プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年01月

mitsubishi_logo

プライバシーマークの審査権限を持つ指定機関の一つである社団法人情報サービス産業協会(略称:JISA)は、24日付で、昨年個人情報流出事件を起こした三菱電機インフォメーションシステムズ株式会社(以下、 MDISと表記。東京都港区、プライバシーマーク取得済)のプライバシーマーク付与認定を一時停止(2ヶ月)にすると発表しました。

これは、MDIS社が昨年9月28日と11月30日に発表した、図書館システムからの個人情報流出事件を受けたもので、JISAのプライバシーマーク審査会とJIPDECのプライバシーマーク制度委員会の審議・承認を経て実施されたものです。

(私のコメント)
MDIS社については、いろいろと思うことがありますが、過去にも書きましたので控えます。むしろ今回はJISAの対応の問題を指摘したいです。JISAが昨年12月にMDIS社のPマーク更新を認めたことに対して、ネット上では「Pマーク終了のお知らせ」といった強烈な拒否反応が起きました。当然です。これだけの事件を起こした会社が何の処分もなく、更新できるのか、それがプライバシーマークなのかと、そういう反応を巻き起こしたわけです。しかし、実際にはPマークの更新審査と欠格性の判断は別に進んでいて、今になって欠格性の判断に基づく一時停止措置が実施されたというわけですよね。この二つが別々に処理されるのは非常によくないです。事故を起こして欠格性の判断が行われている事業者に対しては、Pマーク更新審査をストップするのが当然なのではないかと思います。プライバシーマークが日本の社会に広く受け入れられるようになるためにも今後の改善を求めたいです。

http://privacymark.jp/certification_info/list/rlist.html(JIPDEC)
http://www.jisa.or.jp/privacy/pr/download/110124.pdf(JISA)
http://www.mdis.co.jp/news/topics/2011/0124.html(MDIS)
http://www.jisa.or.jp/privacy/download/201007.pdf
http://togetter.com/li/80397

以前の記事
http://www.pmarknews.info/archives/51622629.html
http://www.pmarknews.info/archives/51592690.html

20110127

情報セキュリティの専門会社である株式会社ラック(東京都港区)は、このほど、同社の公式Webサイトにおいて、「ECサイトが危ない!その攻撃の手口」と題したコンテンツを掲載しました。

これは同社の取締役最高技術責任者の西本氏が東京IT新聞に書いた連載コラムをまとめたものですが、内容的に大変参考になるものですので、本Blogでもご紹介いたします。

●犯罪者はどのようにしてターゲットとなるECサイトを見つけるのか?
●事件は突然やってくる!
●事件への対応で重要なことは、一に被害拡大の防止、二に事業継続、三に再発防止。
●一度事故を起こすと、自分の背丈以上のセキュリティ対策を余儀なくされる。

などなど、興味深い内容になっています。特に自社のWebサイトで顧客から個人情報やカード情報を預かっている方は必読です。

http://www.lac.co.jp/special/nishimoto-2011ec6.html

EIC-BOOK
有限会社ウェブサービス(東京都中野区)は、19日付で、自社で運営するアイドルDVD・写真集販売サイト「EIC-BOOK」から、過去にこのサイトを利用した顧客のカード情報を含む個人情報が、不正アクセスにより流出した可能性があると発表しました。

昨年11月にカード会社より指摘を受け、調査を行ったところ不正アクセスが判明したという。流出した個人情報は、氏名、住所、カード番号、有効期限で、16,326件とのこと。

同社では、顧客に迷惑をかけることのないようにカード会社と協議するとしています。また、顧客にはクレジットカードの利用明細に心当たりの無い請求が含まれていないか確認するように呼びかけています。

現在も同サイトは営業を続けていますが、クレジットカードの利用は停止されているようです。

(私のコメント)
カード会社の指摘から発表まで2ヶ月を要しており、対応が遅いという印象を受けました。また、今回のようなカード情報が流出したケースではカードの再発行を行う場合がありますが、その費用を同社で負担してくれるのかなど詳細は不明です。中小企業での情報流出事件として、今後どのように進んでいくのか注視したいです。

http://www.eic-book.com/topics/owabi201101/index.html
http://www.eic-book.com/

報道によりますと、京都府警ハイテク犯罪対策室などは、17日に、特定電子メール法違反の容疑で、出会い系サイト運営会社「UNIVERSAL FREAKS」(東京都豊島区)の社長他7名を逮捕したそうです。

今回の容疑は、同社のサービスのメールを送信する際、
・送信元メールアドレス(From行)をいつわったこと
・受信者の同意を得ずに送信したこと
が同法に違反していると判断されたもののようです。

同社では、サーバーを中国やフィリピンに設置して、大量の迷惑メールを送信していたようです。総務省が設置している苦情窓口に24万件もの苦情が寄せられていたといいます。

特定電子メール法は2008年12月に改正され、罰則が強化されていました。今回の逮捕はこの改正を受けたものです。

(私のコメント)
相変わらず、迷惑メールがどんどん来ますよね。法律で取り締まれるものについては、どんどん積極的に取り締まっていただきたいと思います。

(関連記事)
迷惑メールに困ったら、通報しましょう
http://www.pmarknews.info/archives/51634951.html

皆様、
日頃のご愛読に感謝しております。

本BlogのURLを変更します。
今後ともよろしくお願いします。

http://blog.optima-solutions.jp/

http://www.pmarknews.info/

古いURLでも見れるようにするつもりですが、
DNSの変更に少し時間がかかるかもしれません。
その間、アクセスに支障があるかもしれませんが、
ご容赦ください。

よろしくお願いします。

mcf_logo

プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、1月6日付で、一般社団法人モバイル・コンテンツ・フォーラム(略称:MCF)をプライバシーマーク付与認定指定機関(略称:指定機関)に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今後、モバイル・コンテンツ・フォーラムの正会員は、このモバイル・コンテンツ・フォーラムでPマークの審査を受けることができるようになります。これで指定機関は18団体となりました。

