プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2012年07月

2012年12月6日追記:同社では2012年10月15日から購入履歴データの開示請求に応えているようです。詳細はこちらの記事を御覧ください。
http://www.pmarknews.info/archives/51872139.html

20120730
(出典:T-SITE)

興味深いことが起こっていますので、本Blogでもご紹介したいと思います。

多くの利用者を持つ「Tポイントカード」。今や発行元のカルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)が運営するTSUTAYAだけではなく、多くの業種のチェーン店で利用できて、様々な購入履歴データを大規模に収集しています。当然ながら、これらのデータは

・個人情報データベース等に収められていて
・6ヶ月以内に消去しない
・個人情報の保護に関する法律施行令第3条にあたらない

と思われますので、間違いなく「保有個人データ」になると思われます。

しかし、同社では、そのうち一部の基本データを除いては開示請求に応えていないというのです。その理由は、
業務に著しい支障がある
とのことであり、具体的には
当該事業者のデータ管理の仕組み上、 一会員のデータを抽出・出力する際の工数の多さ・稼働中のシステムへの負荷・コスト上の問題等が存在し、業務に著しい支障が出る状況が想定される
とのことです。

ただし、購入履歴データのうち「日付、購入店名、獲得・利用ポイント数」については、同社の運営する「T-SITE」で確認することができます。

https://tsite.jp/

(実際に開示請求をした人のBlogです)
http://www.nantoka.com/~kei/diary/?20120628
http://www.nantoka.com/~kei/diary/?20120718
http://www.nantoka.com/~kei/diary/?20120728
※2012年7月30日現在やりとりが続いています。

(私のコメント)
これはありえないんじゃないかな〜と思います。個人情報保護法では、開示請求にかかるコストについては、実費を勘案して合理的であると認められる範囲内で手数料を徴収することが許されていますので、コスト上の問題はありえないと思います。このようなことが許されるようでは、せっかくの個人情報保護法の趣旨が台無しになっていきます。CCCの姿勢は正されるべきです。

20120727
プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)・プライバシーマーク推進センターが、Pマーク取得事業者を対象に「個人情報保護マネジメントシステム(PMS)運用のヒント集」を公開していますので、お知らせします。

これは、同協会がPマーク取得事業者だけに用意している「プライバシーマーク制度付与事業者専用サイト」の一つのコーナーとして用意されているものです。具体的な質問に対して分かりやすく答える内容になっています。

既にプライバシーマークを取得されていて、運用に困っているような方には参考になると思いますので、是非ご覧になってください。

http://member.privacymark.jp/(Pマーク取得事業者のみ閲覧可能)

(私のコメント)
残念ながら、これからプライバシーマークを取得しようという方には見ていただくことは出来ないようです。下記の「よくある質問と回答」はどなたにも見ていただけます。

http://privacymark.jp/privacy_mark/faq/index.html

site-logo00
独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは、7月17日付けで、「組織内部者の不正行為によるインシデント調査」の報告書を公表しました。この中で、社員の内部不正行為への対策として「社内システムの操作ログが残る」ことが最も効果的であると分かりました。

この調査は、国内の3,000名の一般社員と、110名の経営層やシステム管理者の双方に対して、ネット経由で実施されたものです。

まず、社員として、内部不正の気持ちが高まる要因として下記があがりました。

(調査1)あなたは、どのよう条件が整えば不正をしたいという気持ちが高まると思いますか。当てはまるものを上位 5つまでをお答えください。

1位 不当だと思う解雇通告を受けた(34.2%)
2位 給与や賞与に不満がある(23.2%)
3位 社内の人事評価に不満がある(22.7%)
4位 職場で頻繁にルール違反が繰り返されている(20.8%)
5位 システム管理がずさんで顧客情報を簡単に持ち出せることを知っている(20.1%)

やはり、社員に不満を抱かせると、内部不正をしたくなるということですね。

そして、社員が内部不正を思いとどまる対策として、下記があがりました。

(調査2)あなたは、どのような条件が整えば不正を行いたいと思う気持ちが低下すると思いますか。当てはまるものを上位 5つまでをお答えください。

1位 社内システムで行ったルール違反の痕跡を消すことが難しい(54.2%)
2位 顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む)(37.5%)
3位 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある(36.2%)
4位 社内システムにログインするためのID やパスワードの管理を徹底する(31.6%)
5位 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する(31.4%)

これは注目です。社内の情報システムを使用してルール違反した場合にその痕跡が残り、それを消すことが困難である=すなわちログ取得が効果的であると半数以上の社員が言っています。

一方で、経営層やシステム管理者は、下記の対策が有効と考えています。

(調査3)あなたの企業では、社員等の内部者によるインシデント等の不正行為に対して、今後どのような対策を行いたと思いますか?

