プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2012年11月

NTT DATA 20121129
(画面は同社Webサイトより)

株式会社NTTデータは、11月27日付で、自社が運営する地銀共同センターから取引情報が不正に持ちだされ、ATMから現金が引き出された可能性があると発表しました。また、本件に関連し、業務委託先企業の社員が京都府警に逮捕されたとのことです。

逮捕された委託先社員は、2003年4月より同センターの構築に加わっており、かなりシステムの内容に詳しかったということです。

また、不正に取得された情報は、
・地銀共同センター参加銀行と提携金融機関の間での取引情報
 (口座番号、暗証番号含む)
とのことで、この情報を使用してキャッシュカードを偽造して、ATMから現金を引き出していたようです。

(私のコメント)
内部に常駐する委託先の犯行のパターンですね。他の報道によりますと、今回の不正出金額は2000万円を超えるとのことですが、ATMには監視カメラも付いてますし、いずれ捕まる運命だったと言えるのではないかと思います。

fastserver_20121126
(出典:JADAC発表文書)

レンタルサーバー大手のファーストサーバ株式会社(大阪市中央区)が6月20日に起こした大規模な障害に対して、プライバシーマークの審査を担当している一般財団法人日本データ通信協会(JADAC)のPマーク審査会(会長:鈴木正朝新潟大学教授)は、10月24日付で「プライバシーマーク制度における欠格事項及び判断基準」に基づいた措置を「注意」とすると発表しました。

「注意」はプライバシーマーク制度の中で最も軽度な措置になります。なぜ、そのような軽度な措置で済まされるのか、今回公表された文書を解読したいと思います。

今回の大規模障害は
1)当該サービスの全データ消失(バックアップファイル含む)
2)ディスク復旧ツールを使用して復旧したデータを顧客に提供しようとしたら、他社のデータも提供してしまった件
の2つの事故に区別できます。

今回公表された文書によると、なんと1)は「当該情報が個人情報に該当するかどうかを認識することなく預かっていた」ためにプライバシーマーク制度の対象外の事故であるというのです。それで、2)については、顧客相互間での流出であり、二次被害もなかったために軽微な事例として取り扱うとしています。

その結果として、今回の措置は「注意」に留まったということです。

http://www.dekyo.or.jp/pmark/sinsei/data/singiketsuka.pdf

(私のコメント)
上記の措置を読むと、「当該情報が個人情報に該当するかどうかを認識することなく預かっていた」ので、プライバシーマークの制度の対象外であるというファーストサーバ社の主張に対して、JADAC側としては反論できなかったと読み取れます。

しかし、今回障害が発生したサービスは単なるデータセンターの場所貸しや生のサーバー貸しではありません。アプリケーションとしてのメールサーバー機能を提供しているのであり、そのためのコントロールパネルも同社が用意しているのです。これを「個人情報に該当するかどうかを認識せずに預っている」と主張することは不適切であると思います。迷惑を受けた利用者としても、この論法では納得できないのではないでしょうか。

このような考え方が既成事実となっていくと、今後は、同様の事業者がプライバシーマークをつけていても、ほとんど意味がないということになります。こんなことでは、プライバシーマークが何の意味もないお飾りになっていくことになり、大問題だと思います。


※11月29日 一部、追記&修正しました。

jp_security-01
情報セキュリティの専門会社であるマカフィー株式会社は、11月26日付で、同社が開設しているBlogにおいて「ウイルス感染から身を守るための『セキュリティ対策五箇条』」と題した文書を発表しました。

パソコン、インターネット、モバイル、ブロードバンド、クラウドと社会全体の情報化が進む中、情報セキュリティの重要性は強調しても強調しすぎることはありません。今回のマカフィーの五箇条は本当に全員に知っておいてほしいことがまとめられているので、ここでもご紹介したいと思います。


  • 一.OSやソフトウェアは常に最新パッチを適用すべし!
    (Windowsアップデートや主要ソフトのアップデートを定期的に行うこと)

  • 一.ウイルス対策ソフトを導入しただけで安心するべからず!
    (定義ファイルの自動更新、リアルタイムスキャン、ファイアウォールを使用すること)

  • 一.身に覚えのないメールは開くべからず!
    (ウイルスに感染する危険性があります)

  • 一.怪しいWEBサイトは閲覧するべからず!
    (ウイルス感染や、情報詐取の危険性があります)

  • 一.拾い食いはするべからず!
    (USBメモリを拾っても、自分のパソコンには刺さないように)



是非、ご一読下さい。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1343

20121113

総務省は、11月2日付で、「一般利用者が安心して無線LANを利用するために」と題した文書を発表しました。

これは、無線LAN(WiFi)の利用が広く普及する中でのセキュリティ上の問題について、一般のユーザーにも知っておいて欲しいことをわかりやすくまとめた文書です。

この文書の中で、「3つの約束」という大原則が示されています。

(1)無線LANを利用するときには、大事な情報はSSLでやり取り
(2)無線LANを公共の場で利用するときは、ファイル共有機能を解除
(3)自分でアクセスポイントを設置する場合には、適切な暗号化方式を設定

