プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2015年01月

34
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、昨年発生したベネッセからの大規模な個人情報の流出事件を総括した文書を発表しました。

これは「顧客情報の大規模な漏えい事故への対応について」というタイトルの文書であり、冒頭の部分で今回のベネッセ事件以降の対応と、同社に対してプライバシーマーク付与の取り消しを行ったことを説明しています。

そして、JIPDECとしては、今後の同様な事件の再発を防止するために、
(1)より一層厳正な審査の推進
(2)個人情報の漏えい事故などの発生に際し速やかに措置判断を行う枠組みの検討
(3)政府の指針に対応した審査基準の迅速な見直し
を行うとしています。

http://privacymark.jp/news/2015/0121/index.html

また、同様の趣旨と思われる文書がプライバシーマーク取得事業者にも送付されているようです。

(私のコメント)
私も「より一層厳正な審査の推進」については大賛成です。ただし、重箱の隅を突くような方向性ではなく、あくまでも各事業者における実際のリスクを小さくするために最も効果的な対策を取るという方向性で厳しくしていっていただきたいと思います。

過去のベネッセに関連する記事はこちら

20

みずほ銀行は、同行のWebサイト上で、個人向けネットバンキングサービス「みずほダイレクト」のセキュリティレベルをアップさせるため、今年3月からカード形状のワンタイムパスワード生成器を導入すると発表しています。

同行では、従来から個人向けのネットバンキングにおいて、トークン型(キーホルダー形状)のワンタイムパスワードを採用していましたが、これを変更し、カード形状のワンタイムパスワード生成器を採用することにするようです。このカード形状のワンタイムパスワード生成器は、三井住友銀行、ゆうちょ銀行などの個人向けネットバンキングサービスで導入されたとの同じタイプのものになるようです(三菱東京UFJ銀行も3月から法人向けネットバンキングに導入する予定です)。

今回のパスワードカードにおいては、新規振込先に振り込む際に独自の「トランザクション認証」という方式を導入することで、悪意の第三者が勝手に振込することを防ぐとしています。

発行手数料は無料で、3月下旬から希望者に配布するとしています。

http://www.mizuhobank.co.jp/direct/security/password_card/index.html

(私のコメント)
ついにみずほ銀行もカード形状のワンタイムパスワード導入ですね。さらに財布がパンパンになるんじゃないでしょうかね。。。。。

過去のワンタイムパスワードに関連する記事はこちら

00
(画面は特定個人情報保護委員会が作成した資料の表紙)

今年の10月に、全ての日本国民に対して「マイナンバー」が通知されます。これは、社会保障と税などの行政手続きに使用するための識別番号であり、民間企業も社員の社会保険や税務の手続きなどのために利用するものです。このマイナンバーは限定された用途のみに使用されるものであり、万が一不正に使用したり流出したりした場合には、それを行った法人や個人に対する厳しい罰則規定があります。そのため、この導入に向けて国、地方自治体、民間企業、全ての国民を巻き込んでの取り組みが行われていくことになります。

政府はマイナンバーの導入にあたり、「特定個人情報保護委員会」という組織を新設し、この取扱いに関してしっかりとした監視や監督を行うこととしました。昨年12月から、この特定個人情報保護委員会が様々な資料やガイドラインを発表しており、注目が求められています。

※マイナンバーを含む個人情報のことを「特定個人情報」と言います。

特定個人情報保護委員会公式Webサイト
http://www.ppc.go.jp/
特定個人情報の適正な取扱いに関するガイドライン
http://www.ppc.go.jp/legal/policy/
資料集(分かりやすい説明資料があります)
http://www.ppc.go.jp/legal/policy/document/

(私のコメント)
今後、マイナンバーの導入に向けて様々なことが起こると思いますし、本Blogでも追いかけていきますが、まずは上記の内容程度は知っておいていただければと思います。

2015-01-28-09-43-47


本日は、東京国際フォーラムで開催される「JIPDECプライバシーマークフォーラム2015」に来ています。

今年の本フォーラムでは、特に個人情報保護法改正と、マイナンバー法の施行が民間企業にどのように関係するかという話が焦点になるかと思います。

気になる点について、また記事にしますので楽しみにしていてください。

よろしくお願い申し上げます。

http://privacymark.jp/forum/2015/

(会場内は例年通り撮影禁止とのことですので、外部の写真のみでご了承ください。)

33
(画像は同社Webサイトより)

朝日新聞社(東京都中央区)は、1月16日付で、自社内で使用しているパソコンがコンピュータウイルスに感染し、社内外との電子メールのやりとりなどが社外に流出したと発表しました。

