情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
みなさま、こんにちは。今回は、昨年12月に発表された経済産業省の個人情報保護ガイドラインの改正点について主に取り上げます。
また、今月は通常国会で個人情報保護法の改正案が提出される見込みです。昨年は、個人情報保護法改正に向けてパーソナルデータの取り扱いに関する具体的な議論が数多くおこなわれました。その多くは利活用促進の視点と、個人のプライバシー侵害への配慮などの議論が中心でしたが、次回以降、個人情報保護法改正とあわせ、パーソナルデータが企業や組織へ及ぼす影響やセキュリティについて複数回取り上げる予定です。
経済産業省の個人情報保護ガイドライン改正
昨年12月12日、経済産業省は個人情報保護法で規定する事業者の義務を明確化した「経済産業分野を対象とする個人情報保護ガイドライン」を改正・施行しました。
▼ 経済産業分野の「個人情報保護ガイドライン」を改正しました
今回の改正は、ベネッセコーポレーションの大規模個人情報漏洩事件を受けての措置で、「第三者からの適正な取得の徹底」「社内の安全管理措置の強化」「委託先の監督の強化」などが主な改正点となっています。そのうち、社内の安全管理措置の強化では、「外部からのサイバー攻撃対策」「内部不正対策の安全管理措置の項目」が追加されています。また、委託先の監督強化では、委託先の安全管理措置の確認に加え、再委託先やその先の委託先にも、同様の措置を求めているといった点に注意が必要です。
今回改正されたガイドラインは、各項目の事例が従前より詳細に記載されているため、参照すべき部分も多くなった一方、事例によっては、現時点で解釈が難しいものもあり、実際の実務にあたっては、判例等の動向を参照しながら対応していく必要があると考えられます。例えば、【個人情報に該当する事例】における「特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報」などは、パーソナルデータの積極的活用と匿名化の是非、インターネットの特性などを勘案しなければ判断しかねるということも留意する必要があります。
一般的に、ガイドラインは法的拘束力を持つものではありませんが、行政が処分などを行う際の判断基準となります。また、個人情報の漏えい・流出事故が発生すれば、個人情報保護法に基づく行政処分や民事上の損害賠償責任(集団訴訟)にとどまらず、企業の信用低下などの間接的な損害も大きくなります。更に、ベネッセコーポレーションに関するニュースを見る限りでは、同社役員に対する株主代表訴訟も検討されており、役員自身の責任を問われる事態にも発展しかねません。企業・組織は、今回の改正に合わせて個人情報の管理に関する規程の改定に加え、取引先企業との契約書への必要な条項の追加、プライバシーポリシーやサービス利用規約の改定、情報管理体制や社内ルールの見直しを検討する必要があるといえます。
利用目的の特定
利用目的の特定については「個人情報取扱事業者は、利用目的をできる限り具体的に特定しなければならない。」とされており、「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかをできる限り具体的に特定する必要がある」とされています。例としては、
- 事業活動
- お客様のサービスの向上
- マーケティング活動に用いるため
などの説明では不明確かつ不明瞭であり、掲げている利用目的が具体性に欠けると認定された場合は、法の規定違反と判断される場合があるということに注意が必要です。
※【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
事例1) 親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合
事例2) 法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合
事例3) 他の事業者に指示して上記事例1)又は事例2)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
事例4) 法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
