プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年04月

psn

株式会社ソニー・コンピュータエンタテインメント(東京都港区)は、本日付で、同社が全世界で展開している「PlayStationRNetwork(プレイステーションネットワーク)」並びに「Qriocity™(キュリオシティ)」に、4月17日から19日にかけて不正アクセスがあり、全ユーザーの氏名、住所、生年月日、メールアドレス、ログインID、パスワードなどの個人情報が流出したと発表しました。同社では件数は公表していませんが、報道によると対象者は7500万人以上に及ぶとのことです。

流出したと思われる情報:
利用者が登録した氏名、住所、Eメールアドレス、生年月日、
ログインID、パスワード、購入履歴、請求先住所、
パスワード再設定用の質問への回答等のプロフィールデータ
サブアカウントに関する上記の情報

流出は確認されていないが、可能性がある情報:
登録されているクレジットカード番号(セキュリティコードを除く)および有効期限

これまでの経緯は下記の通りです。
4月17〜19日 不正アクセスの可能性
4月21日 サービス障害発生(意図的なサービス停止と思われます)
4月27日 不正アクセスを発表

同社では、緊急に下記を呼びかけています。
・インターネット上の他のサービスで、同一パスワードを使用している場合には早急に変更すること
・登録したクレジットカードの引き落とし履歴を定期的に確認すること
・カード情報などの個人情報を聞き出すような不審なメールに注意すること。


http://cdn.jp.playstation.com/msg/sp_20110427_psn.html

(私のコメント)
最悪の事態です。
世界のインターネットの歴史で最悪の事態と言ってもいいかもしれません。
1)流出した件数の多さ
2)世界の多くの国に利用者がいること
3)メールアドレスとIDとパスワード(どうして暗号化されておらず、平文なんでしょうか)のセットが流出したこと
4)カード情報の流出の可能性もあること
今後は不正アクセスを行った人物との戦いになると思われます。相手の出方次第では、大規模なカードの再発行が必要となったり、SPAMが大量発生してアドレス変更を余儀なくされることも考えられますし、ありとあらゆるパターンが考えられます。ソニーでは今回の対応後、サービスを復旧することを考えているようですが、もしかしたら復旧ができない可能性もないとはいえないと思います。全ては今後の相手の出方次第だと思います。

owabi

「些細な個人情報漏えいを公表すべきかどうか」というタイトルで先週に記事を書いたところですが、また状況が少し似た事例を目にしましたので、ご紹介します。これはある会社で実際にWebサイトに掲載されたお詫び文の事例です。


個人情報漏えいに関するお詫びとお知らせ

2011年4月11日
●●●●●●●●●株式会社

 このたび、●●●●●●●●株式会社(略)では、お客様の契約情報が記載された「お手続き完了のお知らせ」という書面に、誤って他のご契約者様の情報を記載してしまうという事故が1件発生しましたのでご報告申しあげます。
 今後、同様の事態が発生しないよう、これまで以上にお客様情報の安全管理の徹底に努めてまいります。

1.誤って伝えてしまったお客様情報の内容
 「ICカード番号」「銀行名」「支店名」
 「口座番号(下二桁以外マスキング処理済)」「カナロ座名義人」
 上記の通り、口座番号に関しては、マスキング処理を施しております。

2.経緯および状況
 2011年3月3日、弊社カスタマーセンター(略)において、あるお客様から、二つのお客様番号(お客様を特定するための管理番号の統合を依頼されました。その過程において、別のお客様の情報を誤って統合し、「契約手続き完了のお知らせ」に記載し、発送してしまいました。誤って発送した書面は、3月16日に回収し、契約情報を漏洩してしまったお客様へは、書面にてお詫び申しあげております。

3.再発防止に向けて
 弊社個人情報保護及びセキュリティポリシーに関する取り組みの継続強化をよリー層推進し、カスタマーセンターにおける指導、研修の強化を更に徹底し、お客様の信頼回復に努めてまいります。
 このような事態を招き、お客様にご′心配、ご迷惑をおかけすることになりましたことを、心から深くお詫び申しあげます。

