プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年01月

20130130
(画像はICO公式Webサイトにおける発表記事)

英国の情報コミッショナー事務局(ICO)は、2011年に大規模な個人情報流出事件を起こしたソニー(現地法人のSony Computer Entertainment Europe Limited)に対して、データ保護法が求めるデータ保護原則遵守義務違反があったとして25万ポンド(約3500万円)の制裁金をかけると、1月24日付で発表しました。

ICOによると、2011年の事件は、氏名、住所、メールアドレス、生年月日、パスワードなどの個人情報が大量に流出したものであり、またクレジットカード情報も危険にさらされるというものであったが、本来は、サーバーなどのソフトウェアを適切にアップデートしていれば、これらの攻撃は防ぐことができたものであったとしています。すなわち、ソニーには大きな責任があったのに、十分には応えていなかったという過失があるというわけです。それによる制裁金ということのようです。

http://www.ico.gov.uk/news/latest_news/2013/ico-news-release-2013.aspx
http://japanese.engadget.com/2013/01/24/psn-3500/

(私のコメント)
1月28日の「JIPDECプライバシーマークフォーラム2013」の講演において、堀部政男先生がこの内容を取り上げていらっしゃいました。さすがに、あれだけの事件を起こして「すみません」だけでは済まないというのが、欧州のプライバシーに対する見方であることを示す発表だと思います。

jipdec_forum_2013

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)が、1月28日に東京で「JIPDECプライバシーマークフォーラム2013」を開催しました。

これはプライバシーマーク認定事業者を対象に開催されたものです。弊社(オプティマ・ソリューションズ株式会社)もプライバシーマーク認定事業者であり、代表して私が参加しましたので、各講師がお話された内容の要旨などをここでご報告いたします。(あくまで内容は私のメモに基づくものです)

■主催者挨拶(JIPDEC会長 牧野力氏)

・今日、1月28日は国際的にプライバシーの日とされており、世界中で関連イベントが開催される。このような日にプライバシーマークフォーラムを開催できて嬉しく思う。
・プライバシーマークは今年で15周年を迎える。当初、制度の普及に苦労した時期もあったが、皆さんとの協力関係の中で、広く普及させることができた。
・個人情報保護の意識を高め、ノウハウを蓄積していくことは、皆さんのビジネスの拡大にもつながることと思う。今後もこの制度をさらに広げていきたい。
・プライバシーマークを取り巻く情勢としては、(1)国内ではマイナンバー制度の検討が進んでいる、(2)海外ではEUデータ保護指令の一般データ保護規則への改正、また米国では消費者プライバシー権利章典の草案が出されるなどの動きがある。
・これに対して、JIPDECとしては(1)Pマーク制度の更なる認知度アップの実現、(2)EU、米国の動きに関する情報収集と皆さんとの共有、(3)海外の同様の制度との連携や相互承認の拡大、(4)Pマーク制度の継続的改善をしていきたい。
・Pマーク制度の改善としては、皆様のアンケートの結果に基づいて進めていきたい。具体的には、更新審査について、同じ審査員に連続して担当させるなどの工夫により、更新審査の簡略化や時間の短縮を検討している。
・Pマーク制度はあくまでも民間の自主的な取り組みであり、皆様と一緒に今後も作り上げていきたい。ぜひ積極的なご意見・ご提案をいただきたいと思う。

■講演「プライバシーマーク制度の現状と展望」
(プライバシーマーク制度委員会委員長 堀部政男氏)