事例5) 上記事例1)又は上記事例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
個人情報の適正取得について
また、「個人情報の取得関係」に関しては、他の事業者より取得する場合、取得の経緯を示す契約書等の書面を点検すること等が求められています。この点検は、実施しなかった場合に直ちに個人情報保護法違反となるものではありませんが、「現行の不正競争防止法21条、22条に該当する場合を逃れ得ない」(※)との警告がガイドラインに同時に記載されている点は十分認識しておく必要があります。
(※) 不正競走防止法では、秘密として管理されている事業上有用で公然と知られていないものを、不正に取得したり、不正に使用・開示した場合等の営業秘密侵害にあたる行為を行った者に対して、以下の処罰を規定しています。
- 罰則 (21条)第1項;営業秘密侵害罪:10年以下の懲役又は1000万円以下の罰金(併科可)第2項;その他の侵害罪:5年以下の懲役又は500万円以下の罰金(併科可)
- 法人処罰 (22条)営業秘密侵害罪の一部とその他の侵害罪の全部;3億円以下の罰金
- 国外での行為に対する処罰(21条4項・5項・6項)(営業秘密侵害罪、外国公務員贈賄罪)
なお、不正競争防止法の改正については、産業構造審議会知的財産分科会において現在検討中であることもあわせてご認識ください。※先週1月16日に同分科会では、営業秘密管理指針の見直し、中小企業等に対する営業秘密管理の支援のあり方及び営業秘密漏えいに対する制度の見直しについての検討結果を中間報告書としてとりまとめるにあたり、パブリックコメントの募集を開始しています。
▼ 経済産業省「産業構造審議会 知的財産分科会 営業秘密の保護・活用に関する小委員会 中間とりまとめに対する意見公募」
その他、営業秘密関連では、特許庁が先日1月19日、中小企業の技術流出を防ぐための相談窓口「営業秘密110番」を設置すると発表しました。知的財産の情報を収集している独立行政法人、工業所有権情報・研修館(INPIT)に2月2日から設けるとしています。
▼ 経済産業省「営業秘密・知財戦略相談窓口「営業秘密110番」を新設します」
不正競走防止法改正の動向や詳細については次回の「情報セキュリティトピックス」で取り上げる予定です。
不正競争防止法では「営業秘密」の不正使用等の侵害行為に対し差止請求や損害賠償請求等の法的措置をとることができますが「営業秘密」として認められるためには、同法が定める要件を満たした「情報」を適切に管理しておく必要があります。求められる管理措置やセキュリティ対策のレベル感等、どこまで施しておけば、どう運用していれば裁判で不利にならないのか、その判断を個人・社内で独自に行うのは困難です。現時点におけるその管理方法については、経済産業省より、ガイドブックやチェックシートが公開されていますので、自社の管理実態とあわせ一度ご参照ください。
委託先の監督
委託先監督義務の強化に関しては、先のベネッセ事件を受けて、より明確となっています。対策については「望ましい」としており、直ちに法違反になるわけではないものの、「委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じたときは、元の委託元がその責めを負うことがあり得るので、再委託する場合は注意を要する。」と注意を喚起しています。
委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいとしています。
ただし、委託先の業種・業態・規模・数に応じて、非効率が生じないよう、監査の手法やその確認方法については、全体の安全性を担保する方向性を探る必要があります。
参考:ガイドラインの主な改正点を抜粋
▼ 経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案(概要)
▼ 経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」改正案の新旧対照表
1)第三者からの適正な取得の徹底
- 個人情報の提供元の法の遵守状況を確認し、個人情報を適切に管理している者を提供元として選定すること