是非、ご一読下さい。

http://www.soumu.go.jp/main_content/000183224.pdf

(私のコメント)
大変、時宜を得た文書だと思います。
皆さんにも参考にしていただけると思います。

willgate

SEO事業、Webソリューション事業などを営む株式会社ウィルゲート(東京都渋谷区)は、10月20日付で、自社が運営する保険見直しサービス「保険ゲート」のシステム上の設定にミスがあり、センシティブ情報を含む相談者の個人情報約1万件が流出したと、発表しました。

同社では、保険見直しを希望する相談者が申し込みフォームに入力した内容をメールに変換して受信していたようです。しかも、この受信アドレスが、社内業務用のメーリングリスト(複数の人に同時にメールを配信する仕組み)のアドレスだったのですが、そのメーリングリトの転送先(約50程度とのこと)の中に関係者ではないメールアドレスが13件登録されており、相談者のセンシティブ情報を含む個人情報がそれら関係者ではないアドレスに流出したとのことです。

流出したのは

(1)2012年3月1日から6月27日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「住所の一部(都道府県市区町村)」5,905件

(2)2012年6月28日から9月30日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「電話番号」「メールアドレス」「持病情報」「服用薬」「世帯年収」「配偶者情報」5,588件 

とのことで、特に(2)の「持病情報」「服用薬」は身体に関する情報にあたりますので、プライバシーマーク制度上のセンシティブ情報(特定の機微な情報)です。

同社では、「保険ゲート」の全サービスを停止して、現状調査、関係者へのお詫び、原因究明と再発防止策などを行なっているようです。

http://www.willgate.co.jp/
http://www.willgate.co.jp/20121024.html
http://www.hokengate.jp/

(私のコメント)
今回の事件が発覚する前の同社のシステムには何重にも問題があります。

(1)そもそも、センシティブ情報を含む個人情報を、電子メールの形式でインターネット上を平文で(暗号化しないで)流すべきではありません。同社はプライバシーマーク認定事業者です。この状態でプライバシーマークの審査が行われれば、間違いなく指摘されることでしょう。
(2)また、センシティブ情報をメーリングリストで多数の関係者で共有すべきではありません。共有先が関係者に限られていたとしても、何十人もの関係者のメールの受信簿に大事な顧客のセンシティブ情報が大量に蓄積されるようでは、パソコンの紛失・盗難や、社員が悪意を持って流出させる可能性があるなどいずれにせよ大きなリスクを抱えることになります。
(3)さらに、メーリングリストの配信先に見知らぬアドレスが含まれていたということから考えると、メーリングリストの配信先などの管理が外部から可能となっていた可能性があります。メーリングリストという仕組みは、古くからインターネット上で使用されていますが、様々な脆弱性が残っており、センシティブ情報を取り扱うに足るような高いセキュリティを実現できる仕組みではありません。

私が同社に電話で問い合わせたところによると、同社では現在のようなフォームメールとメーリングリストを組み合わせたシステムでの運用はやめて、もっとセキュリティの高い仕組みに切り替えていくとのことでした。当然のことだと思いますし、そのことも公表していただいたほうがいいと思います。

2013年1月10日追記:
同社より最終報告が出ております。今後はメーリングリストでの個人情報の共有はやめるそうです。一件落着ですね。
http://www.willgate.co.jp/20121221.html

webshark
オンラインショッピング、アフィリエイトなどのサービスを行なっている株式会社ウェブシャーク(大阪市中央区)が、自社が運営するオンラインショッピングサイトに不正アクセスがあり、顧客のクレジットカード情報約9万件が流出した可能性があると、10月31日付けで、顧客に対して電子メールで案内したようです。

同社のメールによると、流出した可能性があるのは、同社のオンラインショッピングサイト「ストアミックス」「ドクタートニー」からで

 クレジットカード決済を利用した顧客のクレジットカード情報(会員番号、有効期限、カード名義)
 実際に流出が確認できたのが98件
 サーバー上には94,243件のデータが存在しており、この全てが流出した可能性がある

とのことです。

また、不正アクセスは、2011年11月14日〜11月30日にかけて断続的に中国のIPアドレスから行われたそうです。攻撃手法としては、バックドアによる不正侵入とSQLインジェクションとされていますが、この2つの関連性は不明です。

同社では、一定の対策をしたようですが、サービス自体は停止せず、そのまま運営を続けています。カードの再発行費用の負担なども行う予定はないようです。

ただし、報道によると、カードの不正利用で約2千万円の被害が出た可能性があるとのことで、これはあまり小さな規模の被害ではありません。

今回の事態に対して、経済産業省は、10月30日付で、個人情報保護法第32条に基づく報告の徴収を行いました。今回の事件の詳細や再発防止策などを11月13日までに提出するよう求めているとのことです。

同社公式サイト(現在のところ一切の記載なし)
http://www.webshark.co.jp/

同社が顧客に送付したお詫びメールとおもわれるもの
http://doplxyz.livedoor.biz/archives/51950463.html

株式会社ウェブシャークに対する個人情報保護法に基づく報告徴収(経済産業省)
http://www.meti.go.jp/press/2012/10/20121030010/20121030010.html

(私のコメント)
今回の事件に対するこの会社の対応の不十分さは目に余ります。報道が事実とすると、カード会社から利用停止を食らってもおかしくないのですが、どうなっているんでしょうね。

↑このページのトップヘ