プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年10月

13
(画面は同社Webサイトより)

既報の通り、11月1日よりTポイントカードが会員規約を改訂します。

今回の改訂においては、個人情報の提供方法が個人情報保護法における共同利用から、単純な第三者提供に
変更するとのことで、全ての利用者から個人情報の取扱いに関する同意を取り直す方針のようです。

同社では、「店頭やサイト上でご案内を行いますので、ご案内が表示された場合にはお手続きいただきますようお願いいたします」と案内しています。

2014年11月1日に改訂されるT会員規約への同意方法を教えてください。
http://qa.tsite.jp/faq/show/24341 (Tポイントカード公式サイト)

(私のコメント)
これは個人情報保護法が施行されて以来、最大規模の同意の取り直しになるものと思われます。特に店頭での同意取得において十分な説明がなされるのかどうか(十分な説明がなされない場合には同意は無効になると思います)。また同意しない場合にはカードの即時回収というようなことも予想されますが、混乱が起きないのか、うまく乗りきれるのかどうかが、大変危惧されるところです。

10347070_745643795530347_2687961429342943810_n
10月31日(金)まで幕張メッセで開催される「情報セキュリティEXPO《秋》」会場に来ています。

ハードディスクの物理破壊でデファクトスタンダードとなっている「CrashBox」シリーズを発売している日東造機(千葉県茂原市)が、このたび磁気消去の専門会社である株式会社プラットフォーム・オブ・ジャパンと技術提携し、両者の技術を結集したハードディスク磁気消去物理破壊ハイブリッドマシン「CrushBox DB-HYBRID」を展示しています。

写真を見ていただきたいのですが、このハイブリッドマシンは縦長の形状をしており、ハードディスクを上部のスロットに差し込むと、まず上段で磁気消去が行われ、次に下段で物理破壊が行われ、ハードディスクは完全にデータを復旧できないようになります。

今回は、米国NSAの定めたハードディスク廃棄基準である「ハードディスク自体をV字型に折り曲げる」ことにも対応したそうです。

http://www.nittoh.co.jp/ntz3/products/oa/

(デモを動画で撮影しました)
https://www.facebook.com/video.php?v=730975460324742&set=vb.100002368848540&type=2&theater

(私のコメント)
今回の新製品は、CrashBoxシリーズとしては間違いなく最高峰であり、機能性能的にもほぼ最終形と言えるのではないかと思います。価格も100万円を超えるそうですが、大量にハードディスクを廃棄するお仕事をされている方にはオススメいたします。

image
私は、10月31日まで幕張メッセで開催される「情報セキュリティEXPO《秋》」会場に来ています。

業界の雄、エムオーテックス社が今回も入り口入ってすぐのところで大きなブースを構えています。

同社は今回、主力製品のLanScopeCatの最新版であるVer 8.1のお披露目をしています。今回のバージョンアップの最大のポイントは、スマホでのデータ持ち出し対策の強化とのことです。

ベネッセ事件で悪用されたというスマホの新しい転送方式であるMTP方式に対応し、接続検知やデータ書き込みの制御、データ書き込みのログ取得などに対応したとのことです。

その他にも、OSX(Mac)対応が強化され、Windowsと同じ画面で一律管理ができるようになったそうです。業務上、Macの利用が求められる企業のセキュリティ対策に役立つものと思います。

この他、同社では「NO MORE情報漏洩プロジェクト」の一環として、スマホの管理システムであるLanScope Anの無償提供も始まっています。

http://www.lanscope.jp/an/free/

あわせて注目されます。

弊社(オプティマ・ソリューションズ株式会社)では、東京国際フォーラムにおいてプライバシーマーク短期取得セミナーを定期開催しており、これまでに2000名以上の方にご参加いただいております。受講者の皆さんからの平均満足度が90%を超えており、満足度100%を達成する回も多数出ています。最近の開催時に撮影した画像をアップいたします。

DSC01250
毎回大勢の方にご参加いただいております。

DSC01423
第一部では私(中康二)が、プライバシーマークの全体的な話をいたします。

DSC01295
休憩時間にも個別にご質問にお応えいたします。

DSC01310
毎回、東京国際フォーラムのガラス棟会議室をお借りしています。

DSC01237
第二部では弊社コンサルタントの遠藤が、プライバシーマーク取得までのステップをご説明いたします。

DSC01467
個人情報台帳、リスク評価表など、実際に使用する文書を用いてご説明いたします。

DSC01187
弊社の個人情報保護規程ひな形も回覧いたします。

DSC01439
毎回盛り上がる質疑応答。具体的なやりとりになりますので、他の参加者の方から「質疑応答が参考になりました」とのご意見をよくいただきます。

DSC01305
東京国際フォーラムは、設備が完璧で、清掃も行き届いており、何回来てもよい印象を受けます。

今後の開催予定は下記のとおりとなっております。

2014年11月18日(火)14:20〜16:30
2014年12月4日(木)14:20〜16:30

皆様のご参加をお待ちしております。

お申し込みはこちらをクリックしてください。

main_visual1

0707_img1
(画像は同行Webサイトより)

