プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2020年09月

サクソバンク証券
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

FX取引(外国為替証拠金取引)や海外株式取引サービスを国内で提供しているサクソバンク証券は、今年7月に発生した個人情報流出事件に関して、詳細な調査結果を公表しました。またあわせて金融庁から業務改善命令を受けたことも明らかになりました。

同社によると、今年7月に自社の顧客管理システムに不正アクセスがあり、マイナンバーを含む多数の個人情報が流出していたとのことです。

流出したのは、同社の顧客管理システムに登録されていた情報であり
(1)「ユーザーID」「氏名」「生年月日」「住所」「電話番号」「電子メールアドレス」など38,026名分
(2)本人確認書類の画像データ(運転免許証、保険証、パスポート、住民票、在留証明書、個人番号カード)750件。
このうちマイナンバーが含まれるものが378件
とのことです。

同社では、今回の不正アクセスは海外のハッカー集団による可能性があり、情報を公開するとの脅迫も行われているものの、悪意のある集団との対話や交渉は行う予定がないと態度を明らかにしていました。

なお、この事件を受けて、金融庁は、財務省関東財務局を通して、9月18日付で業務改善命令を出したとのことです。

同社によるリリース
https://www.home.saxo/ja-jp/about-us/security-incident/final-report-personal-information-leakage
https://www.home.saxo/ja-jp/about-us/security-incident/important-notice-about-personal-information-leakage-continued
金融庁による業務改善命令
https://www.fsa.go.jp/news/r2/shouken/20200918.html

(私のコメント)
マイナンバーが大量流出しており、注目いたしました。また、海外のハッカー集団から脅迫が行われているとのことでも、注目に値する事件です。

また、何か情報が入りましたら、皆様にシェアいたしますね。


暗号化ZIPファイル添付_パスワード別送(PPAP)方式
皆さんこんにちは。
プライバシーザムライ中康二です。

ここ10年間くらい、個人データや機密情報を社外に電子メールで送付する際に、暗号化ZIPファイルを作ってメールに添付し、別のメールでパスワードを送信する方法がよく利用されています。

そして、それを手処理で行うのではなく、自動的に全ての添付ファイルをそのように処理してくれるシステムがあり、多くの企業で採用されています。

ただし、この方法については「情報セキュリティ的に意味がなく、むしろ逆効果である」との指摘が多く寄せられています。

その指摘の趣旨を列記すると、
●直後にメールで自動的にパスワードを送るため、メールの内容が盗み見されている場合には解読できてしまう
●暗号化ZIP圧縮すると解読できなくなり、ウイルス対策フィルターを通過してしまう。この方法が当たり前になることで、逆にウイルスが送り付けられるリスクが高まる。
●電子メールの伝達方法は、インターネット発足当初のような平文のバケツリレー方式ではなく、現在はメールサーバー間が直結かつ暗号化通信をしている場合がほとんどであり、伝達経路上での漏洩リスクはほとんどない。(もしそのリスクがあるのなら、添付ファイルだけでなく本文も暗号化しないとおかしい)
●解読が面倒であり、生産性を落としている。(日本だけの習慣という指摘も)
などがあげられます。

この方式に対する「もうやめようよ」の声は日増しに大きくなってきており、「PPAP方式」というおかしな名前まで付けられて、日本のなんちゃってセキュリティの象徴のように語られるようになってきました。
PPAP
(提唱者:大泰司さんのプレゼン資料より)

話が長くなりました。

実は当社(オプティマ・ソリューションズ)でも、この暗号化ZIPファイル添付/パスワード別送方式(PPAP方式)を自動的に行うシステムを2013年から利用していたのですが、この度やめることにしました

当社は「個人情報/機密情報を取り扱う企業の模範となる」ことを会社全体の目標にしています。そのために日々活動し、社内でもISMS/PMSを運用しています。

7年前には、よかれと思って導入したシステムですが、情報セキュリティの世界の常識はどんどん変わっていきます。まさにこのPPAP方式は、今、見直すべき時だと考えました

