPDECの審査員の方は地方出張の機会が減って、寂しいのではないかしら。。。。(笑)

http://privacymark.jp/news/2009/1030/ms.html
http://www.ms-kikoh.or.jp/index.html

タスポすごく古いデータになってしまいますが、7月26日付で共同通信が発信したニュースで「タスポ情報、検察に提供 日本たばこ協会」というものが在りました。

その報道によりますと、タスポを管理している社団法人日本たばこ協会(東京都港区)では、検察当局の任意の求めに応じて、特定の個人の生年月日や住所、電話番号、カード発行日などのほか、たばこ購入の日時や利用した自販機の所在地を一覧表にして提供。免許証など顔写真付き身分証明書の写しが添付された申込書のコピーを渡した事例もあったということです。

検察当局は、このデータを利用して、行方の分からなくなった罰金未納者の所在地を特定できたということです。

(私のコメント)
個人情報保護法には、「法令に基づく場合」には本来の利用目的を超えて利用したり、提供したりしてよいという例外規定があり、経済産業省のガイドラインでは刑事訴訟法197条に基づく「任意の捜査」もこれにあたるとしていますので、日本たばこ協会の行為自体は問題ないものと考えられます。

ただし、このニュースから感じることは、「どんな記録も当局は入手できる」ということです。タスポに限らず、Tポイントカードもそうでしょうし、スイカやエディも記名式の場合は同じことになります。「捜査の為」という名目さえ成り立てば、どんなデータも提供される可能性があると、そういう風に思っておく必要があると思います。

http://www.47news.jp/CN/200907/CN2009072501000753.html

rikujo_jieitai報道によりますと、8月末に判明した陸上自衛隊員14万人分の個人情報流出事件で、行政機関個人情報保護法違反に問われた自衛隊鹿児島地方協力本部の一等陸佐の初公判が11月5日に開かれたとのことです。

被告の一等陸佐は、起訴事実を認めたそうですが、もう少し詳しい情報が出てきました。

・実行したのは2008年11月
・見返りは100万円で、息子名義の口座に振り込ませた。
・提供崎の不動産会社役員は、自衛隊法違反で起訴されている。
・一等陸佐は、2004〜2005年にかけて投資用賃貸マンション3室を約7000万円で購入したが、入居者が集まらず、ローンの返済に行き詰った。
・2008年10月頃にマンション売却を相談したら、逆に自衛隊員の個人情報の提供を持ちかけられた。
・個人情報を受け取った不動産会社役員は、複数の名簿業者に売りに行ったが拒絶された。

とのことです。

(私のコメント)

この一等陸佐、悪いけどこの不動産会社にいいカモにされてしまった感じですね。

ここからは推測ですが、「儲かりますよ」とか、「老後の資金のために」とか言われて、必ずしも入居者が集まるとは言えない投資用マンションを売りつけられて、結果的に入居者が集まらず、困ったので相談したら「他の隊員の情報をもらえませんか」と言われた。なんと彼は隊員の9割に当たる14万人のデータを入手できる立場におり、それをそのままそっくりと提供してしまった。こんな感じかなと思います。

まったく、どこに落とし穴があるか分かりませんね。やはり、常日頃からの教育や啓蒙活動が重要と思います。

http://blog.optima-solutions.jp/archives/51389734.html

↑このページのトップヘ