- 個人情報を取得する際には、取得の経緯を示す契約書等の書面を点検するなど取得方法等を確認すること
- 当該個人情報が適法に取得されたことを確認できない場合は、その取得の自粛を含め、慎重に対応すること
2)社内の安全管理措置の強化
- 個人情報保護管理者(Chief Privacy Officer:CPO)を設置する際には、原則として役員を任命すること
- 社内の個人データの取扱いを監督する「管理委員会」の設置をすること
- 入退館(室)の際には許可を得ていない記録機能を持つ媒体等の持ち込み等の禁止と検査の実施をすること
- カメラによる撮影や作業への立入り等による記録またはモニタリングの実施をすること
- 個人データへのアクセスの記録の手法では、システム管理者等の特権ユーザーのアクセス権限を用いても、採取した記録を改竄・不正消去できないように対策すること
3)委託先等の管理の強化
- 委託先の選定や委託先における個人データ取り扱い状況の把握について、個人情報保護管理者(Chief Privacy Officer:CPO)が適切に評価すること
- 委託先が再委託・再々委託を行おうとする場合には、委託元は、個人データの取扱方法等について、事前報告または承認を求めること等により、安全管理措置を確認すること
4)共同利用制度の趣旨の明確化
- 人・情報の共同利用者の範囲については、消費者等本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある
- 共同利用する個人データについて、取得時の利用目的をすべて、本人に通知するなどしなければならない
- 個人データの管理責任者の氏名等を本人に通知するなどしなければならない
5)消費者等本人に対する分かりやすい説明のための参考事項の追記
- 提供するサービスの概要
- 得する個人情報と取得の方法
- 個人情報の利用目的
- 個人情報や個人情報を加工したデータの第三者への提供の有無及び提供先
- 消費者等本人による個人情報の提供の停止の可否、訂正及びその方法
- 問合せ先
- 保存期間、廃棄
最近のトピックス
▼ 株式会社トレンドマイクロ「トレンドマイクロ、2014年の脅威動向をまとめたレポートを公開」
トレンドマイクロが、サイバー犯罪やサイバー攻撃など、2014年のインターネット脅威動向をまとめて解説したレポート「2014年情報セキュリティ三大脅威」を公開しています。
今回の「2014年情報セキュリティ三大脅威」では、「『標的』の多様化(法人・個人共通)」「利益をもたらす『ID/パスワード』(個人対象)」「狙われる『個人情報』(法人対象)」をトピックとして挙げ、インターネットバンキング利用者を狙った不正プログラムや、フィッシング詐欺サイトによる被害、内部犯行による組織内の情報持ち出しや、POS(Point of Sales)システムを狙った企業への標的型サイバー攻撃など、個人情報の窃取を目的とした攻撃が個人・法人を問わず幅広い対象に行われたことを解説しています
。
その他にも、大量のデータを標的のコンピューターに送りつけダウンさせるDDoS攻撃を代行する業者がアンダーグラウンドサイトで横行、機密情報を盗み出す「標的型サイバー攻撃」をされた回数が、日本は今年、世界で3番目に多かったことなども報道されています。
また、IDC Japan株式会社によると、セキュリティ対策市場は国内で18年に3004億円になり、14年の実績見込みに比べて16%増としています。http://www.idcjapan.co.jp/Press/Current/20150105Apr.html
昨年末にソニー傘下のソニー・ピクチャーズエンタテイメントがサイバー攻撃を受けるなど特定の企業を狙った「標的型サイバー攻撃」が増加傾向にあり、今後も需要が増えるとみられています。
▼ マカフィー株式会社「2014年のセキュリティ事件に関する意識調査」