お問い合わせ窓口
●●●●●●●●●株式会社 個人情報管理事務局
TEL : ●●-●●●●-●●●● (10:00〜 18:00)


発生した事実は下記の通りです。
・顧客に手続き書類を郵送した際に、
・1名の顧客に対して、
・他人の管理番号、カナ氏名、銀行口座情報(一部マスキング済み)を間違えて印字して送付した。
・本人には個別に謝罪した。

ここまでの情報をわざわざ社外に公表する必要があるのでしょうか?
先週の私のBlog記事を読んで、弊社コンサルタントの遠藤がFacebookにコメントしてくれました。


経済産業省のガイドラインなどを、皆さんがしっかり理解されて、行動されるべきなのは確かですね。(略)

とはいえ、このガイドラインにある通り、経済産業省のスタンスとしては「公表を省略しても構わないが情報が共有されることが望ましい」という風に「できるだけ公表してね」であることは間違いないと思います。

したがって、わけもわからず事件を公表する必要はない一方で、「要件を満たしたら公表すべきではない」ということでもないなと、そう思いました。


この遠藤のコメントがおそらく一般的な落としどころなのだと思います。それにしても私は、「個人情報漏えい」=「すべて公表しなければならないわけではない」ということを、もう少し皆さんにわかっていただいた方がいいのではないかと思いますので、あえて同じテーマで、今回2つめの記事を書いてみることにします。

些細な個人情報漏えいを公表すべきかどうか(過去記事)
http://www.pmarknews.info/archives/51730627.html



owabi

個人情報漏えいが発生しますと、各企業はお詫び文をウェブサイトに掲載したり、お詫びの記者会見をしたりします。しかし、どの程度の内容で、どの程度の対応をするべきなのでしょうか?

もちろん、これは各社の考え方によるものです。些細な内容でも厳格さを保つために外部に公表するという判断もあれば、かなりひどい内容でもイメージダウンを避けるためにできるだけ外部には公表しないという判断もあるでしょう。

しかし、ある程度、共通認識と言いますが、一定の線は引けるのではないかと思うのです。
これは、つい最近、あるとても有名な企業が出したお詫びのプレスリリースです。


個人情報漏えいのお詫びとご報告

この度、当社社員が自宅の私有パソコンに保存していた当社社員の個人情報がインターネット上へ漏えいする事故が発生いたしました。当社の管理体制の不備からこのような事態を招き、関係者の皆様方には大変なご迷惑、ご心配をおかけしましたこと、心から深くお詫び申し上げます。

なお、漏えいした個人情報の詳細は下記の通りです。

当社社員6名の個人情報(メールアドレス、会社が付与した個人識別番号)

情報が漏えいした社員につきましては、担当部門の責任者から謝罪を行うと共に、関係省庁への報告を行いました。これまでのところ、漏えいした個人情報が不正に利用された事実は確認されておりません。

当社では、個人情報の取り扱いについて、社内における教育、および管理体制の強化に努めて参りましたが、今回このような事態を招いたことを重く受け止め、再発防止に真摯に取り組むと共に、更なる情報セキュリティの強化に取り組んで参ります。

2011年4月12日
●●●●●●●●●●●●●株式会社


発生した事実は下記の通りです。
・社員の私有パソコンから、
・社員6人分のメールアドレスと社員番号がインターネット上へ流出した。
・社員6名には個別に謝罪した。

ここまでの情報をわざわざ社外に公表する必要があるのでしょうか?
ここでは、経済産業省のガイドラインを見てみたいと思います。


個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(29ページ)
(カ)事実関係、再発防止策等の公表
二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。
ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい。
影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合(ただし、(オ)に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。)
・漏えい等をした事業者以外では、特定の個人を識別することができない場合(事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし、(オ)に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体
的に報告すること。)


つまり、
1) 全員に連絡がついた場合
2) 誰にも見られることなく回収した場合
3) 高度な暗号化がされている場合
4) 第三者では個人を識別できない場合
には、公表しなくてもよいとしています。