1位 開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている(20.9%)
2位 情報システムの管理者以外に、情報システムへのアクセス管理が操作できないようになっている(12.7%)
3位 社内システムにログインするためのIDやパスワードの管理が徹底されている(11.8%)
4位 ネットワークへの利用制限がある(8.2%)
5位 開発物や顧客情報などの重要情報にアクセスした人がアクセスログ等によって確認されるようになっている(7.3%)


IPAでは、調査2と調査3の食い違いが問題だとしています。

http://www.ipa.go.jp/security/fy23/reports/insider/index.html

(私のコメント)
会社側はアクセス制限や権限管理などの包括的な対策から始めようとしていますが、社員側はむしろ「監視」や「処罰」など不正を起こした後のことを気にしています。結論としては内部不正対策にはログ取得が効果的ということです。ログ取得は、費用もかかりますし、チェック体制を構築することも大変ですが、内部不正対策としては間違いなく有効な対策といえそうです。

mof
財務省は、7月20日付けで、職員が使用していた複数のパソコンがウイルスに感染し、外部に情報が送信されていた可能性があると発表しました。同省では、当該パソコンの回収、ならびに外部の送信先との通信の遮断などの対策を取ったとのことです。

その他の報道によりますと、対象となったのは省内からインターネットを閲覧するためなどに利用する行政情報化LANシステムに接続するパソコン123台で、2011年11月までの2年間にわたりウイルスに感染し、外部のサーバーに不正な通信をしていたとのことです。

なお、同省ではウイルスは未知のタイプであり、一般のウイルス対策ソフトでは感知できなかったとし、感染ルートは現在調査中だそうです。

http://www.mof.go.jp/about_mof/other/other/press_20120720.html

(私のコメント)
未知のウイルスが財務省の業務用パソコンに2年間にわたって大規模に忍び込んでいて外部に情報を垂れ流ししていた!とは、本当に大ニュースですね。標的型攻撃なのかどうかとか議論をする必要もなく、これは標的型攻撃です。だって、未知のウイルスを特定の組織に集中して注入してそこから情報を抜き出す攻撃のことを標的型攻撃というのですから、その言葉の定義のままのことが発生したわけですから。

ただし私は、一方的に財務省を責める気持ちもありません。財務省としては一定のセキュリティ対策をやっていたようです。それは下記のレポートから見て取れます。一定のセキュリティ対策をしていても、防ぐことが困難であるというのが、今の標的型攻撃の恐ろしいところです。
http://www.mof.go.jp/about_mof/other/security/index.html

最近、ラックの西本さんがよく講演などで言われている「情報筒抜け基盤」が、日本の最高権力の一つである財務省にも2年間にわたり構築されていたということです。
http://scienceportal.jp/HotTopics/opinion/209.html

一言で言うならば、官公庁や大企業など、重要な組織については、今よりももっと高度なセキュリティ対策が求められているということだと思います。

Nagano_Prefectural_Government_Japan
(長野県警 Photo taken by b9hetare)

報道によりますと、長野県警に所属する警察官が、元同僚の調査会社社長の求めに応じて、データベースに含まれる自動車の車検証に含まれる所有者や使用者の情報を流出させていたことが分かり、警官と調査会社社長の3名が逮捕されたとのことです。このルートで数千件以上の個人情報が流出していた可能性があるようです。

先日、ハローワークのデータベースから職歴情報が流出したという事件がありましたが、今回も調査会社(いわゆる探偵会社や興信所)が関係した同様の構造です。

情報を流出させた警官は、1件につき数千円を受け取っていたとのことです。

(私のコメント)
読売新聞でまとめられていた内容によりますと、愛知県警による今回の一連の捜査は、2010年7月に暴力団の資金源捜査を担当する警部に対して脅迫電話がかかったことに端を発しているそうです。その後、戸籍情報や個人信用情報の不正取得で司法書士事務所関係者、個人職歴情報の不正取得でハローワーク職員、携帯電話の所有者情報の不正取得でソフトバンクモバイル販売代理店の元店長、車検証情報の不正取得で今回の警官と、順番に捜査が続けられてきたそうです。一件の脅迫電話の捜査でここまで掘り出した愛知県警はよい仕事をしていると言えそうです。

