プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年11月

20141126_225452
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、先日大規模な個人情報の流出事件を起こした株式会社ベネッセコーポレーションに対して、11月26日付で「プライバシーマークの付与取り消し」とすると発表しました。

http://privacymark.jp/news/2014/1126/index.html

プライバシーマーク制度における欠格事項及び判断基準
http://privacymark.jp/reference/pdf/pmark_guide/PMK510.pdf

(私のコメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者の過失(運用の不備、設備の不備、監督責任など)による事故として最も厳しいレベルであったということになります。非常に厳しい判断となりますが、今回の事件の影響の大きさから言って適切ではないかと思います。

(過去の当Blog記事)
ベネッセ事件>JIPDECがジャストシステムに対する勧告措置を発表
http://www.pmarknews.info/archives/51958023.html
6月に大規模障害を起こしたファーストサーバへの措置が「注意」に留まる
http://www.pmarknews.info/archives/51871395.html
三菱電機インフォメーションシステムズ事件>プライバシーマークが一時停止(2ヶ月)に
http://www.pmarknews.info/archives/51672171.html
大日本印刷事件>プライバシーマーク認定取り消されず、「要請」にとどまる
http://www.pmarknews.info/archives/50656592.html

20141126_180344

米国Facebook社は、2015年1月より利用規約を改定すると発表しました。今回の改定では、どちらかと言うと内容はシンプルに削られ、わかりやすく読みやすい内容になったようです。2015年1月以降にFacebookにログインした時点で、新しい利用規約に同意したものとみなされるとのことです。

案内ページ
https://www.facebook.com/about/terms-updates/

利用規約
(新) https://www.facebook.com/legal/terms/update
(旧) https://www.facebook.com/terms/

データポリシー
(新) https://www.facebook.com/about/privacy/update
(旧) https://www.facebook.com/about/privacy/

Cookieポリシー
(新) https://www.facebook.com/help/cookies/update
(旧) https://www.facebook.com/help/360595310676682

(私のコメント)
利用規約を読む限り、シンプルで好感の持てる内容になっています。ただし、全文をチェックしきれていませんので、もしかしたら利用者にとってデメリットとなるような内容がある可能性もあります。ご容赦ください。

DSC00906

自力で進めている時には、常に自分たちの解釈でよいのかどうか不安がありましたが、コンサルタントの方に助けていただくようになってからは、一つ一つ確認しながら安心して進めることができました。

審査にどのように対応すればよいかということも教えていただきましたので、一方的に受け身でうけるのではなく、対等な立場でやりとりできました。(株式会社フォーク様)

続きはこちらを御覧ください。
http://www.optima-solutions.co.jp/archives/6617/

K0000054107
(画像はロジテック社製ルーター「LAN-W300N/R」)

報道によりますと、11月19日に全国の警察当局が一斉に「プロキシサーバー事業者」に家宅捜索を行ったという事件において、これらの業者は、ロジテック社の無線LANルーターから盗み出されたISPの認証情報を有償で販売し、それが中国からアクセスする利用者に不正に利用されていたとのことです。

プロキシサーバーとは、通信を仲介するサーバーのことで、この技術自体はインターネットの草創期から利用されていたものです。今回問題になっているのは、この機能を利用することで中国からのアクセスを日本国内からのアクセスに見せかけて金融機関への不正アクセスが大規模に行われていたことのようです。これらの業者が不正の温床となっているとのことで、当局による大規模な摘発につながったようです。

驚いたことには、これらの業者は、ロジテック社の無線LANルーターの脆弱性を利用して盗みだしたISPの認証情報(アカウント、パスワード)を大量に保有し、中国の利用者に販売していたというのです。ただし、これらの認証情報は通信内容から抜き出されたというわけではなく、ISPとのPPPoE接続のためにルーターのメモリに保存されていたもののようです。

このロジテック社製無線LANルーター「LAN-W300N/R」の脆弱性は、2012年に発覚済みのもので、ロジテック社からもアップデートされたファームウェアが出ているものですが、知らずに古いバージョンのファームウェアのまま利用している人が多いのかも知れません。

ISPの認証情報をどのように利用していたのか、今ひとつピンときませんが、プロキシーサーバーからPPPoEでISPの認証サーバーに接続して、IPアドレスを偽装していた?のかも知れません。このあたりの手法については、続報を待ちたいです。