今回のケースは「1) 全員に連絡がついた場合」にあたりますので、本ガイドラインとしては「公表を省略しても構わない」としている範疇に含まれると思われます。ですから、あくまでもこの会社としては、自らの判断において必要だと考えたために公表したということになります。

ただし、そういう事情をご存知ない方がこのお詫び文書を見て、「うわ、こんな規模の個人情報漏えいでもお詫び文を掲載しなくちゃならないんだ」と勘違いして、それがまた次の勘違いを生んで、、、というような事態は避けたいと思います。

経済産業省のガイドラインなどを、皆さんがしっかり理解されて、行動されることを求めます。

(続編も御覧ください)
http://www.pmarknews.info/archives/51731891.html

facebook

私がFacebookを積極的に使い出して、約半年が経過しました。半年前の時点で、海外では大ブレイクしていたわけですが、映画「ソーシャルネットワーク」の公開をきっかけに、日本でも活用が広がってきていますね。今や6億人が活用する世界最大のネットワークに成長しています。

さあ、こうなると悪い人たちに狙われるのも必定です。

●トレンドマイクロ社からの報告

トレンドマイクロ社のBlogでは、Facebookユーザーをターゲットとした攻撃が行われているとの記事が掲載されています。

Facebookの利用者には
「●●さんからFacebookでメッセージが届いています」
「●●さんからFacebookの友達リクエストが届いています」
といった内容のメールが日常的に送られてきます。これを悪用するわけです。

1)あたかもFacebookから来たメールのように見える、ウソの内容のメールを送りつける。
2)クリックすると、あたかもFacebookのページのように見える、ウソの内容のページが開く。
3)何らかの理由をつけてファイルをダウンロードさせて起動させる。このファイルがウイルスである。

というパターンのようです。

Facebookを使っていて一番便利だなあと思うのは、何か自分に関連した出来事が起こると、すぐにメールで教えてくれることです。ですから、メールを見て、何かアクションを起こすことが習慣になりますよね。そこにつけこむスパマーがいるようですので、ご注意ください。

http://blog.trendmicro.co.jp/archives/4125

●ソフォス社がセキュリティ強化策を提言

ソフォス社は、Facebookのセキュリティ強化策について、下記の3点を提言しているようです。

1)利用者の個人情報を共有する際には、利用者の明確な許可を得てからにすること。
2)アプリケーション開発者の審査を行うこと。
3)常時HTTPS接続機能を、デフォルトで有効にすること。

この3点は確かに重要であり、私もFacebookとして実施すべきであることだと考えます。本当に、どれも重要なことで、今すぐにでも実施すべきことだと思います。

http://itpro.nikkeibp.co.jp/article/NEWS/20110419/359555/?t2

これからも、Facebookのセキュリティ問題、注目していきたいと思います。

symantec

株式会社シマンテック (東京都港区) は、4月12日付で、インターネットセキュリティ脅威レポート (ISTR) 第16号を発表しました。

本レポートによると、昨年新たに発見された不正ソフトウェア(ウイルス)の数は2億8600万種を超えており、地球人口約70億人との比較で約25人に一つの割合で新しい不正ソフトウェアが作られていることになります。

詳しくは同社Webサイトをご参照ください。
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20110412_01

pmark_20110401


4月1日現在、プライバシーマーク公式ウェブサイト上での付与事業者数は 12,041社です。昨年3月31日現在の数字が、11,296社でしたので、一年間で745社の増加です。とりあえず、速報で流します。後ほど詳細な情報を流します。

new_jipdec

(旧)日本情報処理開発協会は、4月1日付で、新公益法人制度に沿った一般財団法人へ移行するとともに、組織名称を変更すると発表しました。

(旧法人名)「財団法人日本情報処理開発協会」

(新法人名)「一般財団法人日本情報経済社会推進協会」
(英文名:Japan Institute for Promotion of Digital Economy and Community,英字による表記名:JIPDEC)

(私のコメント)
略称JIPDECは変更ないものの、日本語の名称は変更になりました。プライバシーマーク取得事業者の皆様は、自社の個人情報保護規程の中の緊急時の連絡先を新名称に変更するなどの対応を取る必要があると思われます。ご対応ください。

↑このページのトップヘ