・私はプライバシーマーク制度委員会の委員長ということで、主催者の一員でもあるが、もともと私は個人情報保護というテーマについて、半世紀にわたり研究してきた。JIPDECとこの制度について議論し始めたのが30年前。ずっと関与してきている。
・最新ニュースだが、1月24日付で、イギリスの情報コミッショナー事務局(ICO)が、ソニーに25万ポンド(約3500万円)の制裁金をかけると発表した。(本件については、別に記事にします
・今日はプライバシー・個人情報保護論議の世界的展開をおさらいしたい。この論議は19世紀末から始まっている。
・1980年に「OECD勧告」が出た。ただし、これは単なる勧告であった。
・1981年1月28日に欧州評議会(COE)で「個人データ保護条約」(Convention 108)が各国の署名に付された。この条約は、日本ではあまり知られていないが、各国間の条約=法的拘束力を持つものであり、重要性が高い。
・COE個人データ保護条約を元にして、1990年ECデータ保護指令、1995年にEUデータ保護指令が出されて第三国にデータを持ち出す際には十分性が認定されなければならないとされた。
・1998年にプライバシーマーク制度が開始した際には、制度としてEU指令の定める「十分なレベルの措置」に該当するかどうかを意識して検討が進められてきた。
・その後、2003年の個人情報保護法成立などの流れの中で、プライバシーマーク制度は大きく成長してきた。
・現在、EUでは新しく一般データ保護規則の制定を進めている。その中では認証制度を活用することも含まれている。
・国内では番号法案(マイナンバー法案から改称)の検討が進んでいる。
・このような動きの中で、プライバシーマークは独自のスタンダードとして重要な役割を持っていると考える。

http://privacymark.jp/forum/2013/index_pre.html

(私のコメント)
半世紀にわたり、プライバシーや情報に関する法制度を研究し、政策決定にも関与してきた堀部先生のお話はなかなか興味深いものでした。これらの内容については、後日JIPDECより動画で公開されると思いますので、合わせてご参照下さい。


「これだけ!個人情報保護士完全対策」改訂3版

私(中 康二)が著者を担当させていただいている「これだけ!個人情報保護士完全対策」(あさ出版)ですが、2006年の初版発行以来のご好評をいただき、この度、改訂3版を出すことになりましたので、お知らせいたします。

個人情報保護士の試験は、毎年4回実施されており、毎回新しい問題が出題されています。今回の改訂においても、最近の過去問の傾向を元に、合格に必要と思われる情報をどんどん取り入れ、あまり出題されていない内容は取り除きました。

本書の前半は、短めの本文と、キーワード解説と、例題で構成されています。下記に第一章「個人情報保護法の歴史」のイメージを掲載いたします。

SCAN_NEW

SCAN_0001_NEW_0001

SCAN_0002_NEW


なお、後半では、過去問から典型的なものを精選して掲載しています。

私は「この本を読んで個人情報保護士に合格しましたよ!」という声をよくいただきます。

個人情報保護士の試験を受験される方には本書を強く推薦いたします!

http://www.amazon.co.jp/gp/product/4860635744/

20130115
(画像はカスペルスキー社公式サイトより引用)

ウイルス対策ソフトの開発会社であるカスペルスキー研究所(本社:ロシア連邦モスクワ)は、自社のWebサイト上で2012年の年次セキュリティ情報を発表しました。同内容によりますと、2012年末現在において、毎日20万件のウイルスが検出されているとのことです。

その他にも、
・70万台のウイルスに感染したOS X(Mac)マシンで構成されるボットネット「Flashfake」が発見され、OS Xは悪用されないとの認識がくつがえされた。
・モバイル向けマルウェアの 99%はAndroidをターゲットとしており、件数も前年比で6倍増加している。
・iOS向けでもアドレス帳のデータを収集し、スパムを送信する怪しげなアプリが発見された。
・最も狙われたアプリケーションの脆弱性はOracle Javaで全体の50%を占め、2 位がAdobe Readerで28%を占める。Adobe Flash Playerは自動アップデートシステムが功を奏した結果、2%にまで減少。
・マルウェアのホスト国ワースト 5:米国、ロシア、オランダ、ドイツ、英国。中国は当局の規制強化により、悪質なホストが急激に減少している。
・マルウェア感染率が低い国トップ 5:デンマーク、日本、フィンランド、スウェーデン、チェコ共和国
・Windows XP のシェアはまだ44%あり、古い脆弱性が狙われるケースも発生。
など、興味深い内容が多く含まれております。