本調査によれば、昨年の重大トピックスの認知度について、第1位はベネッセの情報漏えい事件の77.7%で、2260万件以上の個人情報の流出したことなどから認知度が高かったとしています。2位は振り込め詐欺で59%。情報セキュリティの観点ではソーシャルメディアなどを通じ連絡者の情報を確認してから電話をかけてくるなど巧妙さが増しているということです。3位はLINE乗っ取り被害で認知度は56.2%。現在も被害は継続しており、親密さを利用して詐欺の成功率を高めているとしています。犯行の類似性を見ると、迷惑電話や金融機関をかたるフィッシング詐欺が2位と5位で、不正入手した個人のアカウント情報(IDやパスワードなど)を悪用した「リスト型アカウントハッキング」も3位と7位、8位と複数入っており、6位「iCloudで海外セレブの写真やセルフポートレートが流出」については、iCloudがハッキングされたわけではなく、ほかのサイトからIDが盗まれそれらをもとにパスワードが破られたとしています。
サイバー攻撃対策に関する国の責務などを定めた「サイバーセキュリティ基本法」が2015年1月9日に全面施行されました。それに伴い、内閣に「サイバーセキュリティ戦略本部」が設置され、内閣官房情報セキュリティセンターは「内閣サイバーセキュリティセンター」に改組されました。サイバー攻撃の被害状況やコンピューターへの接続記録の提供を各省庁に義務付け、改善策の実施を勧告し、勧告に基づく対応の報告も求めるとのことです。
各省庁の縦割りを排除するため、従来の組織よりも権限を強化したほか、2020年に開かれる東京五輪・パラリンピックを見据えて体制を拡充し、民間の力も活用する方針とされています。
▼ 情報処理推進機構「組織外部向け窓口部門の方へ:「やり取り型」攻撃に対する注意喚起 ~ 国内5組織で再び攻撃を確認 」
標的型サイバー攻撃の手口の一つである「やり取り型」攻撃(無害なメールのやり取りの後でウイルス付きのメールを送信してくる手口)が、2014年8月から10月にかけ、再び、国内の複数の組織に対して行われたと注意喚起されています。
手口として「メールの添付ファイルを開かせるため様々に理由を取り繕う」、「時には添付ファイルを開かせることよりも、相手に自分を信用させることを優先する」と思われる行動を取るなど、一段と手口が巧妙化しているということです。
また、その他にもパソコン内のデータをロックして、解除のための金銭などを要求する「身代金要求型ウイルス」の被害が世界で広がるなか、「日本製」とみられる同型ウイルスが初めて確認されています。インターネット上に犯行予告とみられる日本語の書き込みも見つかり、警視庁サイバー犯罪対策課が情報収集を開始したとの報道もあります。
▼ 日本ネットワークセキュリティ協会「2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」
NPO日本ネットワークセキュリティ協会(JNSA)セキュリティ被害調査ワーキンググループ(WG)は、2014年12月25日、「2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」を公開しています。
同報告書によると、2013年の個人情報漏えいインシデントの漏えい人数は925万2,305名で2012年(972万65名)と大きな変化はなかったこと、インシデント件数は1,388件と前年の2,357件から大幅に減少したことなどが報告されています。また、想定損害賠償総額(※)においても1,438億7,184万円と前年の2,132億6,405万円から減少、これから算出される1件あたりの漏えい人数は7,031名、1件あたりの平均想定損害賠償額は1億926万円、1人あたりの平均想定損害賠償額は2万7,701円となったとしています。さらに、業種別のインシデント件数では、「公務」が42.3%と最も多く、「金融業、保険業」(21.2%)、「教育、学習支援業」(11.4%)と続いています。この4業種で全体の約75%を占めているということです。
一方、原因をみてみると、「誤操作」485件(34.9%)、「管理ミス」449件(32.3%)、「紛失・置き忘れ」199件(14.3%)が上位を占め、この3つで全体の約80%を占め、管理ミスの件数と割合が前年から大きく減少したことが特徴的だとしています。また2013年は、100万名以上の大規模なインシデントが発生し、かつ「情報通信業」の漏えい人数が突出して多い結果となっています。
