プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年02月

scene1_header_img


情報セキュリティの専門会社である株式会社ラック(東京都港区)は、このほど、同社の公式Webサイトにおいて、「ラック救急部隊を率いる男」と題したコンテンツを掲載しました。

これは同社のサイバー救急センター(別名:サイバー119)を担当する江尾氏が年間130件の情報漏えい事件に携わり、如何にして解決しているかを取り上げたドキュメント記事ですが、内容的に大変参考になるものですので、本Blogでもご紹介いたします。

●情報漏えいの事件・事故現場において重要なのは「事業継続と顧客保護を最優先事項」とすること。「戦い続けられる体制を維持したまま」救急処置を行なわなければならない。
●救急対応では、真っ先に企業のトップマネジメントとの認識合わせを要求する。これは「事業継続」つまり「企業の生命維持」の話である。
●クライアントは、1)自力で既に八方手を尽くしたが、根本の原因を突き止められない場合。2)そもそも自分たち自身では何が起きているのか正確に把握できていない、つまり「事件の発生事実」を認識できていないケースの2種類に分けることができる。

連載になるようですが、今後も楽しみです!

http://www.lac.co.jp/column/scene1.html

なお、昨年、実際に個人情報漏えい事件を起こしてしまった後に、サイバー119の支援を受けた株式会社テイパーズの森社長の体験談をご紹介します。個人情報漏えい事件の渦中に置かれるとどういう心境になるのか、その時にサイバー119のような専門家のサービスが如何に心強いものなのか、身をもって体験された方の貴重な声です。これも同社の公式Webサイトに掲載されているものですが、少し分かりにくいところに掲載されているので、引用いたします。

当社は、アーティストをファンの距離をもっと近くできないかを常に考えています。 アーティストの華やかな活躍にくらべ、ともすれば地味に感じるファンクラブ業務をご支援させていただくことで、ファンやファンを大切にするアーティスト、そして両者をつなぐファンクラブ窓口の皆さまが、よりハッピーになっていただくことが目的で活動をしています。
しかしながら、2009年に外部からの侵入事故を経験し、事業が停止したことによる大変な重圧と、ファンとアーティスト、関係者への申し訳ない気持ちが入り混じる、大きな挫折を感じました。 この危機的な状況を救ってくれたのは、ラックの提供するサイバー119サービスでした。
情報セキュリティに関連した事故対応を経験したことがある方はほとんど存在しないのではないでしょうか。私も当事者になるとは思ってもいませんでした。しかし情報セキュリティ事故は対岸の火事ではなく、すぐ隣に存在する身近なリスクであることを今は理解をしています。 ラックの担当は、パニック状況にあった私を支えながら、事業再開を目標に陣頭指揮、調査、対策を進めてくれ、今は無事に事業を再開することができています。
非日常な世界に突き落とされたときに、その非日常をよく知る方が傍にいる心強さを、今は対岸の火事だと感じているかたに知っていただきたいと思っています。

株式会社テイパーズ
代表取締役社長 森 高幸

引用元URLはこちらです

logo_jipdec

プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、この3月から「性風俗関連特殊営業」を営む事業者の申請を受け付けないこととしたようです。

これは、2月2日付でプライバシーマーク公式Webサイトが更新されて、3月1日以降にプライバシーマークの申請を行う際の注意書きが新たに掲載されましたが、その中で下記の記述があることで判明しました。

-------------------------------------------
なお(略)「風俗営業等の規制及び業務の適正化等に関する法律」(昭和23年7月10日法律第122号)第2条第5項に規定する「性風俗関連特殊営業」を営む事業者は、申請を受け付けることができません。
-------------------------------------------

当Blogでは、独自にJIPDECに対して問い合わせを行いました。その結果、下記のコメントを頂きました。

-------------------------------------------
プライバシーマーク制度は、事業者の個人情報の適切性を判断して認定する制度ですが、一般消費者の方々の中には、付与認定した事業者の事業内容に関して意見を頂くこともあります。
ネットの出会い系サイトについては、青少年に悪影響を及ぼすなど社会問題になっていることもあり、平成20年8月には「インターネット異性紹介事業者」について対応する基準を定めてきました。
この度の措置の対象とした「性風俗関連特殊営業」については、青少年の健全な育成に与える影響が著しい営業として、個人の情報の保護も含む個人の人格尊重を重要視する制度になじまないものであるとのプライバシーマーク制度委員会の申合せを踏まえて、申請を受けないとしたものです。
-------------------------------------------

とのことで、プライバシーマーク制度委員会での申し合わせを受けて、今回の方針が出ているとのことです。3月からプライバシーマーク制度設置及び運営要領が改正されますが、それとは直接関係はないし、これらの規程類の中に今回の方針が記載されているわけではないとのことです。

なお、「性風俗関連特殊営業」とは、下記のような営業内容を指しているようです。

※性風俗関連特殊営業
・店舗型性風俗特殊営業(ソープランド、ファッションヘルス、ストリップ劇場、ラブホテル、アダルトグッズショップ、出会い喫茶など)
・無店舗型性風俗特殊営業(デリバリーヘルスなど)
・映像送信型性風俗特殊営業(アダルトサイト)
・店舗型電話異性紹介営業(テレクラ)
・無店舗型電話異性紹介営業(ツーショットダイヤル)

(私のコメント)
結果として、アダルト産業にプライバシーマークのお墨付きを与えないようにするというJIPDECの方針は正しいと思いますし、支持します。
ただし今回のように正式な発表がないままに窓口規制をするのは、手続き論として良くないと思います。プライバシーマーク制度の正式な規程の一つである「プライバシーマーク制度における欠格事項及び判断基準」を改正して対応するべきなのではないかと思います。プライバシーマーク制度委員会としては、できるだけ早い時期にこの基準を改正し、今回の内容を欠格性の条件の一つとして正式に盛り込むべきと考えます。

http://privacymark.jp/application/new/case_b/qualification.html

logo

株式会社ルチア(名古屋市中村区)は、1月31日付で、自社が運営する発毛・育毛通販サイト「ルチア」が不正アクセスをうけて、顧客の個人情報が流出したと発表しました。

不正アクセスを受けたのは昨年の9月であり、その時点でサーバーに存在していた顧客のクレジットカード情報、氏名、住所、電話番号、メールアドレス、ログインパスワードなどそれぞれ3000〜4000件程度ずつ流出したとのことです。

攻撃元は海外で、手法はSQLインジェクションと発表されています。

(私のコメント)
こういった中規模の通販サイトにも続々と海外からの攻撃が来ていますね。やはり、事故が起こってから専門家の助けを得るのではなく、事故がなくても専門家による定期的な脆弱性のチェックとか、アクセスログの監視などが必要なのではないかと思います。リーズナブルな価格でこういった対応を行ってくれるサービスが待望されています。

http://www.lucia-jp.com/news/apology1.html" target=_new>
http://www.lucia-jp.com/news/apology1.html

logo_jipdec

プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、1月25日付で「平成22年度 消費者相談担当者向け研修会」開催の案内を出しました。

これは、プライバシーマーク取得済み事業者の消費者相談担当者または個人情報保護管理者等を対象としたもので、3月に東京と大阪で開催されます。

3月1日(火)13:30〜16:30
【東京】ニッショーホール(定員:600名)

3月9日(水)13:30〜16:30
【大阪】クレオ大阪西 ホール(定員:300名)

参加無料だそうです。プライバシーマーク取得済み事業者の担当者の方は業務と調整の上で、参加されることをお勧めします。

お申し込みは下記のURLからどうぞ
http://privacymark.jp/news/2011/0125/index_kenshu.html

↑このページのトップヘ