プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2022年11月

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される
(画像は杉並区のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

(私のコメント)
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