(私のコメント)
モバイル業界は、今もっとも熱い業界ですので、今回の指定機関化は大きな意味を持つと思います。

http://privacymark.jp/news/2011/0106/index.html
http://privacymark.jp/agency/member_list.html
http://www.mcf.to/

satsuei-shop-sozai-036
素材提供:【撮影ショップ】


新年あけましておめでとうございます。

弊社では、昨年も数多くの皆様のプライバシーマーク、ISMS認証の
お手伝いをさせていただくことができました。深く御礼申し上げます。
引き続き、サービス内容の改善、改良、進化に努めてまいる所存です。

本年も変わらぬご支援、ご鞭撻をいただければと思っております。
どうぞよろしくお願いします。

皆様に取りましても、2011年がますます素晴らしい一年となります
よう、心からお祈り申し上げます。

オプティマ・ソリューションズ株式会社
代表取締役 中 康二


さて、新年恒例の個人情報保護関連重大ニュースを発表いたします。

(10)NTTデータセキュリティ、情報セキュリティ事故救急サービスを開始

これまでラック社の独壇場だった救急サービスにNTTデータが参入です。
事前に無料で会員登録しておくと緊急時の対応が大幅割引になる
というのが魅力ですね!
http://blog.optima-solutions.jp/archives/51622584.html

(9)ガンブラーによる被害が拡大

ガンブラーとは、すでにウイルスの名前ではなく、
ウイルスのタイプの名前になっています。
似たような亜種が次々と開発されて、どんどん進化しています。
要注意です。
http://blog.optima-solutions.jp/archives/51508656.html
http://blog.optima-solutions.jp/archives/51454619.html
http://blog.optima-solutions.jp/archives/51443434.html

(8)EU個人データ保護指令改正の方針〜「忘れられる権利」を追加〜

EUの「個人データ保護指令」の見直し作業が進められていて、
「忘れられる権利」が追加される方向性とのこと。
Google先生が異常に物覚えがいいと思ったら、今度は新入りの
Facebook君がはしこく交友関係を中心にチェックし出して、
個人の秘密がなくなっちゃう勢いなのです。
http://blog.optima-solutions.jp/archives/51624628.html

(7)JIPDECガイドライン第二版が登場

プライバシーマークの教科書ともいえるのがJIPDECガイドライン。
9月に急に第二版が登場して驚かされました。
内容的には審査の要点が明確になって、素晴らしく進化しました。
http://blog.optima-solutions.jp/archives/51576421.html
http://blog.optima-solutions.jp/archives/51588318.html

(6)メール一斉送信による事件あいつぐ

相変わらず、Bcc機能を使用してメールを一斉送信しようとして、
間違えてToやCcに入れてしまう事件が相次いでいます。
Bcc機能を使用するのはやめましょうというのが私の提案です。
http://blog.optima-solutions.jp/archives/51567455.html
http://blog.optima-solutions.jp/archives/51557464.html

(5)パスワードの使い回しに注意

複数のネットサービスで同じパスワードを使用していると、
一つで漏えいしたら他でも狙われるという話です。
オンラインバンキングのパスワードなんかが一緒だった日には
何が起こっても不思議ではないですね。
http://blog.optima-solutions.jp/archives/51537988.html

(4)Twitter、FacebookなどのSNSでの個人情報ダダ漏れ時代が到来


Twitterに引き続き、Facebookが国内でも利用者爆発の勢いですが、
従来のようにプライバシー情報=秘密にする傾向とは異なり、
プライバシーを自らオープンにする時代が到来しました。

これらの情報はどこまでがオープンでどこからが秘密なのか、
どこまで機械的に処理してよくて、どこからはだめなのか、
どこまでは蓄積してよくて、どこからはだめなのか、
こういったことに関する共通認識はまだ形成途上です。

こうした流れの中で、既存SNSであるMixiが、
Facebookで使われているのと同様の機能をMixiに実装したところ、
ユーザーの反発を受けて取りやめる事態に。
当分は、こういった波乱が続くと思います。

(3)クラウドでの個人情報の活用に関心が集まる

クラウドを業務に活用する動きが加速する中で、
GoogleAppsやSalesForceを使用しているとPマーク取れないのか?といった声や、
Pマークを取っている会社の社員はDropbox、Evernote使っていいのかダメなのか
というような議論が数多く聞かれました。
結論的には、一言では言えないというしかないですね。
http://blog.optima-solutions.jp/archives/51497770.html

(2)サミーネットワーク事件

11月のサミーネットワーク事件では、173万人分のパスワードが盗み出されました。
パスワードの使い回しによる被害が大いにあり得るのですが、
同社ではとりあえず自社のパスワードのみ変更してサービス再開しました。
今のところ二次被害はあまりなさそうですが。。。。
http://blog.optima-solutions.jp/archives/51614799.html
http://blog.optima-solutions.jp/archives/51616995.html

(1)JIPDEC、Pマーク制度設置及び運営要領を2011年3月から改正

JIPDECではガイドラインの見直しだけでなく、
制度設置及び運営要領も改正してきました。
内部的には「プライバシーマーク2.0」という感じなのではないかと思います。
事業者に関係のある部分としては、更新時の申請期限が4か月前に
繰り上がります。
また、マークを印刷する際に更新回数の表記を省略してよくなります。
3月から施行です。
http://blog.optima-solutions.jp/archives/51601001.html

個人情報保護関連重大ニュースはここまでです。
今年もこの分野のニュースを追いかけていきたいと思います。
どうぞよろしくお願いします。

↑このページのトップヘ