プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年10月

P_seidoプライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、10月18日付で、制度の根幹をなす「プライバシーマーク制度設置及び運営要領」を来年3月1日に全面的に改正すると発表しました。

JIPDECでは、今回の改正は、あくまで規程の体系の見直し、文言の修正、記述の詳細化をしただけで制度自体を変更するものではないとしていますが、ある程度は事業者にも影響が出るものと思われます。

主な変更点を列記します。

(1)規程の体系の見直し
・規程を細分化した。
・「事業者用」「指定機関用」「研修機関用」などにグルーピングした。
・「綱領、規則」「規約」「基準」「手順」などに階層化した。

(2)名称の変更
・プライバシーマーク付与認定指定機関→プライバシーマーク指定審査機関
・プライバシーマーク使用許諾証→プライバシーマーク登録証
・プライバシーマーク付与認定番号→プライバシーマーク登録番号
・プライバシーマーク付与認定の審査→プライバシーマーク付与適格性の審査

(3)ロゴの使用について
・「JIS Q 15001:2006準拠」の表記を廃止
・登録番号の右側にある、付与回数を意味する(nn)の表記は任意とする。すなわち省略してもよい。

(4)更新審査に関する時期の変更
・更新申請の期間を現在の「有効期限の3〜4か月前」から「有効期限の4〜8か月前」に変更する(移行期間を設けて、徐々に移行していく)。
・グループ企業が審査を受ける場合、可能な範囲で同時期に審査を受けることができるようになる。

http://privacymark.jp/reference/pdf/pmark_guide101018/Youryo_Kaisei101018.pdf

(私のコメント)
更新申請時期の変更に関しては、事業者側にも影響が出ますね。また、指定機関周りもかなり変わりますので、指定機関の関係者の方はよくご覧になった方がいいと思います。

csaj_logo「JIPDECガイドライン・第2版」について、プライバシーマーク指定機関の一つである(社)コンピュータソフトウェア協会(略称:CSAJ)がその解説セミナーを開催するそうですので、本Blogでもご案内いたします。

主催:(社)コンピュータソフトウェア協会
日時:
【第1回】 平成22年11月18日(木)10:00〜12:00
【第2回】 平成22年12月16日(木)10:00〜12:00
(2回とも同内容)
会場:社団法人コンピュータソフトウェア協会(CSAJ)会議室
〒107-0052 東京都港区赤坂1-9-15 日本自転車会館1号館 5F
講師:社団法人コンピュータソフトウェア協会
プライバシーマーク審査室 主任審査員 村上 正気
対象:会員、一般
参加費:無料
定員:各回40名限定(先着順、事前登録制)

とのことです。

http://www.csaj.jp/seminar/2010/1118_seminar.html

(私のコメント)
講師の村上さんは340件の審査実績を持つ現役の主任審査員ですし、必聴です。今回のセミナーはCSAJの会員ではなくても参加できるようです。すぐにいっぱいになっちゃうような気もしますが、まずは申し込んでみてください。

microad_logo9月24日(金)の夜に、サイバーエージェントグループの株式会社マイクロアド(東京都渋谷区)が運営する広告配信サーバーが不正アクセスを受け、不正な内容を広告と一緒に配信するようになり、同社の配信する広告を掲載していた数多くのサイト(個人Blogから大手企業サイトまで含まれます)にアクセスしたした人にウイルス感染の危険性が発生しました。

なお、マイクロアドというのは、いわゆる広告配信ASPサービスであり、Google AdSenseと同様のサービスのようです。

具体的に発生した事象については、下記のページが詳しく説明しています(Gigazine)。

http://gigazine.net/index.php?/news/comments/20100927_security_tool/

(1)広告を表示するためのタグの中に、「1ドット×1ドットのiFrame」(ページの中の小窓だと思ってください)を混入させ、ページを表示させただけで不正なURLが開くようになっていた。
(2)そのURLはダイナミックDNS(一時的に有効なURLを発行するサービス)の一種を利用して一定の間だけ不正なサーバーに転送され、一定の時間が過ぎると問題のないサーバーに転送するようにされていた。原因の解析を逃れるためにこのような方法が取られていたようです。
(3)不正なサーバーでは「偽セキュリティソフト」のダウンロードが仕込まれており、この広告を掲載していたページを開いただけで、その偽ソフトの自動ダウンロードが始まるようになっていたとのことです。

※Gigazineさん、貴重な情報ありがとうございます。

今回の事件に際して、マイクロアド社、ならびに広告を掲載していた企業において、プレスリリースを出しただけで、それ以上の大々的な対応は取られていないようです。

マイクロアド社側の説明によると、発生から2時間後に不正なサーバーへの転送が停止されて被害が収まり、発生から3時間半で問題のあるサーバーを停止して今回の問題が収束したとのことです。また、今回ダウンロードさせようとした偽ソフトは、すでに多くのウイルス対策ソフトでは認識できるものであったため、未然に予防できるものであったと説明しています。

http://www.microad.jp/press/20100925/

(私のコメント)
Googleで「Security Tool」という今回の偽ソフトの名称を検索すると「インストールしてしまった」という声が見られますし、実際には今回の事象の発生時点では対応できていなかったウイルス対策ソフトがあるという情報も散見されます。大きな被害を受けた方がおられたら、声を上げた方がいいと思います。
また、今回の攻撃で、広告配信ASPサービスに攻撃することの有効性がある意味で証明されました。次は、同じ方式で、もっと強烈なウイルスがばらまかれた場合には、もっと大規模な被害が発生する可能性があります。怖いですねえ。

mitsubishi_logo三菱電機インフォメーションシステムズ株式会社(東京都港区・プライバシーマーク取得済)は、9月28日付で、自社で開発し販売していた図書館システムにおいて、本番稼働していた図書館での生データが含まれた状態で37の図書館に納品し、しかもその個人情報がインターネット上でダウンロード可能な状態になっていて実際に流出したと発表しました。

詳しくは同社のリリースをご参照ください。

http://www.mdis.co.jp/news/press/2010/0928.html

ちなみに、今回の問題の流出源となった岡崎市立中央図書館といえば、ある男性が自作プログラムを使用して新着図書の情報を自動的にダウンロードさせたことが原因でシステムダウンし、その男性は故意にシステムをダウンさせたとして5月に逮捕されたところです。これに関しても、単にシステムの設計ミスにより負荷に耐えられなかっただけではないかという指摘もあります。

(私のコメント)
失礼ながら、レベルが低すぎます。(1)本番データの個人情報が入ったままで他の図書館に納品した。(2)本番データの個人情報がインターネットからダウンロードできる状態にあった。と、二重にミスを重ねています。
図書館の貸し出し情報とは、その人の思想信条を反映するものであり、特定の状況下においては「特定の機微な個人情報」にあたる可能性があると思います(これは私の個人的見解です)。そのような情報を取り扱う図書館システムの開発・運用体制としては、あまりにずさんであると言わざるを得ないと思います。

↑このページのトップヘ