興味が湧いた方はぜひ原文をご参照下さい。

http://www.kaspersky.co.jp/news?id=207585698


2013年11月19日追記:
本Blog記事を書いた後、iOSの仕様が変更になり、OSに設定したGoogleアカウントをサードパーティーアプリで使えるようになりました。その他にもGoogleアカウントに2要素認証を取り入れることへの環境整備が進んできたと思います。従って、今後、私はGmailの2要素認証を使用することを推奨いたします。(中康二)


20130109
昨年末より、Gmailのアカウントを乗っ取られて知らない間にお知り合いにSPAMメールが送られていたとの声がネット上で多く見られます。どうやらGmailに対する不正アクセスが頻発しているようです。

複数の情報をまとめてみますと、
(1)まず、Google社から「不正なログインをブロックしました」とのメールが届いたという話があります。これは不正アクセスの試みがあったものの、実際にはログインできなかったというわけですから、悪意を持った者に狙われたものの、事実上被害はないということになります。(上記の画像がそのGoogleからのメールです)
(2)次の段階として、知らない間にお知り合い全員にメールが送信されていて、その中身は不正なWebサイトにリンクするURLだけだったというものがあります。これは悪意の第三者にログインされたわけですから、実際に乗っ取られたということになります。
(3)次に、異常を察知したGoogle社に、自分のアカウントをロックされてしまい、予め登録してあった別のメールアドレスや携帯電話などを使った認証プロセスを使用してパスワードを新しいものに変更してロックを解除したという話があります。

当然ながら、これらは(1)(2)(3)の順番に起こるものですので、(1)の数が最も多く、(2)、(3)の順番に発生頻度は少なくなっているようです。

この件が持ち上がってすでに2週間以上経過していますが、原因ははっきりとは分かっていません。そもそも、このような不正なアタックはいつも起こっているのですが、ここ数週間はその発生頻度が高くなっており、かつ何らかの理由により成功の確率が高くなっており、被害者が多くなっているのではないかと思います。

成功の確率が高くなっている原因としては推測するしかないのですが、過去に他のサービスで大量流出したメールアドレスとパスワードの組み合わせが、悪意をもった第三者の手に渡り、Gmailのアカウントに集中的な不正アクセスをしていることが考えられます。(例えばこのような事件です)

そして、多くのWeb媒体ではこれに対する対応として「Gmailの2要素認証を使用するように」と呼びかけています。しかし、この2要素認証ははっきりいって結構めんどくさいです。

Gmailをパソコンのブラウザだけで使用している場合ならいいのかも知れませんが、
・複数のブラウザを使用している場合には、その一つ一つで認証作業が必要です。
・メールソフトを使用している場合には、その一つ一つで認証作業が必要です。
・スマホでも認証作業が必要です。ブラウザとアプリで認証作業が必要です。
・カレンダーアプリでも認証作業が必要です。

私も過去に使用していたことがありますが、しばらくして面倒になってしまい、現在は使用していません。おそらく、普通の感覚をお持ちの皆様は、2要素認証は実際には使われないことと思います(私はこういうことに関しては面倒くさいことも喜んでやる方です。それでもやめてしまったくらい面倒なのです)。

セキュリティのことですから、楽観的に考えることは難しいかも知れません。2要素認証をしていなくて、不正アクセスされても、私は何の保障をすることもできません。ただし、Gmailが世界中でこれだけ活用されてきて、今までは大きな問題がなかったわけですから、今回の不正アクセスの多発ぐらいで、急に全員が2要素認証に移行することもないと思います。

私はその代わりに、パスワードを新しいものに変更することをオススメします。今回の原因が過去に流出したパスワードを利用してアタックしているのだとすれば、この対策で充分です。

その際には、他のサービスと同じパスワードを使用しないようにして下さい。Gmail専用のパスワードにして下さい。とりあえず、今のところはこれで充分だと思います。ご参考まで。

↑このページのトップヘ