bg_header
米国で実施されたアンケート調査によりますと、スマートフォンは11台に1台の割合で紛失・盗難にあうとのことです。

これは、米国マカフィー社が支援して実施された「スマートフォン紛失問題」に関するアンケートで、米国に所在する439社を対象に実施されたものです。

・これらの会社の社員が使用している約450万台のうち、紛失・盗難にあった件数が年間で約14万台であり、これは比率にして4.26%になる。現在のスマホの平均寿命が2.1年であることを考えるとスマホの11台に1台は紛失・盗難にあうことになる。
・紛失・盗難の後、回収されたのは9,298台であり、回収率は約7%である。
・紛失・盗難にあった場所は、約半数が出先、約3割が移動中、13%が職場と答えている。
・約6割のスマホに機微な情報や機密性の高い情報が含まれているにも関わらず、セキュリティ対策が施されているスマホは全体の約半数。

同レポートでは、スマートフォンの紛失対策は非常に重要性が高く、各企業として取り組むべき課題であるとしています。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1325(日本語Blog)
http://www.mcafee.com/us/resources/reports/rp-ponemon-lost-smartphone-problem.pdf(レポート本文・英語)

(私のコメント)
頭が痛い問題ですね。企業がスマホを配布する場合には、紛失・盗難対策は必須と言えると思います。

accs_logo
コンピュータソフトウェア並びに電子著作物の著作権保護を啓発している一般社団法人コンピュータソフトウェア著作権協会(略称:ACCS)が5月に発表したアンケート調査によると、中高生の約3%が今でもWinnyを使って、音楽や動画ファイルをダウンロードしているとのことです。

http://www2.accsjp.or.jp/activities/201224/news22.php(ACCS発表)
http://scan.netsecurity.ne.jp/article/2012/05/25/29113.html(関連記事)

(私のコメント)
未だにWinnyの利用者がかなりいることを知り、驚きました。Winnyは、タチの悪いウイルスが沢山仕掛けられていますので、本当に危険です。やめさせないといけないと思いました。なお、10月1日から施行される改正著作権法では、違法にアップロードされた有償の音楽・映像を違法と知りながらダウンロードした場合には、2年以下の懲役もしくは200万円以下の罰金となります。Winnyを使用した音楽、動画のダウンロードは、違法とされる可能性が大変高いことを認識しておく必要があります。
http://internet.watch.impress.co.jp/docs/news/20120620_541251.html(関連記事)

20120712
NECネクサソリューションズ株式会社(東京都港区)は、7月11日付けで「LanScope Cat for SaaS(ランスコープ・キャット・フォー・サース)」を同日より販売開始すると発表しました。

これは、IT資産管理・ログ取得ソリューションである「LanScope Cat」の機能を、従来のように社内にサーバーを置くのではなく、クラウド上のサーバーで実現するもので、サーバー構築や維持管理コストを節約して、スムーズに導入できそうです。

毎月かかる費用は、パソコン1台あたり月500円(最低100台から)とのことですので、月5万円から利用できるということになります。

(私のコメント)
100台分で月5万円というのは、非常に戦略的な価格設定だと思います。同社に問い合わせてみたところ、初期導入費用もあまりかからないとのことでしたので、「LanScope Cat」の導入を検討されている方にはオススメします。

20120709
最近の報道によりますと、韓国政府は「正義のハッカー」の育成に19億ウォン(約1.2億円)の国費を投入することにしたそうです。

日本政府も、7000万円の予算を投入し、正義のハッカー発掘のための全国規模の大会を開催することを5月に発表しています。

http://japan.donga.com/srv/service.php3?bicode=020000&biid=2012070345738
http://www.yomiuri.co.jp/net/news/20120521-OYT8T00899.htm

(私のコメント)
日韓両国でサイバー戦争時代に向けた準備が始まったと言えそうです。

※ここでは、ハッカーという言葉を「高いコンピュータスキルを持つ人」として使用しています。ハッカーには、既存のコンピュータシステムを攻撃する破壊者もいますので、そのような人たちと区別するために「正義のハッカー」という言葉を使用しています。「ホワイトハッカー」という場合もありますが、同じ意味です。

↑このページのトップヘ