(※)損害賠償額の試算においては、JNSA の「JO モデル (JNSA Damage Operation Model for Individual Information Leak):漏えいした情報に対して、経済的な損失と精神的苦痛の 2 つの軸で評価を行う」が分析に利用されています。
▼ トーマツ「企業のリスクマネジメント調査(2014年版)結果を公表」
監査法人トーマツのリスクマネジメントに関する調査・研究組織であるトーマツ企業リスク研究所は、2015年1月7日、「企業のリスクマネジメントに関する調査(2014年版)」の結果を発表しています。※本調査は、トーマツ企業リスク研究所が2014年5月~11月までに開催したセミナーの出席者(主に企業のリスク管理部門、コンプライアンス部門、内部監査部門の方)に対して実施したアンケート調査結果で有効回答数239社(2012年223社、2013年226社)。
優先すべきリスクの回答で最も多かったのは「情報漏洩」(31%)で、前々回(2012年)は3位、前回(2013年)は2位でしたが、2014年に数多くの情報漏洩事件が発生したことが影響しているとみられています。2位につけたのは、前回4位だった「子会社ガバナンスにかかるリスク」(29%)、3位は前回1位だった「海外拠点の運営にかかるリスク」(28%)で、企業にとって海外拠点におけるリスクマネジメントが大きな課題であり、海外拠点を所有する企業、従業員数1000人以上の企業はいずれも「海外拠点の運営にかかるリスク」を最優先すべきリスクに挙げていることが特徴的です。
▼ 日本情報経済社会推進協会(JIPDEC)「株式会社ベネッセコーポレーションへの措置通知について」
同社の事案を受けて、同社の個人情報の取扱いに関し、プライバシーマーク制度委員会による審議を経て「プライバシーマーク制度運営要領」の「プライバシーマーク付与に関する規約」第15 条に基づくプライバシーマークの付与取消し措置とすることを決定しています。
JIPDECでは、今回の事件について「委託先の監督及び安全管理措置の両面において不備があった」「幼児や小中学生などの若年層の個人情報を多数含むため、長期にわたる事故の影響が見過ごせない」などと判断し、「プライバシーマーク制度の信頼性に対しても重大な影響をもたらした」として、取り消し措置を決定したとのことです。
現在、13,852社がプライバシーマークの認定を受けており(平成27年1月19日現在)、これまでに付与の取消し(併せてプライバシーマーク使用契約解除を伴う)を受けた事業者数はベネッセコーポレーションで2社目となります。今後、PマークやISMSを取得している企業においても、より実効性のある管理が求められるといえます
最近の個人情報漏えい事故(2014年12月)
下記の表は、先月12月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 試験センター | USBメモリ紛失 | 試験の受験手数料返還の対象者578名分の氏名と住所 | |
| 2 | 県 | 書類誤送付 | 1名分の氏名と住所 | 郵送の際に別人宛て封筒に同封 |
| 3 | 都立高校 | 手帳紛失 | 生徒184名分の氏名と一部成績等 | スーパーに立ち寄った際、袋詰めする台に鞄ごと置き忘れる |
| 4 | 銀行 | MO紛失 | 顧客から預かった小切手や、各種料金の納付書などの画像4万件 | 専用シュレッダーによる誤廃棄の可能性 |
| 5 | 国立大学医学部付属病院 | USBメモリ紛失 | 患者83名分の氏名や疾患名、病室名 | 執務室内での紛失 |
| 6 | 市 | USBメモリ、書類盗難 | 担任学級の全児童の成績データを保存したUSBメモリ2本のほか、テスト答案などの書類 | 車上荒らしに遭い、車内に置いたままにしていた鞄が持ち去られた |
| 7 | 国立大学 | メール誤送信 | 学生65名分の氏名やレポートの成績 | 誤って別のメーリングリストに送信 |
| 8 | 電力会社 | 書類紛失 | 顧客145人分の氏名や顧客番号 | 電気料金集金の業務委託先職員が、集金業務中 |
| 9 | 医療センター | 書類混在 | 患者22分の氏名や生年月日、ID番号 | 患者の個人情報を含む診療情報明細書のコピーが患者配布用説明資料に混在 |
