プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシー

2023-09-06_11h24_26
(画像はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク公式Webサイトでは、
マーク制度創立25周年を記念して特設ページを開設しています。

その中でビックカメラさんの取り組みが紹介されていますので、
皆様にもご紹介いたします。

ビックカメラさんと言えば、大手量販店の中ではかなり積極的に
プライバシーマークに取り組んでおられる印象があります。

東京国際フォーラムでセミナーを開催している時、
「うちは店舗なんですが、プライバシーマークは取れますか」というような
質問をいただくことがよくあり、そのたびに、
「お隣のビックカメラさんがプライバシーマークお持ちなので、
どのように個人情報を保護しているか、帰りにでも見ていってください」
とお答えしていたことを思い出します。

大規模な店舗でどのように個人情報保護を実践し、
プライバシーマークを維持しているか、是非記事をご覧になってみてください。

プライバシーマーク25周年特設サイト
https://privacymark.jp/lp/25th/
付与事業者の取組事例 > 株式会社ビックカメラ
https://privacymark.jp/project/publicity/interview/12-a.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

【鉄則】ChatGPTなどの生成AIには個人情報を入力しないこと

皆さんこんにちは。
プライバシーザムライ中康二です。

ChatGPTをはじめとする生成AIの登場は、私たち人類社会にとって、
まさに彗星が落ちてきたようなインパクトを持ち、
社会の在り方を一変する可能性まで秘めているのではないかと考えられています。

その変革のさなかにいる私たちとして、
最も気を付けるべきことが一つあります。

------------------------------------------------------------
それは「生成AIには個人情報を入力しない」ということです。
------------------------------------------------------------

実は生成AIは、日々日々私たちが使うたびに、
そのやり取りでの成功と失敗を記録し、学習データとして
それ以降のやり取りに活かすようになっています。

ですから、「山田太郎さん(仮名)は、カレーライスが好きだ」
という情報を生成AIに入力すると、それを学習する可能性がありますし、
その情報を他の人とのチャットにおいて、出力する可能性があるのです。

現在のChatGPTは、個人情報を出力しないように
プログラミングされているようです。

しかし、学習してしまう可能性は否めないのです。

このことについては、
日本のPPC(個人情報保護委員会)をはじめとする
世界のプライバシー当局が注目しており、
ChatGPTを運営するOpenAI社に対して
「個人情報を学習しないように」と指導しているという実態もあります。

ですから、とにかく私たちとしては、生成AIを使う際には
個人情報を入力しないようにしましょう。

また、当然のことですが、機密情報も同じように
入力しないようにしましょう。

このことさえ徹底すれば、生成AIは私たちの仕事や生活を
大いに改善してくれる可能性がありますから、
どんどん活用してよいと思います。

(補足)大企業や自治体など、公式に生成AIを導入している場合の多くは、
有料の特別な契約を結んだり、自前のシステムを用意したりすることで、
上記のリスクを抑えている場合も多いようです。(それでも安心はできないです)

東京都の文章生成AI利活用ガイドライン
https://www.digitalservice.metro.tokyo.lg.jp/ict/pdf/ai_guideline.pdf

(過去の記事)
個人情報保護委員会がChatGPTに関する注意喚起を公表
https://www.pmarknews.info/privacy/52172923.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会がChatGPTに関する注意喚起を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年末、人工知能チャットボット「ChatGPT」が、彗星のように現れ、
またたく間に1億人のユーザーを獲得しました。

その登場は大いなる衝撃をもたらし、
私たちの生活を一変させる可能性を秘めています。

しかし、ChatGPTは地球最大規模のデータベースであり、
あたかも巨大な一つの人格のように機能します。

ChatGPTに情報を学習させた場合に、それがどのように利用され、
保存され、公表されるかなど、多くの不明な点が存在します。

悪意を持った人が不正確な情報をChatGPTに学習させたり、
私的な情報を公開させると、あたかも大規模なゴシップのデータベースに
変わる危険性もあります。

このような背景を考慮し、日本の個人情報保護委員会(PPC)は、
ChatGPTを利用する日本の個人情報取扱事業者、行政機関、利用者、
そして、ChatGPTの開発元である米国のOpenAI社に対して、
個人情報保護法の趣旨に基づいた注意喚起を公表しました。

注意喚起の主要なポイントを以下に要約します。

(1)個人情報取扱事業者と行政機関への注意喚起

生成 AI サービスへの個人情報の入力は必要最小限に抑え、
その利用が特定目的の範囲内であることを確認すること。

本人の同意無しに個人情報を入力し、それが他の目的で利用される場合、
個人情報保護法違反に問われる可能性があること。

そのような場合には、その個人情報を生成 AI サービス事業者が
機械学習に使用しないことを十分に確認すること。

(2)一般の利用者への注意喚起

生成 AI サービスは、入力された個人情報が保存されて機械学習に
利用されることがあり、それが正確または不正確な形で出力される
リスクがあることを認識して利用すること。

