プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年07月

koei_techmo_logo
コーエーテクモホールディングス株式会社(神奈川県横浜市港北区)は、7月20日付で、自社グループで運営しているエンターテインメント情報サイト「GAMECITY」に対する不正アクセスが発生し利用者の個人情報が流出したと発表しました。

流出の内容と規模は下記の通りです。
・クレジットカード番号 16名分
・電子メールアドレスおよびGAMECITY用パスワード等 1,807名分
・電話番号および郵便番号等 8名分

なお、同社のQ&Aによると、今回の不正アクセスは「SQLインジェクション」であったとのことです。

(私のコメント)
久しぶりのSQLインジェクション事件ですね。危険なのはメールアドレスとパスワードが一緒に出ているケースです。もし、同じパスワードをメールにも使いまわししている場合には、メールの内容が全て筒抜けになってしまいます。こういうケースでの被害を抑えるためにも、パスワードの使いまわしはやめましょう。

http://www.gamecity.ne.jp/
http://www.koeitecmo.co.jp/php/pdf/news_20100720.pdf

logo_jipdec
(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、7月12日に、プライバシーマーク制度の公式Webサイト上でこれまで公開してきた「中止事業者」の情報掲載を取りやめると発表しました。

中止事業者とは、「辞退」「合併」「廃業」などの理由によりプライバシーマークを更新せずに権利を放棄した事業者のことですが、従来は公式Webサイトのトップページにおいて中止事業者の総数を掲載し、リンク先のページにおいて認定番号と中止理由を公表していました。今回はこれらの情報公開をすべて取りやめるということのようです。

(私のコメント)
私は「Pマークの取得者数は減っているんですか」「辞退する会社は多いんですか」という質問をよく受けます。そして、従来の中止事業者のリストはよく読めばそのあたりの事情(実際には辞退はそれほど多くはなく、会社合併や廃業などによる中止が多いこと)が分かるはずのものでしたが、多くの方はトップページの総数の表示を見て「Pマークってやめる会社が多いんですね」と受け取られることが多かったようです。なので、今回の掲載取りやめはやむなしと思います。

http://privacymark.jp/

somusho
総務省は、7月16日付で「メールアドレスの誤送信」と題した文書を公表しました。複数の会議の傍聴希望者(58名)に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。

よくあることです。複数のメールアドレスを「Bcc:」に入れて送ろうとしたところ、間違えて「To:」または「Cc:」に入れてしまうということです。こういうことは、過去に何回も何回も起こっています。

どうしたらいいのか。私はメール一斉配信用のソフトを使用することをお勧めします。たとえば、下記にリストされているものです。無料のものでもいくつかあります。

窓の杜「同報メール」カテゴリー
http://www.forest.impress.co.jp/lib/inet/mail/packmailer/

「不特定多数にメールを送信する場合には、メール配信専用のソフトを使用する」

これをルール化して、社内で徹底することをお勧めします。

なお、使い慣れないソフトになりますので、最初、同じ部署の全員に送るなど実験を繰り返して、ソフトの動作に慣れるようにしてください。そして、本番で使用するようにしてください。

logo_salesforce

株式会社セールスフォース・ドットコム(東京都渋谷区)は、7月14日(水)、同社の顧客に対して「不審なメールに関する重要なお知らせ」と題した注意喚起のメールを送信したようです。

同メールによると「Salesforce: Unauthorized access」という件名の電子メールが同社の顧客かどうかにかかわらず配信されており、本文中にSalesforceのパスワードをリセットするためとされるURLが張られているといいます。

そして、このURLをクリックすると、マルウェア(不正ソフトウェア=ウイルス)をダウンロードしてしまう可能性があると、同社では注意喚起しています。

(私のコメント)
同様のことは、Salesforceだけでなく、国内の金融機関などでも発生しています。くれぐれも不審なメールに記されたURLは開かないようにしましょう。

http://trust.salesforce.com/trust/jp/security/threats/ (日本語)
http://www.trust.salesforce.com/trust/security/threats/ (英語)