| 10 | 市立小学校 | USBメモリ、ノート紛失 | 児童37名分の氏名や写真 | 帰宅途中に飲食店など数か所に立ち寄ったところ鞄ごと紛失 |
| 11 | 県 | メール誤送信 | メールアドレス50件 | メールマガジンの配信で、送信先アドレスを誤って「To」に設定 |
| 12 | 私立大学 | メール誤送信 | 職業訓練性19名分のメールアドレス | 訓練生19人へのテストメール送信の際、送信先アドレスを誤って「To」に設定 |
| 13 | 県 | Webサイトで公開 | 965事業所の法人代表者と事業所管理者1401人分の住所や電話番号などの個人情報 |
9か月間サイトにて公開。
個人情報の掲載を指摘するメールで発覚、対象となる事業所に書面で謝罪。 |
| 14 | Webサービス | Webサイトで共有 | 125名分の氏名、住所、メールアドレス、購入履歴、クレジットカード番号下4桁・有効期限 | キャッシュの設定ミス |
| 15 | コンビニエンスストア | 配送途中で伝票紛失 | 氏名、住所を含む電気料金払込票133件、料金払込票の本部控え615件 | 配送業者による配送過程での紛失の可能性が高い |
| 16 | スポーツ協会 | Webサイト改ざん | 不明 | 改ざんされたページにアクセスすると、環境によっては外部の不正サイトに誘導される状態だった |
| 17 | Webサービス | メール誤送信 | 16万4560件の法人名や名字、ドメイン名、会員ID | メールマガジン配信のおけるミス |
| 18 | 市立小学校 | USBメモリ盗難 | 児童26名分の宿題プリントや、宿題の提出状況を記録した名簿、児童の座席表を貼ったノートのほか、通知表の所見 | 自転車の前かごに鞄を入れて走っていたところ、後方からオートバイが近づき鞄を持ち去られた |
| 19 | 県 | スタンプラリー応募箱の紛失 | 氏名や住所、電話番号、年齢、性別などが記入された応募用紙 | 同農園で大規模な模様替えを行った際に廃棄物とともに誤って処分された可能性が高い |
| 20 | 仏壇の製造・販売 | メール誤送信 | 顧客43名分のメールアドレス | 宛先にメールアドレスを記載 |
| 21 | 市 | USBメモリ、書類盗難 | 全児童の成績データを保存したUSBメモリ2本、担任学級のテスト答案、マラソン記録用紙、漢字ノートや計算ノート | 駐車場で車上荒らしに遭い、窓ガラスが割られて助手席の足元に置いていた鞄が持ち去られた |
| 22 | 市 | 書類紛失 | 13件の保護者氏名、住所、電話番号、および子供の氏名や生年月日、性別、国籍 | 子育て支援事業における保護者の訪問活動を委託している職員が、訪問先リストを紛失 |
| 23 | 県地域振興局 | メール誤送信 | メールアドレス50件 | 気象災害に関する予防情報を案内するメールマガジン配信ミス |
| 24 | 市 | 書類紛失 | 受診者の氏名や住所、電話番号、生年月日、保険証の番号、病名や病状のほか、受診者の家族の氏名、申請者の氏名、住所、電話番号、受診者との関係などが記載された申請書 | 医療費助成の一部申請書が、市役所内での発送、収受作業の過程で所在不明 |
| 25 | 医療センター | 誤配布 | 患者最大22人分の氏名や生年月日、ID番号、保険者番号、傷病名、診療開始日、月の診療実日数診療記載された明細書のコピー | 誤って検査説明書類と一緒にほかの患者に配布した |
| 26 | カード会社 | 不明 | カード会員503名分の氏名、住所、電話番号、勤務先情報、一部メールアドレスのほか、クレジットカード番号、有効期限、暗証番号、セキュリティコード、利用限度額 | 警察から情報流出の可能性があるとの連絡があり、問題が発覚 |
| 27 | 看護大学 | 誤って公開 | 継燈式の委員5人や卒業生成績優秀者2人、休学者1人、退学者2人に関する個人情報 | 公開文書の請求者より文書内に個人情報が含まれているとの指摘を受けて発覚 |
| 28 | 不動産 | USBメモリ紛失 | 顧客1740名分の氏名、住所、電話番号、年収、建築図面など | 同社が関わる案件の相手方弁護士が依頼人宅で紛失 |
