プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2021年03月

LINEプライバシーポリシー
(画像はLINEのプライバシーポリシーより)

皆さんこんにちは。
プライバシーザムライ中康二です。

LINEの個人情報の取り扱いが問題になっています。

主に今回取り上げられているのは
(1)委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
(2)LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。

私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI/親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。(よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️)

ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。

それは【長すぎるプライバシーポリシー】問題です。

同社のプライバシーポリシー(リンクを下に貼っておきます)はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。


そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。

(1)個人情報の利用目的(第18条)
(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)
(5)保有個人データに関する事項の公表(第27条)

これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。

(1)個人情報の利用目的(第18条)

やはりいちばん重要なのは「個人情報の利用目的」です。(取り扱う個人情報の項目ではなく)取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。

個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。

さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。

LINEの利用目的
(クリックすると拡大します)

どうですか?ひとことで言って長過ぎます。

冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。

次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。

その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。(「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない)

本来、この利用目的の部分は、下記のように簡潔に記載できると思います。

------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
1)お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
2)当社サービスの開発と改善のため
3)セキュリティや不正利用対策を促進するため
4)お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------

これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。

(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)


次に提供の部分を抜粋してみましょう。ここは上記の3つの項目が関係します。

LINEの提供の項目
(クリックすると拡大します)

これまた長々と書きすぎています。

冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。

また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。

また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。

パーソナルデータの保管場所

(5)保有個人データに関する事項の公表(第27条)

保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。

さて、これに関する記載はここかな?

LINEお客様の選択肢

これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。

結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」(=問い合わせがあったら個別に対応する)こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。

LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

(私のコメント)

以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。

同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。

長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。

LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか?

同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。


また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。

このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。

今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ 中康二
(オプティマ・ソリューションズ株式会社 代表取締役)


松井証券_SCSK事件
(画像は両社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

オンライン証券大手の松井証券株式会社から、システム開発業務を受託していたSCSK株式会社の社員(当時)が、業務上知りえた松井証券の顧客情報を利用して、松井証券のサービスに不正ログインし、2億円以上を着服していた事件が発生しました。

同社員は、松井証券の顧客データベースから本物の「ログインID」「パスワード」「取引暗証番号」などを盗み出して悪用し、顧客と同姓同名の銀行口座を不正に作成して現金の引き出しに利用していたとのことです。

この社員は電子計算機使用詐欺罪等の容疑で警視庁に逮捕され、また懲戒解雇されているとのことです。この事件は、実際に行われたのが2017年〜2019年であり、発覚したのが2020年とのことですが、捜査に協力する必要性からこれまで公表が控えられていたとのことです。

松井証券のリリース
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
SCSKのリリース
https://www.scsk.jp/news/2021/pdf/20210324.pdf

(私のコメント)
まあ恐ろしい事件ですね。ベネッセ事件でもそうでしたが、システム開発や運用を実際に行う人が悪意を持って動くとこういうことは起こりえると言えるのかもしれません。ただし、パスワードや取引暗証番号はハッシュ化(復号できないように変換すること)して、顧客本人以外には分からないようにするなど、出来心を許さないシステムにすることが重要なのだと思います。

また詳細は公表されておらず真相は不明ですが、同姓同名の銀行口座をどのように不正に作成したんでしょうね。特殊詐欺対策もあり、銀行口座を作る際のチェックは厳しくなっています。もしかして顧客が登録した本人確認書類を一部利用した可能性もあるのかなと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




Pマーク/ISMSのためのE-Learning活用セミナー

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では「Pマーク/ISMSのためのE-Learning活用セミナー」を昨年12月にリモート形式で開催いたしました。

現在の新型コロナ下でプライバシーマーク/ISMSの定期教育にお困りの担当者様にも参考に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

--------------------------------------------------------
タイトル:「Pマーク/ISMSのためのE-Learning活用セミナー」
講 師 : プライバシーザムライ中康二(オプティマ・ソリューションズ・代表取締役)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_elearning_seminar

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

取扱注意!みんなの大切な個人情報〜SNS・オンラインゲーム編〜
(画面は政府インターネットテレビより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会が、個人情報保護の重要性を啓発するための子供向け動画を、政府インターネットテレビ上で公開しました。

今回の動画は、特に子供を狙う悪質な犯罪者の存在に焦点をあて、SNSやネットゲームを利用している子供がどのようにして犯罪に巻き込まれるか、分かりやすく解説しています。

政府インターネットテレビ
https://nettv.gov-online.go.jp/prg/prg22341.html
個人情報保護委員会・キッズページ
https://www.ppc.go.jp/news/kids/

2017年の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52086819.html

(私のコメント)
今回公開された動画は、単に個人情報を掲載することの潜在的なリスクだけではなく、実際の犯罪にどのように巻き込まれるのかを分かりやすく解説しており、大人が見ても参考になるものだと思います。ぜひ最後まで見てみてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。

セールスフォースのリリース
皆さんこんにちは。
プライバシーザムライ中康二です。

今や世界No.1のCRMサービス企業に成長した
セールスフォース・ドットコム。


国内でも多くの企業で利用されています。

そのセールスフォースに登録した顧客情報が、
意図せず外部から閲覧可能な状態になっていて、
個人情報が流出してしまう事態が昨年から頻発しています。

 PayPay
 楽天
 イオン銀行
 freee
 全日本空輸

など、著名な企業から同様の発表が続いています。

これは何なんでしょうか?
今回はこれについて少し解説したいと思います。

セールスフォースは、一言でいえば、顧客データベースサービスです。
顧客の名前や住所、電話番号、メールアドレスなどを登録できます。


手入力で登録している場合もあるでしょうし、
Webフォームなどを利用して、顧客自身が自動的に登録する場合もあります。

そのようにしてデータベースに自社の顧客の個人情報が蓄積されていき、
それを業務に活用しようというものです。

顧客データベースですから、100%のセキュリティが求められます。
同社のサーバーには世界最高水準のセキュリティ対策が施され、
不正アクセスが発生しないように24時間365日監視されている。
その信頼の元に世界中で利用されてきました。