またまた三菱東京UFJ銀行を騙ったフィッシングメールが大量に発生しているようです。同行のWebサイトでも警告されていますが、私の手元にも実際に送られてきています。

・Google Appsの迷惑メールフィルターにより、迷惑メールに入っていました。
・送信元は「email@bk.mufg.jp」と詐称されています。実際には別のサーバーから発信されています。
・HTMLメールのため、リンク先URLの偽装が可能です。文中のURLは偽装されており、三菱東京UFJ銀行の本物のWebサイトのURLのように見えますが、実際には本物そっくりのフィッシングサイトにリンクが貼られているようです。(もちろん開いていません)
・「こんにちは!」で始まるところなど、日本語が少し不適切なものもありますが、そうではない見ただけでは本物と見分けがつかないものもあるようです。

(三菱東京UFJ銀行からの案内)
http://www.bk.mufg.jp/info/phishing/20140228.html
(フィッシング対策協議会からの案内)
https://www.antiphishing.jp/news/alert/ufj20140919.html

(私のコメント)
フィッシング詐欺は以前より散発的に発生してきていますが、今回の三菱東京UFJ銀行ユーザーを狙った大規模なフィッシングメール送信は、日本における本格的なフィッシング詐欺時代の到来といった印象を受けます。皆様のところにも届いていると思いますが。くれぐれもURLを開いたりしないようにご注意ください。





31

「パスワード使い回し」による問題はどうすれば解決するのでしょうか?それに対する抜本的な解決策として、Google/Microsoft/Paypal/VISA/MasterCardなどの企業が連合を組んで取り組んでいるのが「FIDO(ファイド)アライアンス」です。FIDOが国内での初お披露目となるセミナーを10月10日に東京電機大学で開催し、私も参加してきました。大勢の参加者が集い、FIDO関係者を中心に多くの専門家がお話してくれましたが、その内容を私なりにまとめておきます。

19

FIDOがやりたいことは、
・IDとパスワードだけに頼った本人認証をやめ、もっと信頼性のおける認証方式を世界に広めたい。
・ライセンスフリーな方式を確立することで、各企業が安心して採用できるようにしたい。
・技術的には、公開鍵暗号方式を採用する。
・FIDOとしては認証方式を確立するだけであって、認証局もデータベースも持たない。
・特にFIDOが規定するのはサーバーと端末間のやりとりであって、端末側での認証には生体認証でもUSBキーでも、どんな方式を使用しても構わない。
・パスワードを全く使用しない認証であるUAF(Universal Authentication Framework)と、現在のシステムに追加して二要素認証として使用するU2F(Universal 2nd Factor)の2つのプロトコルをサポートする。
・FIDOがやりたいのは認証自体の強化であって、OpenIDやOAuthなどの共通認証とはぶつからず、むしろ助け合う関係にある。
ということのようです。

19

国内ではヤフーが乗り気のようで、Yahoo! JAPAN研究所の五味さんが、日本語のチャートでかなり分かりやすく説明してくれました。

36

また、GoogleのSam Srinivas氏は、USBキーを使用した二要素認証をFIDOのU2Fプロトコルを使用して始めると発表しました。実際に10月21日から、Googleの全サービスにおいてUSBキーを使用した二要素認証が始まりました。

(FIDOアライアンスWebサイト・英文のみ)
https://fidoalliance.org/
(当日のプログラム詳細)
http://www.dds.co.jp/fido_tokyoseminar/
(GoogleのUSBキー方式の二要素認証開始の記事)
http://internet.watch.impress.co.jp/docs/news/20141022_672433.html
https://support.google.com/accounts/answer/6103523

(私のコメント)
このFIDO方式の普及により、パスワード使い回しの問題が解決できるとすれば、本当に嬉しい限りです。10年後、「USB」や「WiFi」のように、「FIDO認証」という言葉が一般語になるのかどうか、未来が本当に楽しみです!