ロジテック社からの重要なお知らせ
http://www.logitec.co.jp/info/2012/0516.html

産経新聞の記事
「サイバー犯罪温床「中華プロキシ」一掃へ、当局本腰 課題も山積」
(内容が詳しいです)
http://www.itmedia.co.jp/news/articles/1411/20/news053.html

(私のコメント)
中国の人たちの利便に供するために、国内にこの手の事業者が存在していることは知っていましたが、ここまで悪質なことをしているとは思いませんでした。上記のルーターをお使いの方は、今すぐにファームウェアのバージョンを確認して下さい。



弊社(オプティマ・ソリューションズ株式会社)では、東京国際フォーラムにおいてプライバシーマーク短期取得セミナーを定期開催しており、これまでに2000名以上の方にご参加いただいております。受講者の皆さんからの平均満足度が90%を超えており、満足度100%を達成する回も多数出ています。

2014年11月18日の開催時に撮影した画像をアップいたします。(今回は満足度100%を達成しました)
31
毎回大勢の方にご参加いただいております。

DSC01582
私(中康二)が司会進行と第一部の講師を担当いたします。

DSC01590
第一部ではプライバシーマークの全体的な話をいたします。皆さん熱心にお聞きいただいています。

DSC01647
休憩時間にも個別にご質問にお応えいたします。

DSC01664
毎回、東京国際フォーラムのガラス棟会議室をお借りしています。

DSC01675
第二部では弊社コンサルタントの遠藤が、プライバシーマーク取得までのステップをご説明いたします。

DSC01732
弊社の個人情報保護規程ひな形も回覧いたします。

今後の開催予定は下記のとおりとなっております。

2014年12月4日(木)14:20〜16:30
2014年12月17日(水)14:20〜16:30

皆様のご参加をお待ちしております。

お申し込みはこちらをクリックしてください。

main_visual1

20141114_130730
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、11月14日付けで「虚偽の内容で審査申請のあった事業者に対する措置について」と題した文書を公表しました。この内容によりますと、最近のプライバシーマークの新規取得申請において虚偽があり、当該事業者に対して「審査打ち切り」「1年間の申請不可」とする旨通知したとのことです。

当該事業者は「Pマーク取得作業の100%代行」をうたうコンサル会社からの指示により、虚偽の申請を行ったとのことですが、当然のことながらJIPDECとしてはそのような弁明を認めることはなかったとのことです。

http://privacymark.jp/news/2014/1114/index.html

(私のコメント)
社内で個人情報保護マネジメントシステムを運用するのがプライバシーマークの根本原則です。「Pマーク取得作業の100%代行」や「現地審査に立ち会う」などをうたうコンサル会社の存在は以前より問題視されてきましたが、今回のJIPDECの判断はそういった手法に対して断固たる姿勢を見せたものと思います。

(過去の当Blog記事)
Pマークの審査にコンサルタントは同席できる?
http://www.pmarknews.info/archives/51838457.html

news_vir10112014_0169-253739
(画像はカスペルスキー社Blogより)

セキュリティの専門会社であるカスペルスキー社のBlogによりますと、日本国内を含むアジアの高級ホテルの無線LANの利用者を狙った大規模で組織的な攻撃が長期間に渡り発生しており、機密情報が流出していた可能性が高いとのことです。

ホテルのWiFiの利用者に対して、正規ソフトウェアのアップデートを偽装してウイルスをインストールさせるという手法で、利用者のパソコンにバックドア(裏口)を設定し、その後様々な機密情報を抜き出すというものだったようです。



http://blog.kaspersky.co.jp/darkhotel-apt/5392/

(私のコメント)
以前から、公衆WiFiについては危険があると警告されてきていましたが、今回のニュースで、実際に大規模で組織的な攻撃が行われていたことが発覚し、驚きを持って受け止めています。同社では、すでにこの攻撃で使用されたウイルスとその亜種については同社のウイルス対策ソフトで検知できるようにしたとのことですが、今後も別のタイプの攻撃が起こる可能性もあります。公衆WiFiの利用に際しては今後もいっそう警戒されることをおすすめします。

