プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2010年11月

bic_camera_rogo

自社で運営するショッピングサイト「ビックカメラドットコム」に不正アクセスがあり、11月13日にサービスを緊急停止した株式会社ビックカメラ(東京都豊島区・プライバシーマーク取得済)は、11月24日14時からサービスを全面的に再開すると発表しました。

同社では、不正アクセスによる緊急停止の後、セキュリティ専門の第三者機関の協力を得て、事実確認、原因究明、並びに再発防止策を講じてきたとのことです。その結果、安全性が確認できたので、24日14時よりサービスを再開するとのことです。

今回のサービスの再開にあたっては、全ユーザーのパスワードを強制的に初期化し、メールまたは郵送で新しいパスワードを通知するとしています。

(私のコメント)
サミーネットワークスの件と非常に似た対応を取っています。ただし、今回の不正アクセスの規模がどの程度のものであったのか、ID、パスワードなどの流出はないのかなど、ビックカメラから詳細が説明されていないので、本件に関しては危険性を判断できない部分があります。同社にはさらに詳しい状況の説明を求めたいと思います。

http://www.biccamera.com/
http://www.biccamera.co.jp/ir/info101122.html
http://blog.optima-solutions.jp/archives/51614843.html

summy_logo

自社で運営するオンラインゲームサイト「777town.net」に不正アクセスがあり、11月10日にサービスを緊急停止した株式会社サミーネットワークス(東京都港区・プライバシーマーク取得済)は、11月19日付で、サービスを全面的に再開すると発表しました。

同社では、不正アクセスによる緊急停止の後、セキュリティの専門会社の株式会社ラック(東京都千代田区)の協力を得て、事実確認、原因究明、並びに再発防止策を講じてきたとのことです。その結果、安全性が確認できたので、19日10時よりサービスを再開したとのことです。同社では、12月分の料金を無料にするなどの対応を取るとしています。

今回の不正アクセスでは、全ユーザー173万人のパスワードが流出していますので、サービスの再開にあたっては、全ユーザーのパスワードを強制的に初期化したようです。

(私のコメント)
これで一件落着するのでしょうかね。173万人分のパスワードが犯人の手元に渡っており、その多くが他のサービスでも使い回しされていることを考えると、怖くて夜も眠れませんねえ。

http://www.sammy-net.jp/
http://www.sammy-net.jp/news/2010.11.18.pdf
http://www.777town.net/
http://blog.optima-solutions.jp/archives/51614799.html

printpack_logo


株式会社プリントパック(京都市西京区・プライバシーマーク取得済)は、11月17日付で、自社に登録されたメールアドレスが流出しているのではないかとの顧客からの問い合わせを受けて、調査を開始したと発表しました。

同社では、「プリントパックに登録しているメールアドレスと氏名とが整合する形で、迷惑メールが届くようになったため、調査を依頼したい」との内容を複数の顧客から受け取り、また一部の顧客からは「覚えのないサイトに登録されている」との指摘を受けたとしています。

同社では、緊急対策室を設置し、原因究明並びに事実確認を行っているとのことです。一方で、通常業務は止めることなく、平常通りの営業を継続するとのことです。

http://www.printpac.co.jp/
http://www.printpac.co.jp/contents/101115privacy.html
http://www.printpac.co.jp/contents/101115privacy_report.html
http://www.printpac.co.jp/contents/101115privacy_taisaku.html
http://www.printpac.co.jp/contents/101115privacy_faq.html

(私のコメント)
これも、プライバシーマーク取得事業者の事故です。。。。残念。

ajinomoto_logo

味の素株式会社(東京都中央区)は、11月13日付で、7月に実施した懸賞キャンペーンに応募したハガキ(通数不明)を全数紛失したと発表しました。

これは、今年7月1日から7月31日にかけて、同社と、中部近畿地方にスーパーマーケットを展開している株式会社オークワ(和歌山県和歌山市)が共同で実施した懸賞キャンペーンへの応募ハガキを、同社が管理していたところ、抽選前に紛失していたというものです。

同社では大阪市の天満署に遺失物の届け出をしたといいます。また、この懸賞に応募した人に対しては、お詫びしたいので連絡してほしいとしています。

http://www.ajinomoto.co.jp/
http://www.ajinomoto.co.jp/info-20101113.html

(私のコメント)
懸賞ハガキを全数紛失というのは珍しい事件です。しかし今回私は、同社のリリースを読んで「個人情報」の文字が全くないので少し違和感を感じました。
よく考えると「雑多な状態で箱に納められたハガキ」というのは、個人情報ではあっても個人データではないので、個人情報保護法の安全管理措置の義務規定の対象外なんですね。
もちろんこういう事件はよくないことです。また同社は、応募者の苦情に対応する必要がありますし、何らかの損害を与えたとすればそれを賠償する義務もあるわけですが、少なくとも個人情報保護法の安全管理義務違反ではないと考えられますね。
そういう意味で、さすが大企業だけあって、きちんと法律の専門家の助言を得てこの文章を作成したのだなという印象を受けました。
まあともあれ、今回の懸賞ハガキが悪用されるようなことがないことを祈りたいです。

bic_camera_rogo

株式会社ビックカメラ(東京都豊島区・プライバシーマーク取得済)は、11月15日付で、自社が運営するショッピングサイト「ビックカメラドットコム」でID・パスワードを不正に利用した事実が発覚したと発表しました。

同社では、サイトを全面的に閉鎖し、不正利用されたポイントの返却を行った上で、原因究明並びに事実確認を行っているとのことです。

http://www.biccamera.co.jp/ir/index.html
http://www.biccamera.co.jp/ir/news/pdf2010/20101115news.pdf

