プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

キーワード:ベネッセを含む記事

松井証券_SCSK事件
(画像は両社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

オンライン証券大手の松井証券株式会社から、システム開発業務を受託していたSCSK株式会社の社員(当時)が、業務上知りえた松井証券の顧客情報を利用して、松井証券のサービスに不正ログインし、2億円以上を着服していた事件が発生しました。

同社員は、松井証券の顧客データベースから本物の「ログインID」「パスワード」「取引暗証番号」などを盗み出して悪用し、顧客と同姓同名の銀行口座を不正に作成して現金の引き出しに利用していたとのことです。

この社員は電子計算機使用詐欺罪等の容疑で警視庁に逮捕され、また懲戒解雇されているとのことです。この事件は、実際に行われたのが2017年〜2019年であり、発覚したのが2020年とのことですが、捜査に協力する必要性からこれまで公表が控えられていたとのことです。

松井証券のリリース
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
SCSKのリリース
https://www.scsk.jp/news/2021/pdf/20210324.pdf

(私のコメント)
まあ恐ろしい事件ですね。ベネッセ事件でもそうでしたが、システム開発や運用を実際に行う人が悪意を持って動くとこういうことは起こりえると言えるのかもしれません。ただし、パスワードや取引暗証番号はハッシュ化(復号できないように変換すること)して、顧客本人以外には分からないようにするなど、出来心を許さないシステムにすることが重要なのだと思います。

また詳細は公表されておらず真相は不明ですが、同姓同名の銀行口座をどのように不正に作成したんでしょうね。特殊詐欺対策もあり、銀行口座を作る際のチェックは厳しくなっています。もしかして顧客が登録した本人確認書類を一部利用した可能性もあるのかなと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




キャプチャ

いわゆる「名簿屋」については、ベネッセ事件において流出した大量の個人情報を買い取り、転売することで、結果的に被害を拡大させたこともあり、今回の個人情報保護法の改正でも名簿屋対策が一つのテーマとなっています。しかし、その実態はこれまであまり明らかにはなっていませんでした。

今回、消費者庁が名簿屋を対象とした本格的な調査を実施し、報告書を公表しています。非常に興味深い内容となっています。

(気になるポイント)
・名簿屋は小規模な企業が多く、経営者を含めて2〜4名程度が多い。DM発送代行などを行う事業者でも10名程度。
・取り扱う個人情報データベースは、同窓会名簿や会員名簿など冊子形式の名簿と、電子的データベースの2つに大きく分かれる。
・電子的データベース化された個人情報を、調査を実施した全ての名簿屋が取り扱っており、6000万件〜1億件強を有している。電子的データベースには、平成18年以前に収集された住民基本台帳に基づくデータも多数含まれているが、住所変更や結婚、死別などがあるため、郵便物の発送に利用できるのは4分の1程度である。
・近年、新しいデータが持ち込まれることが減少しており、データの鮮度が落ちている状況にある。
・ベネッセ事件で流出したリスト(800万件)は、業者間での転売価格が5万円(1件0.06円)〜16万円(1件0.02円)であった。
・名簿の販売先は、不動産会社、営業代行会社、テレマーケティング会社、健康食品、化粧品、宝飾品販売会社など、富裕層をターゲットとするビジネスが多い。また、学習塾、教育産業、自動車教習所、成人式向けの呉服販売など、特定のニーズに合わせた個人情報の販売も行われている。
・一回の売買で販売する個人情報の件数は数千件〜数万件程度の取引が多い。
・個人情報の販売単価は10〜15円程度が相場。
・名簿を提供した事業者を経由して、本人から苦情やデータ削除の要求が来る場合があるが、年に数十件程度であり、減少傾向にある。
・名簿屋の業界団体として「日本個人データ保護協会」が存在しており、第三者提供の停止等の要請に対して、加盟会員間で共有される仕組みがある。
・Webサイト上において、オプトアウトによる第三者提供に関する事項の公表に関して、必要な記載事項を掲示していない業者が多くみられるという。
・プライバシーマークなどの第三者認証を取得している名簿屋は皆無。

http://www.caa.go.jp/policies/policy/consumer_system/other/
http://www.caa.go.jp/policies/policy/consumer_system/other/pdf/160325_consumer_system_other.pdf

(私のコメント)
個人情報保護法が施行されて10年が経過する中で、名簿屋ビジネスはしぶとく生き残っているものの、やはり少しずつ弱体化していっているようです。改正個人情報保護法で規制が強化されることもあり、今後はコンプライアンスを徹底的に行うこと以外に、生き残れる道はないものと思います。





