プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2010年12月



情報セキュリティの専門会社である株式会社ラック(東京都港区)は、このほど、同社の公式Webサイト上の特集コンテンツ「セキュリティキーワード2010」において、同社のキーパーソン7名を集めた座談会をもとに構成したコンテンツ「セキュリティ男子?座談会」を掲載しました。

さすが、常にセキュリティの最前線で監視をしたり、トラブルシューティングをしたり、対策を考えたり、傾向を分析したりしている人たちだけあって、本当に内容が濃い〜〜です。

少しマニアックな内容になっていますが、その分だけ、詳しい方にも、そうでない方にも、楽しんでいただけると思います。ご参考まで。

http://www.lac.co.jp/special/keyword2010/danshi.html

※なお、今年の8月には、ここに登場している西本さんの特別な計らいで同社のセキュリティセンター「JSOC」に大勢でご招待いただきました。当日は新井さん、川口さんにもご参加いただいて生のお話を聞かせていただきました。その際は、本当にお世話になり、ありがとうございました。また、この一年、最前線の守り手として、本当にお疲れ様でした。来年もよろしくお願いします。

TRUSTe


Webサイトにおける個人情報保護体制に対して与えられる認証マーク「TRUSTe」を運用している(社)日本プライバシー認証機構は、12月9日付で、先日大量の個人情報流出事件を起こした「サンプル百貨店」を運営する株式会社ルーク19(東京都新宿区)に対する認証を継続すると発表しました。

同機構では、今回の個人情報流出が46万件超と多数であり、消費者への影響が大きいことから、TRUSTeライセンス契約書に基づく現地調査を実施したとのことですが、
1)今回の事案の経緯、苦情対応状況、従業者への教育状況、監督状況、アクセス権限管理状況等を確認し、書面による回答を得た。
2)個人情報が売却された名簿取扱業者から取得したデータ廃棄の同意書の内容を確認した。
3)遅れの出ていた問い合わせ対応も改善されつつある
などの状況を総合的に勘案し、ルーク19社に対するTRUSTeマーク認証を継続することを決定したとのことです。

(私のコメント)
いろいろな考えはあるにせよ、妥当な判断だと思います。

http://www.truste.or.jp/
http://www.truste.or.jp/event/20101209PR.pdf
http://blog.optima-solutions.jp/archives/51611966.html
http://blog.optima-solutions.jp/archives/51608688.html


消費者庁と総務省は、12月17日付で、特定電子メールの送信の適正化等に関する法律(略称:特定電子メール法)に違反して、電子メールを送信した株式会社ITS(大阪市生野区)に対し、特定電子メール法第7条に基づく措置命令を実施したと発表しました。

(私のコメント)
日本国内における迷惑メールに対しては、「特定電子メール法」ならびに「特定商取引法」で規制がかかります。迷惑メールを受け取った方は、下記の二種類の窓口まで通報しておきましょう。
http://www.dekyo.or.jp/soudan/ihan/
http://www.nissankyo.or.jp/spam/index.html

なお、過去の特定電子メール法による措置命令の実施状況は、下記をご覧ください。途中から消費者庁・総務省の共管になったようです。
http://www.dekyo.or.jp/soudan/ihan/#soumu

20130130b

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターが、今年10月から12月にかけて全国で開催した「プライバシーマーク付与事業者向け研修会」において、個人情報の特定方法に関する一定の考え方を示したようですので、本Blogでもご案内いたします。

当日配布された資料から引用します。

--------------------------------------------------
4.3 個人情報を特定する方法
4. 特定するときの留意点
(1)特定すべき個人情報

事業の用に供する全ての個人情報を特定することが基本である。しかし、事業者は数多くの種類の個人情報を取扱っている。このため、含まれる個人情報が所属や氏名程度で利用目的が本人との連絡や業務管理のためだけであるものは、利用目的を定めて、その範囲内で取扱うことを前提に従業者にその取扱いを委ねて、個人情報取扱申請書や個人情報管理台帳などへ登録して管理することを省略することが出来る。

この類の個人情報には、一般的には名刺、見積書、契約書、請求書、領収書などのほか、連絡用電子メールや事務所内の行き先掲示板に掲載された従業者の個人情報などが考えられる。

「個人情報の特定とリスク分析のポイント」配布資料より引用
Copyright (C)2010 JIPDEC
--------------------------------------------------

というわけで、「名刺、契約書、経理書類などは個人情報台帳にリストアップしなくてよい」と判断してよいと思います。プライバシーマークを取得される事業者の方、並びにすでに取得済みの事業者の方は参考にしていただければと思います。

「平成22年度 プライバシーマーク付与事業者向け研修会」
http://privacymark.jp/news/2010/0921/index.html

また、何か情報が入りましたら、皆様にシェアいたしますね。


eu-flag

日本の個人情報保護法制にも大きな影響を与えてきた、欧州連合(EU)の「個人データ保護指令」の見直し作業が進められており、「忘れられる権利」が追加される方向性のようです。

詳しくは下記のURLをご覧ください。

http://itpro.nikkeibp.co.jp/article/NEWS/20101201/354730/
http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/700&format=HTML&aged=0&language=EN&guiLanguage=en
http://itpro.nikkeibp.co.jp/article/NEWS/20101105/353829/
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=EN

(私のコメント)
実際のところ、私も完全には把握できている訳ではないのですが、この動きは
・Googleが利用者に意識させないうちに莫大な個人情報を蓄積していること
・FacebookやTwitterなどにこれまで以上の個人情報が掲載されていること
などを念頭に置いた動きであると思います。