今後はどうするかということについて、当社の場合は意外と簡単に答えが見つかりました。
●個人データ/機密情報を含まない場合はそのままファイル添付の機能を使用して送信する
●個人データ/機密情報を含む場合は、専用のファイル転送システムを利用して送信する
ということです。

ちなみに、当社が代替策として使用することにした「専用のファイル転送システム」というのは、
HENNGE Secure Transfer
というもので、従来から当社が契約していたシステムの中に入っていたのでした。

個人データ/機密情報を含むファイルを社外に送信する場合には、このシステムにアップロードし、そこで発行されるURLとパスワードをメールで送ることで、受信者はそのファイルをダウンロードできるという仕組みです。(昔懐かしい「宅ふぁいる便」みたいなイメージです)

新しい添付ファイル送信方式
というわけで、当社としては今後はこういう方法で添付ファイルを送ることにしますというご報告になります。

(追記)より高い機密性が求められるファイルを送信する場合には、パスワードをメールではない全く別の方法で送る/受信側にもしっかりとした認証機能があるストレージサービスを使用するなど、もっと上の対策を取る必要があります。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

国勢調査2020
(画像が各家庭に配布される封筒です)

皆さんこんにちは。
プライバシーザムライ中康二です。

5年に一回の国勢調査。
今回で100歳になるそうです。

国勢調査は、「日本に住む人や世帯」について知ることで、
生活環境の改善や防災計画など、わたしたちの生活に欠かせない
様々な施策に役立てられる大切な調査だそうで、
日本に住むすべての人に回答義務があります(統計法による)。

対象日:2020年10月1日現在
調査対象:
対象日に日本国内にふだん住んでいるすべての人(外国人を含む)及び世帯
調査事項:
個人に関する項目(15項目)
「氏名」、「男女の別」、「出生の年月」、「世帯主との続柄」、「配偶の関係」、「国籍」、「現在の住居における居住期間」、「5年前の住居の所在地」、「在学、卒業等教育の状況」、「就業状態」、「所属の事業所の名称及び事業の種類」、「仕事の種類」、「従業上の地位」、「従業地又は通学地」、「従業地又は通学地までの利用交通手段」
世帯に関する項目(4項目)
「世帯の種類」、「世帯員の数」、「住居の種類」、「住宅の建て方」

インターネット回答期間:令和2年9月14日(月)から10月7日(水)まで
調査票(紙)での回答期間:令和2年10月1日(木)から10月7日(水)まで

インターネット回答をする場合であっても、各家庭に配布される調査書類が必要です。そこに記載された情報を画面に打ち込むことで、回答できます。
国勢調査QR
(このQRコードから回答ページを開けます)

我が家にも調査用紙が届きましたので、早速スマホで回答してみました。国勢調査は家族の名前や生年月などを入力した後に、一人ひとり勤務先や仕事内容などを回答していく形式になっており、スマホを利用した場合には、入力欄などを自動的に制御することでとても回答しやすく工夫されています。

是非皆さん、ご協力ください。

※当社(オプティマ・ソリューションズ株式会社)は、国勢調査サポーター企業です。
https://www.kokusei2020.go.jp/collaboration/supporter/index.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

システムズデザイン社に対するプライバシーマーク一時停止
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、東京国税局など委託元の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していたシステムズ・デザイン株式会社(東京都杉並区)に対して、2020年8月24日から1か月間「プライバシーマーク一時停止」の措置をとると発表しました。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

システムズ・デザインによる発表
https://www.sdcj.co.jp/dcms_media/other/news20181218.pdf

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマーク一時停止になるということは、欠格レベルが「8または9」ということです。これは事業者に重大な過失があったと判断されたということになります。

しかし、今回の対応は少し遅いですね。
 2018年12月 事態が発覚
 2019年8月 個人情報保護委員会による指導
 2020年8月 プライバシーマーク一時停止
新型コロナによる遅れがあったとしても、もう少しタイムリーに対応していただきたいなと思いました。

た、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