331715ff.jpg皆様、あけましておめでとうございます。
今年も、プライバシーマーク、個人情報保護Blogをよろしくお願いします。

さて、新年恒例の個人情報保護関連10大ニュースを発表いたします。

(1)サウンドハウス事件

2008年の最も印象的な個人情報流出事件といえば、このサウンドハウス事件になるでしょう。

音楽機器の格安通信販売で急成長を遂げてきた同社が、SQLインジェクションの攻撃を受けて、カード情報が流出し、実際に不正利用が行われました。

同社の社長の中島氏は、事件の後、長文のコメントを発表し、その中で行政の責任などに言及しています。しかし、私はこの段階でのこの発言は不適切であり、責任を他者に転嫁しているだけだと考えています。

今のインターネット時代、事件が起こらないように当たり前の対策を当たり前にすることは、全ての事業者として当たり前のことだと考えます。それを徹底しましょう。

http://blog.optima-solutions.jp/archives/51093242.html
http://blog.optima-solutions.jp/archives/51105302.html

(2)JIS Q 15001の2006年版への移行がほぼ完了

かねてより進められていたJIS Q 15001の2006年版への移行。

2008年11月19日までに全ての事業者が2006年版JISへの移行を行い、更新審査のステップに入りました。
今後、順次審査が行われていき、今年春くらいまでには、多くの事業者の審査が終了するものと思われます。

(3)SQLインジェクションによるWeb改ざんが多発

サウンドハウス事件もその一つですが、2008年は、Webサイトに対するSQLインジェクション攻撃が増加し、国内でも多くのWebサイトが被害を受けました。

特に注意していただきたいのですが、SQLインジェクション攻撃の内容が変わってきているということです。

従来は、この攻撃によりデータベースの内容を不正に読み出す、いわゆる「個人情報の流出」を目的としていました。実はサウンドハウス事件は、このパターンです。

しかし、最近の攻撃は、個人情報の流出ではなく、Webサイトの内容を改ざんすることで、別のページに自動的に移動させて、ウイルスを強制的にダウンロードさせることを目的としています。JR北海道の事件がこのパターンであると思われます(正式発表はありませんが)。また、この一年間、ラックが注意を喚起しているのも、この新しいパターンに対してです。

ですから、単純に個人情報の流出があったかなかったかという話ではなく、自社のサイトにアクセスしてきた「お客様」に、ウイルスを配布してしまい迷惑をかけるということが問題になっているのです。

ま、そうすると、個人情報保護からは離れていくのですが。。。

http://blog.optima-solutions.jp/archives/51128093.html
http://blog.optima-solutions.jp/archives/51262540.html
http://blog.optima-solutions.jp/archives/51268368.html
http://blog.optima-solutions.jp/archives/51185397.html
http://blog.optima-solutions.jp/archives/51194424.html

(4)特定電子メール法改正される、オプトイン原則に切り替え

特定電子メール法(通称:迷惑メール法)が5月に改正され、12月に施行されました。

今回の改正により、特定電子メール(自己または他者の営業の広告または宣伝を行うことを目的とした電子メール)については、本人の明確な同意がある場合のみ送信可能とするオプトイン原則が徹底されました。

今回の改正は、かなり意味があると思います。

http://blog.optima-solutions.jp/archives/51138413.html
http://blog.optima-solutions.jp/archives/51250681.html

※メルマガで配信した際、「オプトアウト原則」と逆の言葉を使用してしまいました。お詫びして訂正します。

(5)「WEPは死んだ」

2008年10月に、森井昌克・神戸大学大学院教授らのグループが、無線LANの暗号化方式であるWEP方式を瞬時に解読できるとの研究結果を発表。

これにより、WEP方式は暗号化方式としては無意味であることになりました。米国では、このWEP方式の無線LANが盗聴されて、大規模なクレジットカード情報の流出が発生しています。

クレジットカード業界としては、WEP方式の無線LANについて「2009年3月31日以降は新規利用を禁止」「2010年6月30日までに全システムを切り替え」としています。

皆さんも、早急に無線LANの暗号化方式を、WEPではなくWPA(AES)方式などに切り替えてください。

http://blog.optima-solutions.jp/archives/51238625.html
http://blog.optima-solutions.jp/archives/51247575.html

(6)個人情報保護法で「社会が不便になった」

国民生活センターが3月に発表したアンケート調査結果で、個人情報保護法で「社会が不便になった」と回答した人が68%と高い数値を記録。

かといって、個人情報保護法がなければ、もっと困ったことも起こりえるわけですから、一概に否定するのもどうかなと思います。

http://blog.optima-solutions.jp/archives/51079944.html

(7)Pマークと中国・PIPAマークの相互承認がスタート

JIPDECが6月に、中国・大連ソフトウェア産業協会が運用するPIPAマークと
の相互承認を発表。

JIS Q 15001:2006を中国語に翻訳したものを用意して、これをPIPAマークの準拠規格(第2版)とするという。これにより、PIPAマークは、プライバシーマークと同等の水準とみなすことができるというわけです。

マークが使えるということよりも、同じ基準で社内体制を整備すれば、日本でも中国でも認められるということのほうが、メリットは大きいと思われます。

日本の規格を中国に持ち込むという発想を実現したのは、快挙だと思います。

http://blog.optima-solutions.jp/archives/51004597.html
http://blog.optima-solutions.jp/archives/51217946.html

(8)Pマークの欠格性の判断基準を明確化

大日本印刷事件で、どうしてあれほどの個人情報流出事故を起こしてもマークが取り消しにならないのかとの疑問が出ましたよね。

JIPDECとしては、その後いろいろと考えて、どういう場合がマークの取り消しになるのかをはっきりと決めました。

会社ぐるみで故意に個人情報の取扱いに関する事故を起こした場合には、その事故の規模の大小を問わず取り消しになる。これがJIPDECの結論でした。

http://blog.optima-solutions.jp/archives/51109654.html

(9)PCI DSSが本格的に始動

クレジットカード業界が定めるセキュリティ基準が、PCI DSSです。

VISAカードが先頭を切って、大規模事業者に対するPCI DSSの導入を迫っています。2009年9月30日までにカード情報の保管禁止、2010年9月30日までにPCI DSSを遵守したことの証明書提出を求めました。

今後もPCI DSSが、国内でも広まっていくことでしょう。


http://blog.optima-solutions.jp/archives/51053577.html

http://blog.optima-solutions.jp/archives/51250160.html

(10)1万社超えないPマーク取得事業者数

急成長を遂げてきたプライバシーマーク制度ですが、2008年に入り、取得事業者数が1万に行く寸前でかなり足踏み状態です。新規に取得する事業者が約35%減少していることと、使用中止する事業者が約5%出てきていることから、2008年12月末で1万社の達成は困難な状況です。

まずは新規取得する事業者を増やすしかないわけですので、JIPDECとしては、全国規模で説明会を開催したり、講師の無料派遣を行うなど、さまざまな啓蒙活動をしています。

http://blog.optima-solutions.jp/archives/51238701.html

いかがでしたでしょうか?

2009年は、よいニュースをたくさんお届けしたいなと、
思っています。ご期待ください!




週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!