38

当社に送られてきた案内によりますと、三菱東京UFJ銀行では、法人向けネットバンキングサービス「BizStation」「BizStation Light」のセキュリティレベルをアップさせるため、来年3月からカード形状のワンタイムパスワード生成器を導入するとのことです。

同行では、個人向けのネットバンキングに関しては、スマホアプリ方式のワンタイムパスワードを採用して注目を集めていましたが、法人向けのネットバンキングに関しては、カード形状のワンタイムパスワード生成器を採用することにするようです。このカード形状のワンタイムパスワード生成器は、三井住友銀行、ゆうちょ銀行などの個人向けネットバンキングサービスで導入されたとの同じタイプのものになるようです。

発行手数料は無料で、来年3月上旬から7月にかけて、順次利用者に簡易書留で送付されるとのことです。順次送付する理由としては、製造量の都合としています。

(私のコメント)
新規利用者と希望者のみに配布するというのではなく、全ユーザーに配布するのはメガバンクのネットバンキングサービスとしては初めてなのではないかと思います。そのために製造量が追いつかないということのようです。

過去のワンタイムパスワードに関連する記事はこちら


07
(画面はJIPDECのWebサイトより)

ベネッセから流出した個人情報を名簿屋を介して購入してダイレクトメールを送信した株式会社ジャストシステム(徳島県徳島市)に対して、一般財団法人日本情報経済社会推進協会(JIPDEC)は、10月10日付でプライバシーマーク制度における「勧告」措置とすると発表しました。

プライバシーマーク制度では、個人情報の取扱における事故が発生した場合には「欠格レベル」に応じて下記の措置を取ることとなっています。

欠格レベル10  「付与の取消」
欠格レベル8、9 「付与の一時停止」
欠格レベル6、7 「勧告文書の発行」
欠格レベル1〜5 「注意文書の発行」

今回の「勧告」は、マークの一時停止を伴わない措置の中では最も厳しい措置となっています。

http://privacymark.jp/news/2014/1010/index.html
プライバシーマーク制度における欠格事項及び判断基準

(私のコメント)
ジャストシステムは、名簿を購入した際にその正当性をしっかりと確認しなかったことは事実であるものの、自社には道義的責任以上の問題はないとして、謝罪なく幕引きをはかってきました。しかし、やはりプライバシーマークを管理するJIPDECとしてはそれなりの対応を取ったといえると思います。ジャストシステムにも、しっかり再発防止策を取っていただきたいと思います。



26
(画面は経済産業省Webサイトより)

経済産業省は、大規模な個人情報流出事件を起こした株式会社ベネッセコーポレーション(岡山県岡山市、以下、ベネッセと省略)に対して、9月26日付で個人情報保護法第34条に基づく「勧告」を実施したと発表しました。下記に内容を要約します。

今回、経産省は、ベネッセにおいて下記の法律に違反した2つの行為があった。
1)個人情報の安全管理措置義務違反(法第20条)
 具体的には、個人情報の利用と管理に責任を持つ部門を設置していなかったことは、安全管理措置を怠っていたことになる。
2)委託先の管理監督義務違反(法第22条)
 具体的には、委託先に対して定期的な監査を行った際に、今回の流出経路となった情報システムを監査対象としていなかったことは、委託先の監督を怠っていたことになる。

そして、今回のような自体の再発を防止するための再発防止策を実施し、その具体的な内容を10月24日までに報告することとされました。

http://www.meti.go.jp/press/2014/09/20140926002/20140926002.html

(私のコメント)
個人情報保護法が施行されて9年になりますが、個人情報保護法に基づく「勧告」が出されるケースは本当に少なく、経済産業省としては3社目になるのではないかと思います。ベネッセにはとにかく再発防止策をしっかりやっていただきたいと思います。

34
(画面は経産省発表文書)

経済産業省では、9月26日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂案を発表し、10月28日までパブリックコメントを募集しています。

経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂案のポイントを簡単にまとめておきます。

1)安全管理措置
望まれる手法の例示に下記を追加。
・入退館(室)の記録の保管
・個人データの監視システムの定期的な確認
・アクセスログについて、不正が疑われる異常な記録の存否の定期的な確認
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・私物媒体/機器の持ち込み禁止又は検査の実施
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマートフォン等の記録機能を有する機器の接続制限と機器の更新への対応
・直接雇用関係にない派遣社員なども教育訓練の対象者に含める

2)委託先の監督
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査(最低年1回)と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨

3)適正取得
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨

4)その他
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595114087&Mode=0
今回の主な改訂点
新旧対照表

(私のコメント)
ベネッセ事件を受けての見直しになっていますが、内容的には概ね適切なものと思います。今年いっぱいはこれで乗り切って、来年は個人情報保護法の大幅改正が来るものと思います。


↑このページのトップヘ