30
(画面は書類送検された名簿業者のWebサイトより)

報道によりますと、警視庁は、3月30日付で、昨年発生したベネッセ事件において、流出した個人情報を買い取った名簿業者の代表者と法人を不正競争防止法違反(営業秘密の取得・開示)容疑で書類送検したとのことです。

同社は、すでに起訴済みの被告から10回以上にわたり、のべ1億7800万人分の顧客データを約280万円で買い取り、50社以上に約1,600万円で転売したといいます(ベネッセによると、重複データを削除したデータの総数は約3,500万件だったと説明されています)。

今回の送検は、ベネッセ社からの告訴によるものとのことです。

(私のコメント)
ベネッセ事件を受けて、現在進められている個人情報保護法の改正においては、個人情報の不正な持ち出しやそれを買い取ることに対する規制の強化、記録保存の義務化、処罰の厳格化などが予定されています。不正な方法で名簿を流通させる名簿業者という商売は、今後は収束の方向に向かうのではないかと思います。



34
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、昨年発生したベネッセからの大規模な個人情報の流出事件を総括した文書を発表しました。

これは「顧客情報の大規模な漏えい事故への対応について」というタイトルの文書であり、冒頭の部分で今回のベネッセ事件以降の対応と、同社に対してプライバシーマーク付与の取り消しを行ったことを説明しています。

そして、JIPDECとしては、今後の同様な事件の再発を防止するために、
(1)より一層厳正な審査の推進
(2)個人情報の漏えい事故などの発生に際し速やかに措置判断を行う枠組みの検討
(3)政府の指針に対応した審査基準の迅速な見直し
を行うとしています。

http://privacymark.jp/news/2015/0121/index.html

また、同様の趣旨と思われる文書がプライバシーマーク取得事業者にも送付されているようです。

(私のコメント)
私も「より一層厳正な審査の推進」については大賛成です。ただし、重箱の隅を突くような方向性ではなく、あくまでも各事業者における実際のリスクを小さくするために最も効果的な対策を取るという方向性で厳しくしていっていただきたいと思います。

過去のベネッセに関連する記事はこちら

35
(画面は同社プレスリリースより)

昨年、大規模な個人情報流出事件を起こした株式会社ベネッセホールディングス(岡山県岡山市)が、1月15日に情報セキュリティの専門会社である株式会社ラック(東京都千代田区)との合弁会社を設立したと、同日付で発表しました。

これは、昨年9月の再発防止策の発表の際に、データベースの保守・運用については、情報セキュリティの専門会社である株式会社ラックとの合弁企業を設立して担当させ、グループ外への業務委託は行わないようにするとの内容が含まれていたものが、実行されたものです。

新会社は、ベネッセが7割、ラックが3割の出資で設立され、高いセキュリティレベルと運用効率を両立させるとしています。本格的なサービス開始は4月1日の予定です。

http://www.benesse.co.jp/customer/
http://www.benesse.co.jp/customer/bcinfo/pdf/20150115release.pdf

(私のコメント)
ベネッセ事件という大規模な事件を受けて、再発防止するために何をすべきなのか、両社が真摯に考えた結論がこのデータベース管理専門の合弁会社を作るということなのだと思います。取り組みに注視したいです。

5b5e6059960d5d848857327d4181effd_m

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

昨年12月に経済産業省が改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、ベネッセ事件での流出の状況を受けて、「委託先の監督」が改正の大きなテーマになっており、その中には「再委託先の監督」が含まれています。今回はこの点に絞って解説いたします。

従来、あくまでも再委託先の監督責任を一義的に負うのは委託先であり、再々委託先の監督責任を一義的に負うのは再委託先であるということから、再委託先、再々委託先への監督という考え方はあまり一般的ではありませんでしたし、ガイドラインでも「再委託の際の委託元への文書による報告」を求めている程度でした。

それが今回の改正では
・委託先が再委託する場合には、委託先から、事前報告または承認の申請を求める。
・委託先を通じて、または必要に応じて自らが、再委託先に対して定期的な監査を実施。
・再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする

となり、大幅に強化されました。

「再委託先を監督する」とはどういうことなのだろう。私も最初はピンと来ませんでした。昨年12月の経産省ガイドライン改正説明会の第二部で、IPAの方から「組織における内部不正防止ガイドライン」の説明を聞いていた時に、下記の絵が出てきて「あ、これだ」と思いました。

55
(画面はIPA「組織における内部不正防止ガイドライン」より)

すなわち、従来は最初の委託先だけは委託元が監督するものの、再委託先は委託先が監督するもの、再々委託先は再委託先が監督するものとなっていて、入れ子構造になっていたわけです。階層が深くなるほど、最初の委託元から遠い関係になり、チェックが甘くなるリスクが存在していた。