同社の調査によりますと、昨年11月下旬ごろからウイルスに感染しだし、最終的に17台のパソコンにまで被害が広がっていたといいます。社外のサーバーからの指示を受けて情報を漏洩するタイプのウイルスで、電子メールのやりとりやそのパソコンで作成した文書の一部も流出していたとのことです。

http://www.asahi.com/articles/ASH1J55L6H1JULZU00M.html

(私のコメント)
詳細は発表されてはいないものの、これは朝日新聞社をターゲットに狙いを定めた標的型攻撃の可能性が大いにあります。当然のことかもしれませんが、マスコミに対する標的型攻撃も現実のものとして考えないといけないのだと思います。

0114_11
(画像は同社のWebサイトより)

ネットワークセキュリティ管理ツール「LanScope Cat」などを開発しているエムオーテックス株式会社(大阪市淀川区)は、独自にネット上で調査した結果として、ネット利用者の3人に1人が同じパスワードで複数のWebサービスを利用していると発表しました。

これは昨年から同社が展開している「NO MORE情報漏えい」プロジェクトの一環として、特設サイト上でアンケート調査を行った結果として発表されたものです。

http://www.motex.co.jp/nomore/report/1105/

(私のコメント)
パスワード使い回しに関しては、何年も前から危険性が指摘されていますが、年を経過するに連れて大きな問題となり、これを利用したパスワードリスト攻撃が多発するようになりました。これらを受けて、昨年にはIPAとJPCERT/CCが共同してキャンペーンを張るなどしていますが、なかなか抜本的な解決が見えていないのが現状です。今回の結果は3分の1の利用者ということで、従来の調査結果よりはかなり改善しているようにも見えますが、専門情報サイトでの調査結果ということで、対象者の意識が少し高めなのではないかとも思います。まだまだパスワード使い回しの状況は改善されていないと思います。

特設サイトには他にも興味深い記事が沢山ありますので、ご紹介いたします。
徳丸先生!正しいパスワード管理について教えて!
http://www.motex.co.jp/nomore/column/1036/
パスワード管理ツール「1Password」無料版を使ってみた!
セキュリティ度が格段に上がるうえに、とにかく便利!!
http://www.motex.co.jp/nomore/trend/1071/

35
(画面は同社プレスリリースより)

昨年、大規模な個人情報流出事件を起こした株式会社ベネッセホールディングス(岡山県岡山市)が、1月15日に情報セキュリティの専門会社である株式会社ラック(東京都千代田区)との合弁会社を設立したと、同日付で発表しました。

これは、昨年9月の再発防止策の発表の際に、データベースの保守・運用については、情報セキュリティの専門会社である株式会社ラックとの合弁企業を設立して担当させ、グループ外への業務委託は行わないようにするとの内容が含まれていたものが、実行されたものです。

新会社は、ベネッセが7割、ラックが3割の出資で設立され、高いセキュリティレベルと運用効率を両立させるとしています。本格的なサービス開始は4月1日の予定です。

http://www.benesse.co.jp/customer/
http://www.benesse.co.jp/customer/bcinfo/pdf/20150115release.pdf

(私のコメント)
ベネッセ事件という大規模な事件を受けて、再発防止するために何をすべきなのか、両社が真摯に考えた結論がこのデータベース管理専門の合弁会社を作るということなのだと思います。取り組みに注視したいです。

5b5e6059960d5d848857327d4181effd_m

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

昨年12月に経済産業省が改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、ベネッセ事件での流出の状況を受けて、「委託先の監督」が改正の大きなテーマになっており、その中には「再委託先の監督」が含まれています。今回はこの点に絞って解説いたします。

従来、あくまでも再委託先の監督責任を一義的に負うのは委託先であり、再々委託先の監督責任を一義的に負うのは再委託先であるということから、再委託先、再々委託先への監督という考え方はあまり一般的ではありませんでしたし、ガイドラインでも「再委託の際の委託元への文書による報告」を求めている程度でした。

それが今回の改正では
・委託先が再委託する場合には、委託先から、事前報告または承認の申請を求める。
・委託先を通じて、または必要に応じて自らが、再委託先に対して定期的な監査を実施。
・再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする

となり、大幅に強化されました。

「再委託先を監督する」とはどういうことなのだろう。私も最初はピンと来ませんでした。昨年12月の経産省ガイドライン改正説明会の第二部で、IPAの方から「組織における内部不正防止ガイドライン」の説明を聞いていた時に、下記の絵が出てきて「あ、これだ」と思いました。

55
(画面はIPA「組織における内部不正防止ガイドライン」より)