(追記)
具体的にどのように社内に周知すればいいのかとの質問がありましたので、告知文を作成してみました。ご参考まで。

ホテルや商業施設で提供されている無線LANにおいては、ネットワーク自体がウイルスが感染していて、利用しているパソコンにウイルスを仕込まれる危険があります。
・モバイルルーターなど、他にインターネットに接続する手段がある場合にはそちらを利用してください。
・ウイルス対策ソフトを最新版に更新して使用してください。
・アプリケーションのアップデートは行わないようにしてください。

20141106_132910
(画面はTサイトでの同意取得画面)

※本内容は2014年11月6日現在の情報に基づいて記載しています。

11月1日よりTカードが会員規約を改訂するのに伴い、今回は全ての利用者から個人情報の取扱いに関する同意を取り直す方針とのことでしたので、店頭でもWebでも見かけないので、どうなっているのだろうとCCCに問い合わせたところ、下記のような回答が返ってきました。原文ままの転載はお断りとのことですので、要約します。

(Tカードサポートセンターからの返答の要約)
全提供先での同意取得が理想的ではあるが、環境が整っていないので、
現実的には困難であり、現在は行っておりません。
サービスの提供を停止するようなことでは顧客にご迷惑をお掛けするので、
Tサイトなどへ誘導しています。
ポイントプログラム参加企業には今後も店頭での告知を徹底してもらうなど
努力していきますが、ポイントプログラム参加企業でも個人情報取扱事業者
である場合は、個別に約款等で同意取得を行っています。

とのことでした。この回答によるとTサイトで同意取得をしているというので、
もう一度前回の記事で掲載しましたファミリーマートのURLを開いてよく読んでみると
下記のように書いておりました。

2014年11月1日より、ファミマTカード会員の皆さまに、
「ファミマTカード会員規約」及び「T会員規約」の変更についてのご同意をいただきます。
つきましては、下記Tサイトへアクセスし、ログインの際にご同意いただいた上で、
Tポイントサービスをご利用くださいますよう、お願いいたします。

Tサイトへログインする際に同意してくれと書いてます。そういうことかと思い、Tサイトのログインを試みますと、Yahoo!アカウントとの連携の後に同意画面が出てきました。それが上記の画面イメージです。ここで今回の新しいT会員規約への同意を取っているということのようです。

ファミリーマートの告知画面
http://www.family.co.jp/ft/agreement/index.html
Tサイト(右上にログインのリンクがあります)
http://tsite.jp/

(私のコメント)
ここで、このような「いや〜、うちも頑張っているんですが、全員から同意をいただくのが難しくて」みたいなサボタージュ作戦が出てくるとは思いませんでした。しかし、CCCの態度はこういうことのようです。本当に困った会社ですね。

(過去の記事)
http://www.pmarknews.info/archives/51960173.html
http://www.pmarknews.info/archives/51959617.html
http://www.pmarknews.info/archives/51951713.html

49
(画像はファミリーマートのレシート)

※本内容は2014年11月4日現在の情報に基づいて記載しています。

11月1日よりTポイントカードが会員規約を改訂するのに伴い、今回は全ての利用者から個人情報の取扱いに関する同意を取り直す方針とのことでしたので、店頭などでの混乱を予想しましたが、まだ実際には何も行われていないようです。

私は11月3日の夜にファミリーマートに行きまして、親族にお願いしてTポイントカードを使って買い物をしてもらいましたが、規約改訂に関して何ら特別な案内はなく、POSレジを使用して同意を取るようなこともありませんでした。

店内にはほんのわずかに規約改訂の案内が掲示されていたことと、レシートの下に案内があっただけでした。レシートの下の案内も単に「T会員規約を改定いたしました」というだけで、特に同意に関する内容はありませんでした。ちなみにQRコードを読み取らせても、その横に記載されたURLに飛ぶだけでした。

QRコードのリンク先
http://www.family.co.jp/ft/agreement/index.html

(私のコメント)
Tサイト上でも同意取得の画面もまだ用意されていないようですし、準備が遅れているということなのでしょうか?それとも同意取得は行わないように方針変更したのでしょうか?Webサイト経由でCCCに問い合わせています。何か情報が入りましたら、本Blog上でも取り上げたいと思います。

(過去の記事)
http://www.pmarknews.info/archives/51959617.html
http://www.pmarknews.info/archives/51951713.html

↑このページのトップヘ