| 29 | リゾート運営 | メール誤送信 | 248名分の氏名、電話番号、メールアドレス、購入プラン名、予約番号、チェックライン日 | 顧客リストを誤って添付 |
| 30 | 国立大学 | USBメモリ紛失 | 17名分の教員採用選考の応募者に関する氏名、住所、電話番号、生年月日など | 校内で紛失 |
| 31 | メーカー | 書類紛失 | 顧客の氏名、住所、電話番号、生年月日、メールアドレス、キャンプ場ウェブサイトのログインパスワード、緊急連絡先のほか、家族登録の場合は家族の氏名が記載された用紙714件 | 誤って不要書類とともに廃棄した可能性が高い |
| 32 | 県立高校 | メール誤送信 | 2年生365人の氏名と性別、および2年生160人の世界史の成績情報 | 教諭が業務を自分の教科準備室で行うため、生徒の個人情報や成績など含むファイルを職員室のパソコンからフリーメールを利用して送信したが、その際にメールアドレスの入力を誤り、第三者に送信された |
| 33 | 通信社 | 不正プログラム感染 | 顧客リストの3つにある会社名・担当者名・住所・電話番号・メールアドレスで最大17000件 | |
| 34 | 出版社 | Webサイト改ざん | 不明 | 同社の契約管理会社のドメイン上のフィッシングサイトにひっかかり、サーバがダウンし、その後復旧したが復旧が不十分であったことによりHPが外部から不正アクセスを受け、サイトが改ざんされた |
| 35 | 県 | 書類紛失 | 難病医療費助成制度更新認定審査のために提出された個人情報含む特定疾患意見書1名分 | |
| 36 | 銀行 | 書類紛失 | 都税事務所で納付された都税の「納付書兼納入済通知書」20件 | データ入力業務の再委託先で紛失 |
| 37 | 銀行 | 書類紛失 | 顧客の氏名、住所、口座番号、取引金額などが含まれる取引票約4500件 |
あくまで当社の調べた範囲ですが、10月(25件)、11月(25件)と比較して12月(37件)は事案が多く発生しています。年末年始によく注意喚起される外部からの不正アクセスやマルウェアに感染したという事案が特別増加したというわけではなく、原因としては表向きにはミスや過失とされるものが挙げられています。
企業・組織における情報漏えいの要因は、USB メモリ等の記憶媒体の紛失や従業員のデータ持ち出し、紙媒体紛失等の内部要因によるものが依然として(例年通り)多くの割合を占めています。持ち出しによる情報漏えいは、明文化されたルールがあるにも関わらず、日常的にルールを逸脱する行為の「自己正当化」「ルールに対する規範意識の麻痺」がその背景にあります。厳密にルールに照らせば正しくないという認識を持ちつつも、提出期限や納期などのやむに止まれぬ事情から、「作業・仕事を早く終わらせたい」という現実的な要請があり、その行為を日常的な行為として、いわば実務慣行として定着化していってしまうということもあります。そうしたルール違反の感覚が希薄化(「麻痺」)し、次第に標準化され、ローカルルールとして「正当化」されてしまう状況が、頻発する情報漏えいの背景にあると考えられます。
「32」は、教諭が個人のフリーアドレスを利用したことによって結果的に生徒の個人情報を第三者に送信してしまった事案です。私的メールアドレスの使用に関するルールの有無はわかりませんが、日常的に業務情報を添付して自宅、職場で利用していたことが推測されます。情報共有のツールはフリーのメールアドレスだけではありません。データストレージ機能を有するクラウドサービスや、個人が持ち歩く私物のモバイル装置や私物のスマートフォンも多くの現場では企業のセキュリティポリシーに違反し、利便性を重視したデータの取り扱いが行われていることが浮き彫りとなっています。また、そのような働き方(自宅で業務をしなければならない)に対して、会社が何らの手立てをしないことは、事案発生後、厳しく糾弾されることになりかねません。当人に悪意はないとしても、セキュリティポリシーの強化を実現しつつ、現場での利便性を兼ね合わせた代替ツールを検討するといった対策が必要となるといえます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail: souken@sp-network.co.jp
TEL: 03-6891-5556