Bellsystem_logo

コールセンター大手の株式会社ベルシステム24(東京都渋谷区・プライバシーマーク取得済)の契約社員が、業務上知り得たクレジットカード情報を利用し、多額の物品を購入していたとのことで、窃盗の疑いで警視庁に逮捕されました。

同社員は、同社が三菱UFJニコス株式会社(東京都千代田区・プライバシーマーク取得済)から受託したクレジットカードの不正利用の監視業務に夜間従事しており、そこで自らが不正使用をしたようです。

両社は、相次いでプレスリリースを発行し、対策を発表しています。

(私のコメント)
「監視業務にあたっている人間が不正利用する」このパターンは大変ありがちではありますが、なかなか不正が発覚しずらいパターンです。今回は三菱UFJニコス側が検知して対応を取ったようですが、要は同社には二重チェックの仕組みがあるということですので、これは素晴らしいことだと思います。
また、両社ともプライバシーマーク取得事業者です。事故報告の後、どのような欠格レベルにあたるのかが注目されます。

http://www.bell24.co.jp/ja/company/pressrelease/2010/100708/100708_02.pdf
http://www.cr.mufg.jp/corporate/info/pdf/2010/100708_02.pdf

jsoc_h1_tiltle_profile_shot
国内最大規模のセキュリティ専門会社である株式会社ラック(略称:LAC、東京都港区)は、本日、平河町の新オフィス内に開設したセキュリティ監視センター「JSOC(ジェイソック)」の内部の様子を撮影した画像を同社Webサイト上で公開しました。

このJSOCは、24時間365日無休で専門家が常駐し、国内の有名企業や官公庁のルーターのログをリアルタイムに収集・解析し、異常を発見し次第、対処するという監視センターです。

JSOCは、以前よりその特異な内装、まさに情報セキュリティの「地球防衛軍」をイメージしたような内装で知られていました。それが、このたびの同社のオフィス統合により、神谷町から平河町に移転したのを機会に、さらにグレードアップしたようです。

下記のURLで様子が見えますので、ぜひご覧ください。
http://www.lac.co.jp/jsoc/feature.html
http://www.lac.co.jp/jsoc/tour.html

※なお、今回、同社の西本氏の許可を得まして、特別にリアルな見学ツアーを開催することとなりました。8月6日19時〜20時に開催します。下記のURLからお申し込みください。先着10名です。
http://atnd.org/events/6137
(日付を間違えて書いていました。6日が正しいです)

BSIBSIグループジャパン株式会社(東京都港区・略称:BSIジャパン)は、このたび、新たに個人情報保護マネジメントシステム(PMS)に関する研修を開始すると発表しました。

研修名称>
JIS Q15001準拠 個人情報保護マネジメントシステム(PMS)トレーニングコース

対象者>
新しく内部監査員になられる方や、新しく推進担当者になられる方

概要>
1日目:JIS Q 15001要求事項解説コース
● JIS Q 15001要求事項の概要
● 個人情報の定義
● 要求事項の解説
● 個人情報の特定、リスクアセスメント、個人情報の取得、開示手続き:演習
● 理解度テスト
● 質疑応答
2日目:ISO19011に基づくPMS内部監査の解説コース
● 個人情報保護マネジメントシステム内部監査の概要
● 監査計画:解説及び演習
● 監査準備:解説及び演習
● 模擬監査:解説及び演習
● 監査報告:解説及び演習
● フォローアップ監査
● 理解度テスト
● 質疑応答

料金>
片方だけ受講することが可能。
1日目のみ 24,150円(税込)
2日目のみ 36,750円(税込)
2日間参加 54,600円(税込)

日程>
2010年 07月20日・21日 東京(残席わずかだそうです)
2010年 09月16日・17日 東京
2010年 11月18日・19日 東京

お申込みはこちらまで。
http://www.bsigroup.jp/ja-jp/training/trainingbystandard/-JIS-Q-15001/15001/

(私のコメント)
ISMS認証の得意なBSIジャパンさんが、PMSの研修を始めるとは思いませんでした。有料セミナーとしては価格も適切ですし、Pマークの担当になられた方や、監査人に任命された方は参加することをお勧めします。

↑このページのトップヘ