プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2014年08月

1174874_10151792675378774_409138836_n
(前回の開催時の様子です。)

弊社(オプティマ・ソリューションズ株式会社)も参加している「データセキュリティ・コンソーシアム」では、9月3日(水)に、第8回データセキュリティ勉強会+懇親会を開催することになりましたので、皆様にご案内いたします。

データセキュリティ・コンソーシアムは、情報(データ)を取得するところから、利用し、保管し、復旧し、消去し、廃棄し、再生するまで、プロセス毎に集まった各組織が相互に協力し、データの健全な活用を通して社会に貢献する連携体です。今回のような勉強会を定期的に開催すると共に、情報セキュリティEXPOなどのイベントに共同でブース出展したりしています。

今回の勉強会の第一部であるセキュリティセミナーは、情報セキュリティで著名なソーシャルメディアリスク研究所代表の田淵義朗さんから「LINE、ベネッセにみる情報漏えいとセキュリティ」についての講演をいただいた後、環境ナビゲーターの上田マリノさんから「エコのお姉さんのエコ授業」と題してご講演いただきます。

第二部は、ビジネスチャンスを呼び込む人気な3分毎のショートプレゼン+「いいね!」質疑で構成いたします。ご希望者はぜひ手を上げてください。優秀者には情報セキュリティEXPOの無料ブース出展特典があります。

第三部は、懇親会です。参加者相互に名刺交換をしていただいて、ビジネスマッチングもしていただけると思います。

※なお、今回も私(中康二)は司会を仰せつかっております。

第8回データセキュリティ勉強会+懇親会
■日時:2014年9月3日(水) 13:40-18:10(受付開始 13:10)
■会場:アリス・アクアガーデン・シナガワ
東京都港区港南 2-16-5 三菱重工ビル グランパサージュ 3F(品川駅港南口 徒歩5分)
http://www.r-alice.jp/shinagawa/access.html
■会費:一般参加 5,000円 (懇親会参加費含む)
  シルバー参加 10,000円(3名様まで懇親会参加費含む)
  ゴールド参加 20,000円(7名様まで懇親会参加費含む+ブース出展+取材特典)
■幹事
データセキュリティコンソーシアム 事務局 唐鎌 益男
(日東造機株式会社 IT事業部長)

参加希望される方は、下記のお問い合わせフォームからお申し込み下さい。
http://www.data-security-c.net/contact_14summer.html

1239346_10151792590463774_1613719000_o

オプティマ・ソリューションズ株式会社
代表取締役 中 康二

20140818001-A_ページ_1
(画面は要請文書)

経済産業省は、ベネッセ事件に関連し、8月18日付で、下記の経済団体に対して個人情報保護法の遵守に関する周知徹底を要請する文書を発行しました。

日本経済団体連合会
新経済連盟
日本商工会議所
全国商工会連合会
全国中小企業団体中央会

特に、下記の各点に関して団体所属の会員各社に対して周知徹底を求める内容となっています。
ー卞發琉汰幹浜措置
委託先及びその先に関与する事業者の監督
3杏瑤らの適正な個人情報の取得

http://www.meti.go.jp/press/2014/08/20140818001/20140818001.html

(私のコメント)
極めてタイムリーな内容で、適切なものと考えます。経済産業省には、今回の事件の事後対応としてベネッセ社、ジャストシステム社などに対する指導もしていただきたいですし、何よりも現在改正作業が進んでいる個人情報保護法について、特に名簿屋の規制強化を盛り込むように動いていただきたいと思います。



12
(画像は同社サイトより)

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区、以下CCCと表記)は、8月14日付で、自社で運営している「Tポイント・カード」の会員規約を11月1日から改訂すると発表しました。今回の改訂は大規模なものであり、CCCではすべての会員から同意を取得しなおす方針とのことです。

主な変更点は下記の通りです。
・CCCとTポイントカード加盟店の間で個人情報を共有することに関して、従来は個人情報保護法に基づく「共同利用」と整理していましたが、これを「(双方向の)第三者提供」と変更する。
・データベースに蓄積された利用履歴情報を、マーケティングの目的で利用するために、CCCからTポイントカード加盟店に対して第三者提供することについて、希望しない人からの停止の受付を行う。(これは個人情報保護法で規定された「個人データの第三者提供のオプトアウト」ではないようですのでお間違いなく)

http://www.ccc.co.jp/customer/index.html
http://qa.tsite.jp/category/show/3171

(私のコメント)
Tポイントカードといえば、利用履歴情報の個人情報の開示請求に答えなかったり、Yahoo!と勝手にデータ連携したり、いろいろと物議を醸してきました。そういうところからすると、今回の改訂はある程度正常化というか、少しずつまともになっていっている、そういう印象を受けます。Tポイントカードは日本の個人情報の総本山のようになってきていますので、とにかく個人情報保護法についてはしっかりと対応してほしいと思っています。