少なくとも利用者として
・どのような情報が蓄積されているのか知ることができ、
・削除したいと思った時には削除できること
が権利として確立されることが必要と思います。

lac_leport_20101126
情報セキュリティの専門会社である株式会社ラック(東京都港区)は、11月26日付で「侵入傾向分析レポート Vol.15」を発表しました。 これは、同社が半年に一度のタイミングで定期的に発行している文書で、同社の誇るセキュリティセンター「JSOC」において、日々監視対象としている国内の数多くのルーター類のログを解析し、攻撃者の進入傾向を分析しているレポートです。同社Webサイト上で個人情報を入力することで、誰でも無料で入手することができます。

今回のレポートでは、何か大きな変化は見当たりませんが、日常的に様々なセキュリティ攻撃が行われており、継続的な取り組みが必要であるということが分かります。下記、私の理解に基づく簡単なまとめです。

(1)Gumblar(ガンブラー)などに代表されるコンピュータウイルスによる被害が続いています。これはWebページの改ざんにより、いつも見ているWebページにアクセスするだけで、自動的に悪意のあるファイルをダウンロードさせる「ドライブバイダウンロード攻撃」という手法によりどんどん広まっていきます。これに対する対策として、
(a)パソコンのOS、ブラウザ、アプリ、ActiveXコントロールなどの脆弱性情報を定期的にチェックし、アップデートを行うことで、脆弱性の穴をふさぐ。
(b)ウイルス対策ソフトをインストールし、定義ファイルを最新版にアップデートすることで、万が一ダウンロードしてしまったとしても検知できるようにする。
(c)自社のWebページが改ざんされた場合に備えて、迅速な対応が取れるような体制を準備する。

(2)サーバーに対する外部からの攻撃として、SQLインジェクション攻撃、DoS攻撃、HTTPのPUTメソッドを利用した攻撃などが行われている。SQLインジェクション攻撃は難読化(視認では分からないような文字列に変換してデータを送信する)が進んでおり長文化している。このために1パケットに収まらなくなり、標準的な製品では認識できない場合がある。

(3)スマートフォンへの脅威が高まっている。特に「脱獄」したiPhoneはウイルスの攻撃のターゲットとなっているので、注意が必要である。

皆様もどうぞ読んでみてください。生の情報ですので、参考になると思います。

http://www.lac.co.jp/info/jsoc_report/
http://www.lac.co.jp/info/jsoc_report/_vol15.html

出典:株式会社ラック【侵入傾向分析レポートvol. 15】

mitsubishi_logo

9月28日付で自社で開発して販売していた図書館システムからの個人情報流出を発表していた三菱電機インフォメーションシステムズ株式会社(以下、MDISと表記。東京都港区・プライバシーマーク取得済)は、11月30日付で、流出規模が拡大したことなどを追加して発表しました。

http://www.mdis.co.jp/news/press/2010/1130.html

MDISが開発して販売していた図書館システムに関して、
1)一定以上の負荷に耐えられなかった設計上の問題があったことのお詫び
2)製品のマスターファイルの中に図書館利用者の実データが混入し、それが公開サーバーに置かれて流出したことへのお詫び
の内容になっています。

(私のコメント)
本事件は、同社のずさんな開発・運用の体制に起因し、全国の多くの図書館を巻き込むことになりました。また、上記の1)に起因して岡崎市立中央図書館では利用者が逮捕される事態にまで発展しました(その後起訴猶予に)。この間、多くの関係者、専門家、そしてハッカーが、この問題に注目し、様々な調査を行い、同社の姿勢を批判してきました。その結果が今回の発表につながっています。

しかし、まだ同社の発表文を読む限り、まだ分かったような分からないような感じです。繰り返しになりますが、図書館の貸し出し情報とは、その人の思想信条を反映するものであり、特定の状況下においては「特定の機微な個人情報」にあたる可能性があると思います(これは私の個人的見解です)。そのような情報を取り扱う図書館システムの開発・運用体制としては、あまりにずさんであると言わざるを得ないと思います。

参考URL
http://librahack.jp/
http://takagi-hiromitsu.jp/diary/20101129.html
http://ebino.uxt.cknet.co.jp/TOSHOW/20101130_pdf/%E5%9B%B3%E6%9B%B8%E9%A4%A8%E3%83%9B%E3%83%BC%E3%83%A0%E3%83%9A%E3%83%BC%E3%82%B8%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.pdf
http://www26.atwiki.jp/librahack/pages/16.html

以前の記事
http://blog.optima-solutions.jp/archives/51592690.html



NTTデータ・セキュリティ株式会社(東京都港区)は、12月1日付で、個人情報漏えい事件などを含む情報セキュリティ事故が発生した際に緊急対応してくれる「セキュリティ・インシデント救急サービス」を提供開始すると発表しました。

このサービスは、あらかじめ無料で会員登録しておくことにより、万が一の情報セキュリティ事故の際に、24時間対応の専用電話番号に連絡できて、被害の極小化を支援してくれるというもの。会員登録によりオンサイト初動対応を30万円で提供してくれるとのことです。(登録していない場合には100万円になるそうです)

http://www.nttdata-sec.co.jp/headline/2010/101201.html
http://www.nttdata-sec.co.jp/services/consulting/10.html

(私のコメント)
同様のサービスとしてはラック社の「サイバー199」(下記URLご参照ください)があり、過去に発生した個人情報流出事件・事故の多くで専門的な支援を実施しています。

http://www.lac.co.jp/cyber119/

今回のNTTデータセキュリティさんのサービスは、この競合ということになります。費用が公表されているうえに、会員登録すればかなり費用が安くなるようですので、万が一の時のために登録しておいて損はないと思います。

↑このページのトップヘ