(私のコメント)
ううむ。どうしてプライバシーマーク取得事業者の事故が続くのか。。。残念です。

summy_logo

========●注意喚起●============
「777town.net」に登録している方で、
1)このサービスのパスワード
2)このサービスに登録したメールアドレスのパスワードが
同じになっている方は、今すぐに2)を変更することを
お勧めします。それ以外でも同じIDやパスワードを使い回し
している場合には変更することを強くお勧めします。
==========================

株式会社サミーネットワークス(東京都港区・プライバシーマーク取得済)は、11月13日付で、自社で運営するオンラインゲームサイト「777town.net」に、外部から不正アクセスがあり、メールアドレス、パスワードなどの個人情報173万件が流出したと発表しました。

流出した個人情報は、ログインID、パスワード、メールアドレス173万5841件とのことです。

流出の経緯としては、10月23日より同サーバーに不正アクセス攻撃がはじまり、サービスを停止した11月10日までの間に、複数回の不正アクセスがあったようです。

本サーバーの運営は株式会社エルテックス(神奈川県横浜市)に委託されていたとのことで、同社ではエルテックス社と共同して対策を行っているようです。

(私のコメント)
ID/パスワードの使い回しをしている場合には、そのサービスが狙われる可能性が高いですので、同サービスの利用者の方は、今すぐに上記の注意喚起の内容を実行されることを強くお勧めします。

http://www.sammy-net.jp/
http://www.sammy-net.jp/news/20101113.pdf
http://www.777town.net/
http://www.eltex.co.jp/

プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、11月9日付で「個人情報の取扱いの再確認について(注意喚起)」と題した文書を発表し、その中で各地方自治体の条例を遵守するように注意喚起しました。

プライバシーマークの審査においては、従来からも地方自治体の条例を「規範とする文書」に洗い出し、それに従うことが行われてきていますが、多くの条例は事業者向け義務規定として個人情報保護法やJIS Q 15001より厳しい内容を規定している場合が殆どないため、内容を精査することなく形骸化していた実態があると思います。

しかし、JIPDECでは、今回「条例にきちんと従うように」「委託先にも条例に従わせるように」という注意喚起を行いました。

実際に注意すべき条例の例として、下記の2つの例を挙げています。

1)東京都個人情報保護条例は、取り扱う個人情報の量にかかわりなく事業者に責務を課しており、個人データが5000人以下の事業者を免除している個人情報保護法より厳しくなっている。

2)大阪府個人情報保護条例は、特定の機微な個人情報(センシティブ情報)に関して特に慎重に取り扱うこととしており、その中に「人種、氏族に関する情報や旧同和対策事業対象地域に居住し、または居住していたこと、その他その地域の出身であることに関する個人情報、詳細な本籍地に関する情報、犯罪歴に関する情報」などを具体的に含んでおり、JIS Q 15001よりも厳密に規定している。

などがあるようです。

http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf

(私のコメント)
今回の文書は「プライバシーマークの審査で事業者が所在する地方自治体の個人情報保護条例を軽視してもらっては困る」という意思表示だと思います。細かい点とは思いますが、制度の管理者としてのJIPDECの意思表示を尊重すべきだと思いますし、尊重したいと思います。

TRUSTe

Webサイトにおける個人情報保護体制に対して与えられる認証マーク「TRUSTe」を運用している(社)日本プライバシー認証機構は、11月4日付で、先日大量の個人情報流出事件を起こした「サンプル百貨店」を運営する株式会社ルーク19(東京都新宿区)に対する認証継続の可否を検討すると発表しました。

ルーク19社は、2005年よりTRUSTeマークを取得しており、取得時並びに毎年1回の更新時には同機構が認定した審査機関による審査を受けてきたという。

そのルーク19社が、利用者46万人の個人情報を流出してしまったのですから、TRUSTeとしては必要な措置を取るということのようです。

(私のコメント)
最終的にどういう判断が出るかは分かりませんが、認証制度を運用する団体としてはこのような表明をすることは当然かと思います。一方のプライバシーマークを運営するJIPDECは、最近はだんまりを決めてますが、それが最善の策とは思えないのですが。。。
http://www.truste.or.jp/
http://www.truste.or.jp/event/20101104PR.pdf
http://blog.optima-solutions.jp/archives/51608688.html

20101102株式会社ルーク19(東京都新宿区)は、11月1日付で、自社で運営しているWebサイト「サンプル百貨店」の利用者46万人の個人情報が流出し、名簿屋に不正に販売されていたと発表しました。

流出した個人情報は、本人の氏名、性別、生年月日、住所、電話番号、メールアドレスなどの基本的な情報のほか、血液型、興味分野、世帯構成、自宅形態、世帯年収、携帯電話キャリアなど、かなり細かな本人の情報が含まれていたとのことです。

流出の経緯は、同社の派遣社員が持ち出して名簿業者に販売したとのことです。その結果、利用者に対して不動産会社などからセールス電話がかかり、流出が判明したとのことです。

同社では、名簿業者11社に対してデータの返却ないしは破棄を要求し、同意を得ているとのことです。また、所轄警察署への盗難届と被害届の提出を行い、経済産業省へも報告しているとのことです。

また、本件は派遣社員が起こした事件とのことで、派遣会社からも文書が出ています。

(私のコメント)
この事件は個人情報流出事件として大変典型的な内容になっていますが、特に会社側の対応が大変スムーズであり、参考になりそうですので、ここに掲載しておきます。

http://www.3ple.jp/
http://www.3ple.jp/img/press/pdf/20101101.pdf
http://www.r-staffing.co.jp/sol/contents/corporate/pr/2010/110101.html

↑このページのトップヘ