なお、CCCでは11月から全会員から同意を取り直す方針のようですが、コンビニの店頭などでは混乱が予想されます。下記は私が勝手に想像した想定問答です。

店員「お客様、Tポイントカードはお持ちですか?」
客「はい。これ」
店員「11月から、会員規約が改訂になりまして、ここの同意ボタンを押して頂く必要があります」
客「え?どう変わったんですか」
店員「あ、この会員規約をお読みください」
客「え?今読むの?」
店員「お持ち帰り頂いてもいいのですが、同意していただかないと今日のポイントは付きません」
客「え?そりゃ困るな〜」
店員「では同意してください」
客「(しぶしぶ)分かりました(ポチ)」
店員「ありがとうございました!」

(過去の記事)
Tポイントカードは保有個人データの開示請求に応えないらしい
http://www.pmarknews.info/archives/51850091.html
Tポイントカードは保有個人データの開示請求に応えることにしたそうです。
http://www.pmarknews.info/archives/51872139.html



2014-08-12-17-51-20
(画面は同社Webサイトより)

ベネッセ事件で流出した個人情報を利用してダイレクトメールを送付したとして話題になっていた株式会社ジャストシステム(徳島県徳島市)が、問題となった個人情報を8月6日に削除したと8月7日付で発表しました。

同社としては、事件発覚当初より「企業としての道義的責任」は認めたものの、それ以上の法的責任はないとの一貫したスタンスを取り続けてきました。

個人情報の削除については、当初から実行するとしていましたが、ベネッセ側からの要請によりそれを遅らせてきていたものです。今回、警察の捜査に必要な調査などが終了したとして、警視庁へも確認を取った上で削除したということです。

http://www.justsystems.com/jp/news/2014l/news/j08071.html

(私のコメント)
ジャストシステム社としては、これで今回の事件は幕引きということになりそうです。以前の記事でも書きましたが、現在の法制度下では、同社の法的責任を問うことは難しいのかなと思います。やはり名簿屋に対する規制の強化しかないのではというのが、現段階での結論かと思われます。

ベネッセ事件>ジャストシステムが流出情報を購入してDM送付していたことの是非
http://www.pmarknews.info/archives/51947802.html









27
(画面はIPAのWebサイトより)

情報セキュリティに関する情報を収集し、啓発活動などを行っている独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターが、8月の呼びかけとして「法人向けインターネットバンキングの不正送金対策」に対する注意喚起を行っています。特に電子証明書を盗み出すウイルスが蔓延しているとのことですので、本Blogでも注意喚起したいと思います。

IPAによると、インターネットバンキングの不正送金被害は以前より増加傾向にあるものの、特に今年に入ってから法人口座の不正送金被害が急増しているとのことです。ここで多く見られている手法が「電子証明書を盗み出して使用する」というものだそうです。

金融機関の法人口座向けネットバンキングでは、多くの場合で認証に電子証明書を使用することで端末を限定し、個人口座向けよりも一段高いセキュリティを実現しています。しかし、この電子証明書を盗み出すウイルスが蔓延しており、IDパスワード情報と電子証明書をセットで盗み出して不正送金を行うケースが起こっているというのです。

今回の対策としては、下記の様な事項が考えられます。

(1)一般的なウイルス対策をしっかりと行うこと。
(2)電子証明書のエクスポート設定を「不可」にしておくこと。
(3)不自然なタイミングでの電子証明書の再発行に注意すること。
(4)ネットバンキング専用のパソコンを設定し、他の用途に使用しないようにする。
(5)取引履歴画面を見る、取引通知メールを利用するなどの方法で不審な利用がないことをチェックする。

http://www.ipa.go.jp/security/txt/2014/08outline.html

(私のコメント)
法人口座は個人口座よりも多額の残高が残されている場合が多いと思われますし、万が一被害にあった場合の影響範囲も爆発的に大きなものになることが考えられます。最悪の場合には資金ショートや会社倒産というような事態も考えられないわけではありません。法人向けネットバンキングを利用されている方は、上記の項目を再確認していただければと思います。




04
(画面は同社Webサイトより)

