プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2015年03月

01
(画面はYahoo!JapanのWebサイトより)

ヤフー株式会社(東京都港区)は、3月17日付で、カルチュア・コンビニエンス・クラブ株式会社(大阪府大阪市、以下CCCと略)との間で、情報連携を実施すると発表しました。

これは、かねてより発表されていた「Tポイントシステムで収集された購買履歴」と「Yahoo!Japan IDを使って収集されたWeb閲覧履歴」を連結させて、お互いのマーケティング活動に活かそうというもののようです。

同社のリリース文を読んだだけではなかなか分かりにくいのですが、要するにやりたいことは下記のような内容だと思われます。

(1)ヤフー→CCCに流れる情報を利用して、Tポイント参加企業は、自社の顧客がどのWebサイトを見ているのかというデータを手に入れることができる。

(2)CCC→ヤフーに流れる情報を利用して、ヤフー、またはヤフーの広告主は、Tポイントの履歴データに基づき、より最適化したWeb広告を出稿することができる。

そして、これらの情報連携を好まない人はヤフーの画面から情報連携自体を拒否をすることができるし、また別にこれに限らず全ての行動ターゲティング広告を拒否したい人もまたヤフーの画面で拒否することができるということです。

http://docs.yahoo.co.jp/info/notice/150317.html

(私のコメント)
同社のリリース文では、上記の双方向の情報の流れに関して「特定の個人を識別することができないように加工した上で相手に提供する」としています。これはどういうことを指しているのでしょうか?TポイントシステムとYahoo!IDの一対一での紐付けができている以上、名前や住所等が含まれていなくても、お互いにどの人のデータか認識できるはずですので、「特定の個人を識別できない」と強弁できるものかどうか。公開されている情報だけでは疑問が募ります。

両社は自分たちのやっていることの合法性を改めて明確に説明する責任があると思います。



42
(画面はJIPDECサイトより)

Tポイントを運営しているカルチュア・コンビニエンス・クラブ株式会社(大阪府大阪市)が、プライバシーマークの有効期限が昨年の2月7日に切れたまま、一年以上が経過する異常事態になっています。

プライバシーマーク制度は、有効期限が切れていても、審査が継続している間はマークの継続利用が許されることになっています。ですから同社の場合も審査が継続しているものと推測されます。

JIPDECのプライバシーマーク付与事業者リスト(か行)
http://privacymark.jp/certification_info/list/kana/list_ka.html

私たちが大切にしていること(カルチュア・コンビニエンス・クラブ)
http://www.ccc.co.jp/customer_management/

(私のコメント)
プライバシーマークの審査に時間がかかり、有効期限を過ぎてしまうことはよくあることです。しかし、それが一年を超すというのは珍しく、特に同社のような大きな会社では通常はありえないことかと思います。審査機関側が審査基準に基づく何らかの指摘事項を出していて、同社がそれに対する改善を行っていないことが考えられます。昨年11月のTカード利用規約の変更で対応できるのかと思っていましたが、それでも更新できていないことを考えると、Yahoo!との情報連携に関係するのかもしれません。いずれにせよ、同社としては経営上譲れないポイントが指摘されているのではないかと思います。今後も注目します。

(関連記事)
Tポイントの履歴を利用したYahoo!Japanでのターゲティング広告が4月から開始
http://www.pmarknews.info/archives/51974716.html

01

情報セキュリティの専門会社である株式会社ラック(東京都千代田区)のサイバー救急センターの出動件数が1000件を突破したことをきっかけとし、同社では現場からのレポートを公開していますので、本Blogでもご案内いたします。

同社は、情報漏えい事件の多発に際して、2006年に「個人情報119番」という緊急対応サービスを立ち上げ、情報漏えい事件が発生してどうすればいいのか分からず右往左往する企業に対する援助を開始しました。その後、体制を強化して2009年に「サイバー救急センター」となり、そこからの出動実績が1000件を突破したとのことです。

現場からのナマの声が読めますので、おススメいたします。

http://www.lac.co.jp/news/2015/03/30_press_01.html

(私のコメント)
いつもながら、興味深い内容になっています。同社のサービスとしては24時間365時間眠らない監視センターである「JSOC(ジェイソック)」が有名ですが、こちらの「サイバー救急センター」も24時間365日即座の対応が求められるものでもあり、正直言ってかなり大変な仕事だと思います。同社の皆さんが単に商売としてやっているのではなく、社会的な意義を感じてやっておられる姿をいつも頼もしく拝見し、今後も続けていただくことを個人的にも期待しています。



30
(画面は書類送検された名簿業者のWebサイトより)

報道によりますと、警視庁は、3月30日付で、昨年発生したベネッセ事件において、流出した個人情報を買い取った名簿業者の代表者と法人を不正競争防止法違反(営業秘密の取得・開示)容疑で書類送検したとのことです。