今後の方向性としては、委託元が委託先、再委託先、再々委託先に関しても監督することで、委託元がリーダーシップを発揮して自分の配下の事業者全てに目を光らせようというものです。

ここで注意すべき点が2つあります。
(1)今回の改正では、再委託先の監督はあくまでも「望ましい」ことの一つとされましたから、まだ事業者としての「義務」ではありません。ただし、今後の方向としてはこちらに進んでいくということです。
(2)とはいっても、中間の委託先にも再委託先、再々委託先を監督する必要があるわけですし、無計画に各社が自社の配下の事業者全てに監査を行おうとすると監査の回数がいたずらに増加し、非効率が発生する可能性があります。委託元と委託先ということは、すなわち取引関係にある訳ですし、共存共栄を目指す関係にあるはずですから、事前に調整を行うことで、効率よく、全体の安全性を担保する方向性を探る必要があります。

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf
IPA「組織における内部不正防止ガイドライン」第2版
http://www.ipa.go.jp/files/000041054.pdf

(私のコメント)
2015年1月現在、まだ議論が進んでいる途中の【個人情報保護法2015年改正】と、すでに確定済みの【経済産業省ガイドライン改正】の2つの話が同時に進行しています。本Blogでは、なるべく明確に分けて記事を構成するようにしていますが、読者の皆様もしっかりとどちらの話なのか区別して頂いて、混乱しないようにしてください。よろしくお願いいたします。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2014-12-12-18-51-00
(画面はガイドラインの表紙)

経済産業省は、12月12日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂版を発表しました。

経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂のポイントを簡単にまとめておきます。

1)委託先の監督の拡充
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨

2)安全管理の強化
望まれる手法の例示に下記を追加。
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマホ、PC等の記録機能を有する機器の接続制限と機器の更新への対応
・入退館(室)の記録の保管
・私物媒体/機器の持ち込み禁止又は検査の実施
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・管理者権限の分割
・アクセスログについて、速やかに外部に移動する、また管理者でも変更できないようにするなどの対策
・管理者によるアクセス状況を特に注意して監視すること
・許可していないソフトウェアの導入を防止する対策
・監視システムの設定の確認と定期的な動作確認

3)適正取得のための措置の追加
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨

4)新たな脅威に備えたセキュリティ対策手法の例示の追加
・ワンタイムパスワードの採用
・システムへのアクセス制御に加えて、データベースへのアクセス制御も行うこと

5)共同利用制度の趣旨の明確化など
・共同利用は「本人から見て当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある」場合のみ適用されるとの考え方を明記

6)消費者に対する分かりやすい説明のための参考事項追記
・利用目的の明示にとどまらず、さらに消費者に対して分かりやすく個人情報の取扱いについて説明するための記載項目を例示

7)その他
・「雇用管理分野における個人情報保護に関するガイドライン」に対応して、雇用管理情報の定義の明確化と、機微な情報が含まれることに配慮した取り扱いの徹底
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

(私のコメント)
ベネッセ事件を受けての見直しになっており、大変時機を得た、内容的にも適切なものと思います。このガイドラインを更新し続けている経済産業省の努力には頭が下がります。



20141126_225452
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、先日大規模な個人情報の流出事件を起こした株式会社ベネッセコーポレーションに対して、11月26日付で「プライバシーマークの付与取り消し」とすると発表しました。

http://privacymark.jp/news/2014/1126/index.html

プライバシーマーク制度における欠格事項及び判断基準
http://privacymark.jp/reference/pdf/pmark_guide/PMK510.pdf

(私のコメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者の過失(運用の不備、設備の不備、監督責任など)による事故として最も厳しいレベルであったということになります。非常に厳しい判断となりますが、今回の事件の影響の大きさから言って適切ではないかと思います。

(過去の当Blog記事)
ベネッセ事件>JIPDECがジャストシステムに対する勧告措置を発表
http://www.pmarknews.info/archives/51958023.html
6月に大規模障害を起こしたファーストサーバへの措置が「注意」に留まる
http://www.pmarknews.info/archives/51871395.html
三菱電機インフォメーションシステムズ事件>プライバシーマークが一時停止(2ヶ月)に
http://www.pmarknews.info/archives/51672171.html
大日本印刷事件>プライバシーマーク認定取り消されず、「要請」にとどまる
http://www.pmarknews.info/archives/50656592.html

image
私は、10月31日まで幕張メッセで開催される「情報セキュリティEXPO《秋》」会場に来ています。

業界の雄、エムオーテックス社が今回も入り口入ってすぐのところで大きなブースを構えています。

同社は今回、主力製品のLanScopeCatの最新版であるVer 8.1のお披露目をしています。今回のバージョンアップの最大のポイントは、スマホでのデータ持ち出し対策の強化とのことです。