すなわち、従来は最初の委託先だけは委託元が監督するものの、再委託先は委託先が監督するもの、再々委託先は再委託先が監督するものとなっていて、入れ子構造になっていたわけです。階層が深くなるほど、最初の委託元から遠い関係になり、チェックが甘くなるリスクが存在していた。

今後の方向性としては、委託元が委託先、再委託先、再々委託先に関しても監督することで、委託元がリーダーシップを発揮して自分の配下の事業者全てに目を光らせようというものです。

ここで注意すべき点が2つあります。
(1)今回の改正では、再委託先の監督はあくまでも「望ましい」ことの一つとされましたから、まだ事業者としての「義務」ではありません。ただし、今後の方向としてはこちらに進んでいくということです。
(2)とはいっても、中間の委託先にも再委託先、再々委託先を監督する必要があるわけですし、無計画に各社が自社の配下の事業者全てに監査を行おうとすると監査の回数がいたずらに増加し、非効率が発生する可能性があります。委託元と委託先ということは、すなわち取引関係にある訳ですし、共存共栄を目指す関係にあるはずですから、事前に調整を行うことで、効率よく、全体の安全性を担保する方向性を探る必要があります。

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf
IPA「組織における内部不正防止ガイドライン」第2版
http://www.ipa.go.jp/files/000041054.pdf

(私のコメント)
2015年1月現在、まだ議論が進んでいる途中の【個人情報保護法2015年改正】と、すでに確定済みの【経済産業省ガイドライン改正】の2つの話が同時に進行しています。本Blogでは、なるべく明確に分けて記事を構成するようにしていますが、読者の皆様もしっかりとどちらの話なのか区別して頂いて、混乱しないようにしてください。よろしくお願いいたします。

また、何か情報が入りましたら、皆様にシェアいたしますね。

jipdec_forum_2015
(画像はJIPDECのWebサイトより)

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、「JIPDECプライバシーマークフォーラム2014」の参加受付を1月9日(金)10時から開始するとしています。

なお、開催日は下記の通りです。

東京開催 2015年1月28日(水)
東京国際フォーラムにて (定員1,000名)

大阪開催 2015年2月3日(火)
グランキューブ大阪にて(定員400名)

東京開催の1月28日ですが、この日は「Data Privacy Day & Data Protection Day」として諸外国でもプライバシー関連のイベントが開催されているとのことです。JIPDECでもここ数年、この日に合わせて「JIPDECプライバシーマークフォーラム」を開催し、国内外の個人情報保護に関する最新動向や付与事業者の取組み事例を紹介しています。

参加申込みの受付けは、JIPDECの「プライバシーマーク付与事業者専用サイト」で1月9日10時(予定)から行うそうです。「付与事業者専用サイト」にログインするためには、IDとパスワードが必要ですので、ログイン方法がよくわからない方はお早めに動かれることをおススメします。

http://privacymark.jp/forum/2015/index.html


19ea47667fc769b06d74f5b5118cb744_m

昨年12月19日に「第13回 パーソナルデータに関する検討会」が開催され、その中で「パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)」という文書が公開されました。これは事実上の個人情報保護法の改正案です。この改正案の大前提である「個人情報の定義の拡充」について、今回は解説いたします。

47

今回の改正案では、「生存する個人に関する情報であって、下記の(1)(2)のうち政令で定めるものが含まれるものを個人情報として新たに位置づける」としています。
  • (1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号であって、当該個人を識別することができるもの(例:指紋データ及び顔認識データ)

  • (2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行される書類に付される符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は付されるもの(例:携帯電話番号、旅券番号及び運転免許証番号)

勘違いしてほしくないのですが、紐付けられた住所、氏名などの情報により、一人の個人にたどりつける状態であれば、上記の(1)(2)とも従来から個人情報です。今回は、住所、氏名などの情報が存在しておらず、一人の人間にたどり着けない場合でも、上記(1)(2)のうち政令で定めるものが含まれていた場合には、個人情報に含めるということのようです。

例えば、氏名や住所などが省略されていることにより、本当には誰なのかが分からないデータベースがあったとしても、その内容に本物の旅券番号や免許証番号などが含まれていたら、もうそれは個人情報データベースとして取り扱いなさいということになります。


今回は政令で限定列挙が行われることになると思いますので、そこに含まれなかったものは個人情報にあたらないというような早とちりが起こる可能性がありますが、一人の個人に紐づくものはすべて個人情報ですので、勘違いしないようにしていただきたいと思います。

首相官邸サイト「第13回 パーソナルデータに関する検討会 議事次第」
http://www.kantei.go.jp/jp/singi/it2/pd/dai13/gijisidai.html

(参考記事)
【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
http://www.pmarknews.info/archives/51944564.html

↑このページのトップヘ