同社は、すでに起訴済みの被告から10回以上にわたり、のべ1億7800万人分の顧客データを約280万円で買い取り、50社以上に約1,600万円で転売したといいます(ベネッセによると、重複データを削除したデータの総数は約3,500万件だったと説明されています)。

今回の送検は、ベネッセ社からの告訴によるものとのことです。

(私のコメント)
ベネッセ事件を受けて、現在進められている個人情報保護法の改正においては、個人情報の不正な持ち出しやそれを買い取ることに対する規制の強化、記録保存の義務化、処罰の厳格化などが予定されています。不正な方法で名簿を流通させる名簿業者という商売は、今後は収束の方向に向かうのではないかと思います。



25
(画面はエンタープライズジンの記事より)

今年10月から導入が始まるマイナンバーに関して、実際に制度づくりに関与してきた内閣官房社会保障改革検討室の浅岡さんに取材した記事が公開されているので、このBlogでも要旨をご紹介したいと思います。

(要旨)
・マイナンバーの通知カードは、今年10月に世帯ごとに簡易書留郵便で送られる。届くのは早くて10月中旬になるだろう。大量の簡易書留が一斉に送付されるため、すぐに届かないこともありえるだろうから、11月にずれ込む場合もあるだろう。不在の場合の再配達により遅れることもあるだろう。
・通知カードと一緒に個人番号カードの申込用紙が送られてくる。これに顔写真を貼り付けて返送しておくと、来年1月以降にはがきで連絡が来るので、そのはがきを持参して取りに行くと個人番号カードが受け取れる。
・顔写真については、スマホで撮影した画像データも使えるようにする予定である。
・個人番号カードにはパスワードの設定が必要である。役所で発行する際に「4ケタの数字」「6ケタ以上の英数字の組み合わせ」の2種類を登録する。
・パスワードの機能は、将来的な公的オンライン認証や民間の取引にも開放するためのものである。個人番号カードにキャッシュカードやクレジットカードの機能が盛り込まれることも考えうる。
・当初、個人情報保護法を改正してマイナンバーの取扱いを含めることを考えたが、当時は個人情報保護法の改正に対する拒否反応があったので、マイナンバー法を作ることになった。
・将来的には、個人番号カードを健康保険証として使用できるように統合していきたい。

http://enterprisezine.jp/iti/detail/6668

(私のコメント)
非常に興味深い内容ですね。マイナンバーについて深く知りたい方は、是非お読みください。おススメです。

10月の運用開始に向けたマイナンバー対応セミナーを開催いたします
〜各企業内でどう対応すればいいのかが、ずばり分かる実践型セミナー〜
(オプティマ・ソリューションズ株式会社)※文書ひな形一式もご提供
               ↓

unnamed

47
(画面はFacebookが公開した日本政府からの開示請求件数データ)

米国Facebook社は、3月17日付で下記の2点の内容を発表しました。

(1)投稿内容に関する条件を明確化し、「暴力と脅迫」「自傷行為」「いじめと嫌がらせ」「差別発言」「露骨なコンテンツ」「猥せつコンテンツ」「実名制とプライバシー」「知的所有権」「規制されたアイテム」「フィッシングとスパム」「セキュリティ」の各点からどのような投稿が許され、どのような投稿が許されないのかをコミュニティ規定に記載した。

(2)世界各国の政府からの法律に基づく開示請求の件数を公開することにした。直近の2014年下半期の日本政府からの開示請求件数は9件であった。

案内記事
http://ja.newsroom.fb.com/news/2015/03/community_standards_and_government_request/

Facebookコミュニティ規定
https://www.facebook.com/communitystandards

Facebook政府請求レポート
https://govtrequests.facebook.com/

(私のコメント)
2点とも極めて適切な対応と思います。スノーデン氏が2013年に告発したNSAへの情報提供プログラムに関連して、米国政府の開示請求件数が気になりますが、安全保障関係の開示請求も含めても数万件にとどまっています。さて、事実はいかに?

https://govtrequests.facebook.com/country/United%20States/2014-H1

20150316_001706
(画面は内閣府特設サイトより)

今年の10月に全国民に通知され、運用が始まる「マイナンバー」。社会保障と税などの行政手続きに使用するための識別番号であり、民間企業は社員と扶養家族のマイナンバーを取得して税務署と社会保険事務所に提出しなければならない。ただし、その取扱いにおいては厳格なルールがあり、それを破った法人・個人には厳しい罰則規定が用意されているというものです。

3月に入り、マイナちゃんと上戸彩さんによるマイナンバーの広報CMが始まっていますので、本Blogでもご紹介します。



(私のコメント)
マイナンバーは、10月1日付で、住民票の住所に簡易書留郵便で送付されます。ですから、住民票の住所に郵便物が届かない方はご注意くださいという内容のCMになっています。ただし、そんな人が沢山いらっしゃるものなのでしょうか?