ベネッセ事件で悪用されたというスマホの新しい転送方式であるMTP方式に対応し、接続検知やデータ書き込みの制御、データ書き込みのログ取得などに対応したとのことです。

その他にも、OSX(Mac)対応が強化され、Windowsと同じ画面で一律管理ができるようになったそうです。業務上、Macの利用が求められる企業のセキュリティ対策に役立つものと思います。

この他、同社では「NO MORE情報漏洩プロジェクト」の一環として、スマホの管理システムであるLanScope Anの無償提供も始まっています。

http://www.lanscope.jp/an/free/

あわせて注目されます。

07
(画面はJIPDECのWebサイトより)

ベネッセから流出した個人情報を名簿屋を介して購入してダイレクトメールを送信した株式会社ジャストシステム(徳島県徳島市)に対して、一般財団法人日本情報経済社会推進協会(JIPDEC)は、10月10日付でプライバシーマーク制度における「勧告」措置とすると発表しました。

プライバシーマーク制度では、個人情報の取扱における事故が発生した場合には「欠格レベル」に応じて下記の措置を取ることとなっています。

欠格レベル10  「付与の取消」
欠格レベル8、9 「付与の一時停止」
欠格レベル6、7 「勧告文書の発行」
欠格レベル1〜5 「注意文書の発行」

今回の「勧告」は、マークの一時停止を伴わない措置の中では最も厳しい措置となっています。

http://privacymark.jp/news/2014/1010/index.html
プライバシーマーク制度における欠格事項及び判断基準

(私のコメント)
ジャストシステムは、名簿を購入した際にその正当性をしっかりと確認しなかったことは事実であるものの、自社には道義的責任以上の問題はないとして、謝罪なく幕引きをはかってきました。しかし、やはりプライバシーマークを管理するJIPDECとしてはそれなりの対応を取ったといえると思います。ジャストシステムにも、しっかり再発防止策を取っていただきたいと思います。



26
(画面は経済産業省Webサイトより)

経済産業省は、大規模な個人情報流出事件を起こした株式会社ベネッセコーポレーション(岡山県岡山市、以下、ベネッセと省略)に対して、9月26日付で個人情報保護法第34条に基づく「勧告」を実施したと発表しました。下記に内容を要約します。

今回、経産省は、ベネッセにおいて下記の法律に違反した2つの行為があった。
1)個人情報の安全管理措置義務違反(法第20条)
 具体的には、個人情報の利用と管理に責任を持つ部門を設置していなかったことは、安全管理措置を怠っていたことになる。
2)委託先の管理監督義務違反(法第22条)
 具体的には、委託先に対して定期的な監査を行った際に、今回の流出経路となった情報システムを監査対象としていなかったことは、委託先の監督を怠っていたことになる。

そして、今回のような自体の再発を防止するための再発防止策を実施し、その具体的な内容を10月24日までに報告することとされました。

http://www.meti.go.jp/press/2014/09/20140926002/20140926002.html

(私のコメント)
個人情報保護法が施行されて9年になりますが、個人情報保護法に基づく「勧告」が出されるケースは本当に少なく、経済産業省としては3社目になるのではないかと思います。ベネッセにはとにかく再発防止策をしっかりやっていただきたいと思います。

34
(画面は経産省発表文書)

経済産業省では、9月26日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂案を発表し、10月28日までパブリックコメントを募集しています。

経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂案のポイントを簡単にまとめておきます。

1)安全管理措置
望まれる手法の例示に下記を追加。
・入退館(室)の記録の保管
・個人データの監視システムの定期的な確認
・アクセスログについて、不正が疑われる異常な記録の存否の定期的な確認
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・私物媒体/機器の持ち込み禁止又は検査の実施
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマートフォン等の記録機能を有する機器の接続制限と機器の更新への対応
・直接雇用関係にない派遣社員なども教育訓練の対象者に含める

2)委託先の監督
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査(最低年1回)と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨

3)適正取得
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨

4)その他
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595114087&Mode=0
今回の主な改訂点
新旧対照表

(私のコメント)
ベネッセ事件を受けての見直しになっていますが、内容的には概ね適切なものと思います。今年いっぱいはこれで乗り切って、来年は個人情報保護法の大幅改正が来るものと思います。


↑このページのトップヘ