一見正しいように見えて、不正確な個人情報を出力するリスク
があることを認識して利用すること

サービス提供者の利用規約やプライバシーポリシーを確認し、
情報入力とサービス利用の判断を行うべきであること。

(3)OpenAI社への注意喚起

本人の同意を得ずに、利用者または利用者以外の配慮個人情報を取得しないこと。
-機械学習に使用する場合には、要配慮個人情報を収集しないように、
または収集した場合でも学習用データセットにそれに含まれないように取り組むこと。
-機械学習に使用しない場合でも、要配慮個人情報は正当な理由なく取り扱わないこと。

個人情報の利用目的について、日本語で通知または公表すること

https://www.ppc.go.jp/news/press/2023/230602kouhou/

(私のコメント)

ChatGPTは世界各国のプライバシー当局が注目しており、
日本のPPCも迅速に対応しています。

皆さんもこれを参考に、ChatGPTをより安全に、
そして有意義に利用していただければと思います。

(なお、この記事も私が書き下ろした後、ChatGPTに推敲させました)

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

PPCが顔識別機能付き監視カメラの運用に関する文書を発表
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、個人情報保護委員会(PPC)が
顔識別機能付き監視カメラの利用に関する文書を発表しました。

この文書は、近年の顔識別技術の進化に伴って普及している
防犯目的の顔識別機能付き監視カメラのシステムについて、
個人情報保護法の観点から対応すべきポイントを明らかにするものです。

この文書は民間の個人情報取扱事業者を対象としており、
行政機関や警察組織による同様のシステム、
また商用目的のマーケティングシステムは対象外となっています。

この文書には、「しなければならない(違法となる)」こと、
「努めなければならない(法律上の努力義務)」こと、
そして「望ましい(違法とまではならない)」ことが記されています。

ここでは、「しなければならない」ことをいくつか紹介します。

  1. 利用目的の特定(犯罪予防、行方不明者捜索、テロ防止、万引き防止など)

  2. 利用目的の通知・公表(Webサイトへの掲載など)

  3. カメラでの撮影が容易に認識可能とするための措置(隠し撮りは不正取得になる)

  4. 利用目的の達成に必要な範囲内での識別

  5. 人の生命、身体又は財産の保護などの目的のため、本人の同意を得ることなく第三者に提供する場合の判断基準

  6. 保有個人データの開示等の求めへの対応(原則は開示対応。開示しない場合には一定の基準に基づく判断が必要)

  7. 個人データの漏えい等が生じた場合の個人情報保護委員会への報告


顔識別機能を使用することで、
カメラ映像が単なる個人情報から個人データに変わるため、
これまでよりも一段上の対応が必要になるということです。

犯罪予防や安全確保のための
顔識別機能付きカメラシステムの利用について
(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/kaoshikibetsu_camera_system.pdf

「カメラ画像利活用ガイドブックver3.0」を策定しました
(経済産業省・商用目的に適用)
https://www.meti.go.jp/press/2021/03/20220330001/20220330001.html

(私のコメント)
今や、コンビニエンスストアなどで、万引き前歴がある人を登録し、
同じ系列のどの店舗に入ってもすぐに識別できるようなシステムを
構築することが可能となっています(実際にやっているかどうかは未確認です)。

今回の文書が指針となり、顔認証カメラシステムの適切な利用が
進むことは望ましいことだと考えます。

皆さんにも、何かの参考になる情報があれば幸いです。

今後も新しい情報が入り次第、皆さんにお知らせいたします。
どうぞお楽しみに。

カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口
(画面はPRESIDENT Onlineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

日本人の多くが利用しているiPhone。
その利用シェアはさらに伸び続けています。

私もiPhoneが国内で発売されたその日から利用しており、
今や手の一部のようになっています。

何度かAndroidへの乗り換えを試み、実際に今もそれなりのものを持っていますが、
やはりメインのスマホはiPhoneです。

半導体不足や円安により、いくら値上がりしても、
手放すことのできない相棒のようになっています。

さて、そんなiPhoneに関する少し怖い内容の記事が、WebメディアのPRESIDENT Onlineにありましたので、私なりに咀嚼して皆様にも注意喚起したいと思います。

それは「iPhoneのロックを解除する6桁の数字がばれて、iPhone本体を奪い取られると、AppleIDを乗っ取られてしまい、そこに記憶させたパスワードもすべて流出してしまう」というものです。

記事の中では海外での事例として、カフェで見知らぬ人と友好的にお話をしていたら、急にiPhoneを奪われた事例が掲載されています。この人はすぐに「iPhoneを探す」で追いかけようとしたが、その段階でもうAppleIDのパスワードが変更されていて、何もできなくなり、すべて相手の思うがままにされたといいます。

どうしてこんなことになるのでしょうか?
iPhoneをお持ちの方はちょっと試してみてほしいと思います。

(1)iPhoneのロックを解除する。
(2)「設定」画面を開く
(3)一番上の「AppleID」(自分の名前が表示されているところ)を開く
(4)「パスワードとセキュリティ」を開く
(5)「パスワードの変更」を開く
(6)パスコード(通常は6桁の数字)を入力する
(7)AppleIDのパスワードを変更できる!
Image_20230331_103500_740

ということです。以前のパスワードを入力する必要がなく、
iPhoneのロックを解除するパスコードさえわかれば、
上位概念のAppleIDのパスワードを変更できてしまう。


これは怖いですね。

そして、この怖いところは、AppleIDのパスワードを変更されてしまうと、
「iPhoneを探す」も使えなくなるということです。

さらに、iPhoneに様々なWebサービスのパスワードを記憶させている場合には、
それも見られてしまいます。そして、記事の人のように銀行口座も乗っ取られて、
お金を引き出されてしまうことにもなります。

では、私たちはどのように対策すればいいのでしょうか?