10月の運用開始に向けたマイナンバー対応セミナーを開催いたします
〜各企業内でどう対応すればいいのかが、ずばり分かる実践型セミナー〜
(オプティマ・ソリューションズ株式会社)※文書ひな形一式もご提供
               ↓

unnamed

10150740_922125567807949_1958936998847173813_n
(画面は内閣府特設サイトより)

今年の10月に全国民に通知され、運用が始まる「マイナンバー」。社会保障と税などの行政手続きに使用するための識別番号であり、民間企業は社員と扶養家族のマイナンバーを取得して税務署と社会保険事務所に提出しなければならない。ただし、その取扱いにおいては厳格なルールがあり、それを破った法人・個人には厳しい罰則規定が用意されているというものです。

この運用開始に向けて、様々な取り組みが始まっているところですが、内閣府の特設サイトでわかりやすい◯×クイズがありますので、まずこちらでマイナンバーについてご自分の知識を確認してみていただきたいと思います。

http://promotion.yahoo.co.jp/mynumber/page03/

(私のコメント)
意外と知らないことが多いのではないかと思います。

10月の運用開始に向けたマイナンバー対応セミナーを開催いたします
〜各企業内でどう対応すればいいのかが、ずばり分かる実践型セミナー〜
(オプティマ・ソリューションズ株式会社)※文書ひな形一式もご提供
               ↓

unnamed

11004548_922669201086919_542359190078483176_o

3月10日、政府は、個人情報保護法の改正案を閣議決定し、今の国会に提出されることになりました。これにより、これまで全く姿を見せていなかった改正案の条文がようやく登場しました。

今回の改正案には、下記の内容が含まれています。

(1)法律の目的に「新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現」を追加。
(2)個人情報保護委員会の新設(マイナンバーの導入にあたって新設された特定個人情報保護委員会を組み替えてこの委員会とする)  
(3)従来からの個人情報に加えて、「個人識別符号」が含まれるものも個人情報に追加。個人識別符号は生体認証データや商取引に使用される符号であり、詳細は政令で定める。(個人情報の定義の拡充)
(4)「要配慮個人情報」の定義を新設し、取得に原則として同意を求めることに。要配慮個人情報とは、いわゆるセンシティブ情報であり、詳細は政令で定める。
(5)取扱う個人情報の件数が5,000人未満の小規模事業者も個人情報取扱事業者に組み込み
(6)「匿名加工情報」「匿名加工情報取扱事業者」「匿名加工情報データベース等」の定義を新設し、匿名加工の方法については個人情報保護委員会規則に従うことや、名寄せの禁止、安全管理措置が義務化。
(7)政府の行うべき措置に「国際的な整合性の取れた個人情報にかかる制度を構築するために必要な措置」が追加
(8)利用目的を変更する際の条件を、変更前の利用目的と「相当の関連性を有する」から「関連性を有する」に緩和
(9)オプトアウトを行う場合の個人情報保護委員会への届出の義務化
(10)個人情報保護法制が未整備な外国への提供禁止
(11)第三者提供を行う際、第三者から提供を受ける際の記録保存の義務化(トレーサビリティの確保)
(12)第三者から提供を受ける際の適法性確認の義務化
(13)保有個人データに関する請求権の明確化
(14)個人情報持ち出しに直罰規定(個人情報データベース等提供罪)

http://www.cas.go.jp/jp/houan/189.html
新旧対応表
http://www.cas.go.jp/jp/houan/150310/siryou4.pdf

(私のコメント)
ようやく条文が出てきてホッとしましたが、もっと早く出して議論をするべきだったと思います。上記のポイントはどれも影響が大きいと思いますが、特に(3)(5)(6)(8)などはまだまだ議論の余地があるんじゃないかと思います。これからの国会での取扱いに要注目です。

(参考記事)
【個人情報保護法2015年改正案】個人情報の定義の拡充とはどういうことか?
http://www.pmarknews.info/archives/51966780.html

27
(画像は同社Webサイトより)

2015年2月、中国系パソコンメーカーのレノボ(Lenovo)社製の家庭用Windowsパソコンにプリインストールされていたソフトウェアに、暗号化通信を無効にする脆弱性が含まれていることが報道され、大きな問題となりました。同社はこのソフトウェアのプリインストールの中止や、出荷済み製品に対する対策を講じることとなりました。

