プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2012年03月

shoplogo_vector

ソフトウェアダウンロードサイトを運営する株式会社ベクター(東京都新宿区、JASDAQ上場、ソフトバンクグループ、プライバシーマーク付与事業者)は、3月22日付で、外部からの不正アクセスを受けて個人情報が流出した可能性があると発表しました。

流出した可能性があるのは、
・2008年2月以降に
 同社でソフトウェアを購入した人
 PC向けオンラインゲームで、同社の課金サービスを利用した人
26万1,161件の個人情報で、カード情報も含まれるとのことです。

同社では、「侵入経路の遮断」「当該サーバのシステムの変更」「当該サーバからの個人情報の削除」「クレジットカード決済の停止」などの対策を打ち、緊急の対応を行っているようです。

http://www.vector.co.jp/info/spinfo/20120323.html
http://ir.vector.co.jp/wp-content/uploads/2012/03/20120322_1_1.pdf

(私のコメント)
今回の対応は早いと思います。大きな被害にならないことを祈っております。

Pマーク

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)・プライバシーマーク推進センターは、3月1日付けで、プライバシーマーク制度運営要領に暴力団排除条項を盛り込むと発表しました。

これは、「指定審査機関」「指定研修機関」「プライバシーマーク審査」「プライバシーマーク付与」「欠格性の判断」のそれぞれにおいて、暴力団関係者を排除するものです。

詳しくはJIPDECの発表資料をご参照下さい。

http://privacymark.jp/news/2012/0301/Youryo_Kaisei20120301.pdf



honey-pot-lost-device-3
総合セキュリティ企業シマンテック社の日本語版Blogの3月12日付け記事によりますと、スマートフォン50台を意図的に放置し、発見者がそのスマートフォンをどのように扱うかを調査する実験を実施したところ、96%のケースで中身のデータがのぞかれたとのことです。

・持ち主に返そうとした 50%
・中身のデータにアクセスした 98%
・SNSやメールを見ようとした 約6割
・企業情報にアクセスしようとした 約8割
・「リモート管理」アプリを実行しようとした 約5割

同社では、「パスワードによる保護」「リモート消去」「スマートフォンは、常に身に付けるか、安全な場所に置く」ことなどを推奨しています。

http://www.symantec.com/connect/blogs/symantec-smartphone-honey-stick-project

(私のコメント)
全く恐ろしい調査結果ですね。ある意味では当然かも知れませんが、落とし物のスマホを見つけた人は中身を確認しようとすると。iPhoneの場合には、下記の設定を行うことをオススメします。
1)「設定」−「一般」−「パスコードロック」でパスワードを設定する。
2)「設定」−「一般」−「パスコードロック」ー「データを消去」でパスワードを10回失敗するとiPhone上の全てのデータが消去されるようにする。
3)「設定」−「一般」−「自動ロック」を「5分」にする。
4)「設定」−「iCloud」−「iPhoneを探す」を「ON」にする。
これくらいやっておけば、まずは大丈夫かと思います。そのかわり、データは消去されてしまう危険がありますので、こまめにパソコンやiCloudと同期させておいてください。

isms

ISMS認証制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)は、「ISMS適合性評価制度に関する説明会」を3月に東京と大阪で開催すると発表しました。

これは、制度の普及を目的としており、広く一般の組織からの参加が可能とのことです。

開催スケジュール
3/27(火) 東京(日本教育会館)
3/30(金) 大阪(大阪国際会議場)

http://www.isms.jipdec.or.jp/seminar/201203index.html

(私のコメント)
すでにISMS認証を取得済みの方も、プライバシーマークの次にISMS認証の取得を考えている方にもオススメします。

products
米国の総合ネットワークサービス「Google」は、3月1日付けで、今回の同社のプライバシーポリシー変更に対する公式見解を発表しました。

これは、日本語での公式Blog「Google日本Blog」に日本語で掲載されたもので、プライバシーディレクターのアルマ・ウィッテン氏による投稿のようです。

(要旨)
・プライバシーポリシーの変更において、さまざまな誤解や不安を招いており、再度重要なポイントについて紹介したい。
・新しいプライバシーポリシーは1つに統一され、分かりやすくなった。
・製品間でのデータ連携は今までもやっていたし、従来のポリシーでも制限されていなかった。
・今回の変更により、YouTubeと検索の履歴を統合する。Aという情報を頻繁に検索している人がYoutubeで検索した時には、それによりAに関する動画がオススメされることがあるかも知れない。
・プライバシー保護はこれまで通り行うし、新たな個人情報を集めることはない。

http://googlejapan.blogspot.com/2012/03/google.html

(私のコメント)
やはり、今回のポリシー変更前からも、同社は情報を集約して管理していたということです。ですから、EUやマイクロソフトが言っているポイントはずれていると思います。

ただし、Youtubeと検索の履歴を統合することは新たな追加の連携となるようです。これはプライバシーの問題と言うよりも、むしろ「独占」の問題に思えます。以前にマイクロソフトがWindowsとIEを一体化した時に分離を要求したのと同じようなアプローチで、Googleに対してサービスごとの分社化なり情報の分離を強制するということであれば、理解できます。そしてその必要性は日々高まっていると思います。



products

経済産業省と総務省は、2月29日付けで、グーグル株式会社に対し、同社が3月1日付けで新たに適用すると発表しているプライバシーポリシーに関して、法令遵守と利用者に対する分かりやすい説明を求める文書による通知を行いました。

今回の通知の内容は下記の通りです。全文を引用します。

・統合されたプライバシーポリシーに従ってサービスを提供する際には、利用目的の達成に必要な範囲を超えた個人情報の取扱いや個人データの第三者への提供を行わないとともに、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合や個人データを第三者に提供する場合にはあらかじめ本人の同意を取得するなど、個人情報についてその適切な取扱いが図られるよう、個人情報の保護に関する法律(平成15年法律第57号)を遵守することが重要であること。

・電気通信事業法(昭和59年法律第86号)における通信の秘密の保護等に関する規定を遵守するとともに、利用者に対してプライバシーポリシーやサービスに関して分かりやすい説明をしていくことが重要であること。

・こうしたことを踏まえ、適切にサービスを提供していくとともに、3月1日以降も利用者から出てくる実際の懸念や要望に応えるべく、必要な追加的説明や措置等をとることにつき柔軟な対応をすることが重要であること。

特定のネットワークサービスがプライバシーポリシーを変更するにあたって、今回のように中央省庁から通知が行われることは極めて異例なことです。今回の同社のポリシー変更の影響の大きさを表すとともに、説明が不十分であることから混乱が拡がっている現状を示していると思います。

経済産業省
http://www.meti.go.jp/press/2011/02/20120229011/20120229011.html

総務省
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000117.html

(私のコメント)
Googleが今日から適用するといっている新ポリシーについては、世界的に混乱が起こっています。それは「今回のポリシー変更により、Googleの集めている個人情報が一元管理されるようになり、今まで以上に個人情報が活用される」のではないかということです。EUはこれに対して異議を出してますし、ライバルのマイクロソフトなども批判広告を出しています。
しかし、私が思うにはGoogleは以前より一元管理しており、何も変わらないのではないかと思っています。どちらが正しいのか、Googleからの分かりやすい説明が求められています。

(3月7日追記)
Googleは、3月1日付けで、今回の同社のプライバシーポリシー変更に対する公式見解を発表しています。詳しくは下記の記事をご参照下さい。
http://www.pmarknews.info/archives/51823902.html

↑このページのトップヘ