(1)顔認証、指紋認証などを使用するようにする。

これにより、公衆の場所でパスコードを入力しなくてもよくなり、他人にバレる機会を減らすことができます。

(2)パスコードを6桁の数字ではなく、「カスタムの英数字コード」にする。
Image_20230331_103500_722

これにより、他人に見られたとしても少しはバレにくくなると思います。

(3)iPhoneの「キーチェーン」にはパスワードを記憶させない。

iPhoneの標準機能である「キーチェーン」を使用している人は多いと思います。様々なWebサービスのパスワードを覚えてくれる標準機能です。しかし、この機能はiPhoneのパスコードがあれば誰でも参照できてしまうため、かなり危険な機能です。キーチェーンではなく、別のパスワード管理ソフトを使用することを推奨します。

当然、私は上記(1)(2)(3)はすべて実行しています。

皆様もご注意ください。

元記事
https://president.jp/articles/-/67770

(私のコメント)
しかしまあ、Appie社は。iPhoneを奪い取って初期化して転売される事件が頻発したために、iPhoneを初期化する際にAppieIDのパスワードを必須にしたのに、そこにまた抜け道を作ってしまっていたということになりますね。

iPhoneのパスコードが分かればAppleIDのパスワードを変更できるということであれば、奪い取った場合に初期化もできて転売もできてしまうということになります。同社には素早い対応を求めたいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
(画面はGigazineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

AIの発達により、まさにその人が話しているかのような音声を生成できるようになってきています。ニュースサイトGigazineで、音声合成AIを使って金融機関の声紋認証を突破した事例が紹介されています。従来、音声合成で本人とそっくりの声を実現するには、長時間のラーニングが必要でしたが、最近のAI技術の発達により、30秒ほどの本人の音声データがあればかなりの精度で自動生成できるようになってきたため、リスクがより大きくなってきていると言います。

また、別の記事では同様に音声合成AIを使って、オレオレ詐欺を行った事例が紹介されています。従来のオレオレ詐欺はまさに「オレオレ、俺だよ」と数打てば当たる方式でやってきているわけですが、実在の人物の声のデータを使って、本人の実家に電話をかけてこれをやれば、成功確率が上がりそうです。

さらに、声だけではなく、その人の顔の動きを自動的に生成する技術も登場しており、日本のベンチャー企業HENNGEは、決算発表の動画で、社長からのプレゼンテーションにAIで作った音声と映像を採用しました。同社では、細かな文言の修正や英語版対応を容易にできる効果があったと言います。
HENNGE 2022年9月期 Q2 決算説明動画
(画面はHENNGE社Youtubeより)

これらの技術を活用すれば「政治家のフェイク演説」や「亡くなった俳優が登場する映画」などを作成することも可能になります。実際に一部そのような事象が発生していると聞いています。今後、情報セキュリティの面でも、もっと広く政治・文化の面でも、これらの音声合成・画像生成AIの技術に注目する必要があります。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
https://gigazine.net/news/20230224-bank-account-ai-generated-voice/

「オレオレ詐欺」にAI製クローン音声を用いる事例が急増、被害額は年間15億円近くに
https://gigazine.net/news/20230306-phone-scam-ai-voice/

この社長、実は「そっくりアバター」。SaaS企業・HENNGEが「分身」で決算動画作った理由
https://www.businessinsider.jp/post-255836

(私のコメント)
声紋認証と言っても、それは声の周波数帯やイントネーションの特徴などを数値化して解析して活用するのだと思われます。音声合成AIも結局は同じことをして声を生成していると思われますから、声紋認証の方が人間よりも騙されやすいという傾向があるのかなと思います。今後、同じような問題が顔認証や指紋認証など、その他の様々な生体認証でも出てくる可能性が高いのではないかと思いました。AI技術の進展に要注意ですね。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです
(画像は実際に顧客に送付された手紙と金券)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者(契約終了者も含む)の
姓(漢字、カタカナ) 、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券(クオカード)を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

(私のコメント)
500円の金券を送付することは、2004年に発生したYahoo!BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円(2021年度)とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を(金額という形で)表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

新幹線の車窓から見えた富士山
(写真は東海道新幹線の車窓から見えた富士山です)

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
 


(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
 


(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
 


(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
 


(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
 


(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
 


(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
 


(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
 


(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
 


(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
 


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-12-23_10h57_43
(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