対象となっているのは2014年9月から12月の間に出荷された同社の家庭用パソコンとのことです。これらにプリインストールされて出荷された通称「Superfish(スーパーフィッシュ)」と言われるソフトウェアは、ブラウザを利用してインターネット上のWebサイトを閲覧している際に、独自の広告が挿入されるというものでした。しかしながら、このソフトは広告を挿入するだけに留まらず、SSL暗号化通信のための重要な存在である電子証明書を任意に書き換える機能を持っており、この機能が悪用されたとすると偽物のWebサイトを本物のように偽ることができるなど、深刻な脆弱性を持っているものでした。

今回の問題が発覚する前から、いくつかの都市銀行では、独自の電子証明書を使ったオンラインバンキングが使えないという事象が発生していたようで、昨年からこれに関する案内が出ていたようです。今年2月に入り、それがプリインストールソフトウェアによるものであることが明確となり、ニュースとして報道され、同社は急遽対応を迫られることになりました。

同社の対応は下記のようなもので、かなり徹底したものでした。
(1) 事態の把握と顧客への広報
(2) プリインストールの中止、専用サーバーの停止
(3) アンインストール方法の案内と自動削除ツールの提供開始
(4) 「Windows Defender」やウイルス対策ソフトでの削除機能開始

レノボ社からの案内文>
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0225-2.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0228.shtml
http://support.lenovo.com/jp/ja/product_security/superfish_uninstall

都市銀行からの案内文>
https://bizstation.bk.mufg.jp/info/150209.html
http://www.mizuhobank.co.jp/corporate/ebservice/account/announce20150212.html

(私のコメント)
今回の事件は下記の3点から個人的には興味を引くものでした。

(1) 同社のリリース文は「見解」「お知らせ」「公開書状」「お約束」などとなっており、日本企業でよく見られる「お詫び」という体裁とは異なっています。内容には「お詫び」という言葉も使われていますが、あくまでも「お客様に対して懸念を抱かせたこと」や「セキュリティの潜在的な脆弱性について認識していなかったこと」に対するお詫びであり、当該ソフトウェアをインストールしたことに対する直接のお詫びはありません。ここはアメリカの文化なのか、中国の文化なのか、明らかに日本企業の通常のやり方とは異なっていることに興味を持ちました。

(2) 今回、事後対策として 「Windows Defender」やウイルス対策ソフトによる削除が取り入れられました。これらは本来は誰が作ったのかわからないウイルスや、悪質な会社が作ったスパイウェアなどを削除することを目的として作られたものですが、通常の企業が正規のルートで配布したソフトウェアの削除に使われていることは興味深いです。

(3) 最後に、中国系のIT企業としては、通信機器メーカーのHuawei(ファーウェイ)が米国政府機関からの締め出しを食らっており、LenovoもIBMのパソコン部門を買収した存在であるとは言え、いつそのような取扱いを受けてもおかしくないのかもしれません。同社の徹底した対応の裏にはそういう事情もあるのかなと思いました。




39
(画像はJIPDECの解説文書より)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、昨年12月に経済産業省が発表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省ガイドライン)の改正に関する解説文書を2月23日付で発表しました。

1月に開催されたプライバシーマークフォーラム2015において、JIPDECの福井センター長は「経済産業省ガイドラインの改正内容は、すでにJIS Q 15001とJIPDECガイドライン第二版に含まれており、審査基準の変更は行わない」と説明しました。今回の解説文書の公表によりJIPDECとして正式にそれを発表したことになります。

解説文書自体に関しては、特段目新しい内容はありません。今回の経産省ガイドラインの改訂を受けて、プライバシーマーク認定事業者として今後の運用において何を気にするべきかをひと通りまとめた文書という印象です。

http://privacymark.jp/news/2015/0223/index.html

(私のコメント)
ただし、今後の審査において
(1)個人情報の適正な取得(名簿屋から名簿を購入する際の確認の厳格化)
(2)委託先の監督(特に再委託の場合の監督の強化)
(3)共同利用(共同利用範囲の明確化)
の3点は強化されていくんだろうと思います。皆様の企業においても、上記3点にあたるケースがあるようでしたら、少しずつ強化していく心づもりをしておいていただければと思います。

19
(画像はJIPDECが公開した映像より)

一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、1月28日に開催した「JIPDECプライバシーマークフォーラム2015」の講演内容の動画配信を開始しました。

http://privacymark.jp/forum/2015_report/index.html

(私のコメント)
今回のフォーラムは、「経済産業省ガイドラインの改正」「個人情報保護法の改正」「マイナンバーの導入」という3つの大きな動きの中で開催され、かなり興味深い内容が多かったです。ただ、やはりいちばん注目するべきなのは、特定個人情報保護委員会・委員長の堀部 政男氏の講演だと思います。最初の10分ほどでも聞いてみると、結構引き込まれるんじゃないかと思いますよ。




↑このページのトップヘ