プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2016年06月

個人情報保護委員会
(画面は個人情報保護委員会のWebサイトより)

特定個人情報保護委員会と個人情報保護委員会について、ご存じない方も多いようですので、このタイミングで改めて記事にしておきます。

昨年9月に成立した個人情報保護法と番号法を改正する法律により、個人情報保護法と番号法は段階的に改正されることとなりました。

そして、その第一弾の改正が2016年1月1日付で施行されました。この施行により、番号法により規定されていた特定個人情報保護委員会が廃止され、個人情報保護法により規定される個人情報保護委員会がスタートしています。またその他にいくつかの細かな改正が行われています。

2016年1月1日施行の個人情報保護法全文(第5章が追加されています)
http://www.ppc.go.jp/files/pdf/personal_law280101.pdf
2016年1月施行の個人情報保護法の目次

個人情報保護法と番号法を改正する法律
(個人情報保護法については第一条関係、番号法については第四条関係という部分が2016年1月1日に施行されました)
http://www.cas.go.jp/jp/houan/150310/siryou4.pdf

今年いっぱいかけて、この個人情報保護委員会を中心として、政令やガイドラインの整備が行われ、来年春に個人情報保護法と番号法の第二弾の改正が施行される予定です。ただし、この施行時期はまだ明確には決まっていません。これ以降については、別の記事で解説させていただきます。

個人情報保護委員会
http://www.ppc.go.jp/

(私のコメント)
個人情報保護委員会ができた1月は、すでに半年が経過していますが、その頃は、本Blogでも、マイナンバーのことばかりを記事にしていまして、取り上げるタイミングを失っていました。むしろこちらの方が重要なイシューだと思いますので、今後意識的に取り上げていきたいと思います。



個人番号カード裏面2


個人情報保護委員会は、6月20日付で、「インターネット等にマイナンバーカード裏面のQRコードを掲載することに対する注意喚起」と題した文書を公表し、マイナンバーカード(個人番号カード)裏面のQRコードの取扱いに関して注意を喚起しました。

同文書によりますと、マイナンバーカードの裏面のQRコードは一人ひとりの12ケタの個人番号を変換したものがプリントされており、このQRコードを不用意にインターネット上で公開などした場合に、第三者がそれを読み取ることで個人番号が知られてしまうということです。

マイナンバーカードの交付時に一緒に提供される目隠し用のビニールケースでは、QRコードの部分が隠れないので、問題になっているようです。

http://www.ppc.go.jp/files/pdf/280620_qrcode.pdf

(私のコメント)
手元のマイナンバーカードをQRコードリーダーに読み込ませてみて、ちょっと笑ってしまいました。皆様も不用意に公開したりすることのないよう、十分ご注意ください。



jtb
(画面は同社のリリースより)

旅行代理店大手の株式会社ジェイティービー(東京都品川区・プライバシーマーク認定事業者)は、3月にグループ会社が標的型攻撃を受け、顧客の個人情報739万人分が外部に流出した可能性があると、6月14日付で発表しました。

同社の発表によると、3月15日に取引先を装ったメールの添付ファイルを開いたことにより、グループ会社のi.JTB(アイドットジェイティービー)の担当者のパソコンがウイルスに感染したことをきっかけに、外部からの不正アクセスが行われたといいます。不正アクセスが検知され、JTB社内で調査した結果、3月21日に739万人分の顧客情報がデータベースから出力されてテキストファイル化されていたことが判明しました。その後、外部の専門家と共同して事態の詳細な把握を行い、社内検討を経て今回の発表に至ったとのことです。

ただし、現在までの調査において、出力されたテキストファイルが外部に持ち出されたかどうかは確認されておらず、同社としては流出の可能性としており、また被害の報告もないとしています。

なお、流出した可能性がある(データベースから出力されたテキストファイルに含まれる)個人情報は「氏名(漢字、カタカナ、ローマ字)」「性別」「生年月日」「メールアドレス」「住所」「郵便番号」「電話番号」「パスポート番号」「パスポート取得日」739万人分であり、そのうち有効なパスポート情報が含まれているのは約4,300件とのことです。

同社のプレスリリース
http://www.jtbcorp.jp/jp/160614.html

詳細な解説記事
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/061500549/

(私のコメント)
年金機構事件に引き続いて、また標的型攻撃による大規模な流出事件です。どのような組織であれ、標的型攻撃が行われれば、簡単に外部からの侵入を許してしまうということを前提に、社内のネットワークや情報システムの構成を考え直すことが喫緊の課題と言えます。「自分たちは大丈夫」という考えは捨て去らなければなりません。。。





↑このページのトップヘ