ところが、セールスフォースが自社のサービスの機能を拡張する中で、
その肝心な顧客データベースの内容を誰でもが見える状態に
なぜかなってしまっていたのです。


もちろん、全ての情報ではありません。
利用している企業が特定の利用方法をしていて、
権限などを正しく設定していなかった場合にそれが発生しました。

問題なのはそれらの機能が後から追加されたものであり、
利用している企業が外部から参照できる状態になっていることに
気づいていなかったことにあります。

今回、そのような事態が発生したのは下記の3条件が重なった場合のようです。
(1)Salesforceの「サイト」機能が有効になっている。
  サイト機能というのは、「http://●●●●.force.com」というURLで
  Webサイトを構築できる機能のようです。
(2)「ゲストユーザのLightning機能」が有効になっている。
(3)ゲストユーザに参照権限が与えられている。

このような設定で利用されている場合には、
セールスフォースに登録した顧客情報に予期せず外部から閲覧されてしまう可能性があります。

セールスフォースをお使いの場合には、いま一度、
利用状況や設定を確認されることをおススメします。

参考URL
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
https://piyolog.hatenadiary.jp/entry/2020/12/28/060000
https://medium.com/@moniik/attack-about-salesforce-lightning-platform-e5de140a4816

(私のコメント)
実は当社でも創業の頃からセールスフォースを活用しています。手持ちの顧客リストをアップロードして、「うわあ、クラウドにこんな情報を載せていいのか」なんてヒヤヒヤしながら実行したのが懐かしいです。その後、2007年に日本郵政で採用され、2008年に日本法人がプライバシーマークを取得し、日本のビジネス界にどんどん浸透してきました。
現在、当社ではWebフォームからお問い合わせやセミナー申し込み内容を入力していただいた時点から、商談/契約/サービス提供までの一連の流れをセールスフォースで管理しており、当社にとって欠かせない存在となっています。
そんな訳で、同社とはお付き合いもありますし、ベースとしては好意を持ってみていますが、今回の事態はかなり深刻なものと言わざるを得ません。
特に私が問題だと思うのは、同社の情報発信内容です。参考URLの一つ目が同社からの説明文ですが、一読しても直感的に理解できないですよね。同社の技術文書は本当に分かりづらく、私もいつも苦労しています。今回は「分かりにくい説明文が、深刻な事故を招く」まさにその実例と言えるのではないかと思います。
同社にはリーディングカンパニーとして、情報セキュリティの水準アップを実現するためにも、もう一段レベルアップした分かりやすさを要望したいと思います。これは本当に重要なことです。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ドコモ口座
(画像はドコモ口座公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年、大きな話題となった「ドコモ口座事件」では、架空に作成されたドコモ口座に、実在の銀行口座が登録されて、口座の残高がどんどん吸い取られてしまいました。

ドコモ口座のセキュリティが甘かったのは事実です。
銀行口座の口座番号と4桁の暗証番号だけがあれば登録できました。
そのことで、ドコモは社会的に非難され、お詫び会見を開く事態に追い込まれました。

それでも、そもそも口座番号と暗証番号の組み合わせは
どこから入手したのだろう
という疑問が残っていました。

過去にはゴルフクラブの貴重品ボックスから流出したことがありました。
その時はこんな方法でした。
------------------------------------------------------------
・ゴルフクラブの顧客が貴重品ボックスの暗証番号に銀行と同じ4桁を設定して財布を預ける
・貴重品ボックスには盗難対策として監視カメラがついていて、登録した数字4桁が読み取れるようになっていた
・顧客がゴルフプレイをしている間に、従業員が監視カメラの映像から数字4桁を読み取り、その数字4桁でロッカーを開け、財布の中の銀行カードをスキミングしてデータを複写
・複写したデータから銀行カードを複製し、記録しておいた4桁の暗証番号で預金を引き出す
------------------------------------------------------------
恐ろしいですよね。でもこれは実際に起った事件です。

最近の報道によると、今回のドコモ口座事件の流れはこういうことだったようです。
------------------------------------------------------------
・ソフトバンクの代理店の店頭で、顧客が自動引落で支払うために銀行の口座番号を記入する
・同時に顧客がソフトバンクのネットワーク暗証番号として銀行と同じ4桁を記入する
・代理店の店長が、氏名や連絡先と一緒に、口座番号と暗証番号をエクセルシートに保管する
・その情報を使用してドコモ口座に銀行口座の情報を登録する
・ドコモ口座を使って残高を不正に利用する
------------------------------------------------------------

これまた恐ろしい話ですね!

しかし、銀行の数字4桁の暗証番号をホイホイと関係のないソフトバンクの登録用紙に書いてしまったのがそもそもの原因なのです。

そういうことをしていない人は、ゴルフクラブの例でも、今回のドコモ口座の例でも、被害を免れているのです。

(今回の教訓)
金融機関の数字4文字を、関係のないところで使用しないこと
スマホの暗証番号なんかにも使っちゃだめですよ😅
これに尽きますね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