大規模な個人情報流出事件を起こしたベネッセですが、株式会社ベネッセホールディングス(岡山県岡山市)が、7月31日付で、今回の事件による特別損失を260億円計上すると発表しました。内訳はDM廃棄による損失が11億円、残り249億円は今回の事件に関するお詫び、お詫び状送付費用、問い合わせ対応費用、調査・情報セキュリティ対策などに使用するとしています。

また、同社では事件の発覚以降、新規の営業活動を停止しており、今後の業績見通しについては「未定」と発表しています。

持株会社:株式会社ベネッセホールディングス(岡山県岡山市)
事業会社:株式会社ベネッセコーポレーション(岡山県岡山市)

また、同日付で、役員2名の辞任も発表しました。

代表取締役副会長:福島 保
取締役兼CIO:明田 英治

福島氏は、事件発生当時の代表取締役社長、また明田氏は、事件発生当時の事業会社のベネッセコーポレーションの代表取締役社長であり、今回の事件に責任があるとされたようです。

http://blog.benesse.ne.jp/bh/ja/ir_news/m/2014/07/31/uploads/pdf/news_20140731_jp_2.pdf
http://blog.benesse.ne.jp/bh/ja/ir_news/m/2014/07/31/uploads/pdf/news_20140731_jp_1.pdf

(私のコメント)
ベネッセの昨年度の売上は4663億円、経常利益は352億円です。260億円は決して小さな額とは言えないと思います。また、今回の事件による顧客離れ、新規顧客獲得の不振も予想されますから、こちらの影響も小さいものでは済まないでしょう。今回もまた、たった一人の出来心から会社が傾く事例になってしまいました。これを他山の石として一層気を引き締めたいと思います。


0729_img2
(画面はトッパン・フォームズ社サイトより)

トッパン・フォームズ株式会社(東京都港区)は、7月29日付で、ICチップを内蔵した自動車運転免許証とスマートフォンを活用して本人確認を行うシステムを開発したと発表しました。

IC運転免許証については、2007年から一部の都県で導入が始まり、2010年に全国での導入が完了しています。それから4年間が経過していますので、すでにほぼ全国で有効な自動車運転免許証はすべてIC化されていると考えて良いと思います。しかしながら、民間での活用はこれまでほとんど行われていませんでした。

IC運転免許証の仕組みは意外とシンプルです。免許証発行時に4桁の暗証番号を2つ登録し、それがICカードの中に個人情報と一緒に埋め込まれています。そして、NFC対応の非接触カードリーダーにかざして、4桁の暗証番号を2つ正確に入れれば、ICカードの中に保存された個人情報(氏名、住所、生年月日、本籍、顔写真、免許証番号などの情報)を抜き出せるようになっています。

ですから、IC運転免許証を使用した本人確認といっても、各都道府県の公安委員会のデータベースにアクセスする必要はなく、単純にカードの内容を読みだして使用するだけとなります。

今回のトッパン・フォームズの開発した仕組みでは、
(1)予め本人に名前や住所などを入力させたあとに、
(2)NFC対応スマホでIC運転免許証を読み取り、
その2つの情報をサーバー上で比較して正しければOKとする仕組みだそうです。

トッパン・フォームズ社プレスリリース
http://www.toppan-f.co.jp/news/2014/0729.html
IC運転免許証の仕様
http://www.npa.go.jp/pdc/notification/koutuu/menkyo/menkyo20110328.pdf

(私のコメント)
おそらく、IC運転免許証を民間で活用した初めての事例ではないかと思いましたのでご紹介いたしました。より以前の活用例をご存知の方がおられましたら教えて下さい。

なお、このシステムを使用してICカードの内容を取得する行為は、公安委員会が事業者に対して個人情報を第三者提供しているわけではありません。本人が免許証のコピーを郵送するのと同じように、個人情報保護法的には本人が自ら情報を開示しているものと整理できます。ですから、そのことを本人がしっかり理解できるようなシステムづくりが必要だと思います。

また、本籍情報は、JIS Q 15001では特定の機微な情報とされていますし、一般社会通念的にも必要な場合以外には取得しないものとなってきています。このシステムを使用する場合に「必要な場合以外には本籍情報は取得しない」「本籍情報を取得する場合にはしっかり本人に告知して同意を取る」ことを徹底していただきたいと思います。

(追記)
すみません。IC運転免許証の情報を活用するという意味では、他社でも先行事例がありました。
NTTデータ
http://www.nttdata.com/jp/ja/news/release/2010/092700.html
大日本印刷
http://www.dnp.co.jp/news/1215925_2482.html
追記いたします。

↑このページのトップヘ