情報セキュリティ トピックス

個人情報保護法改正の動向と論点

2015.02.18
印刷

総合研究部 上席研究員 佐藤栄俊

個人情報保護のイメージ画像

個人情報保護法改正の動向と論点

 パーソナルデータの利用拡大策をめぐる個人情報保護法の全面見直しについて、官邸のIT戦略本部は昨年12月19日、改訂の「骨子」を発表しました(現在開会中の国会で改正案を提出)。

 骨子ではパーソナルデータのうち、氏名や住所を削除するなどして個人に結びつけることができないよう加工したデータについて、本人の同意がなくても第三者に提供したり、取得時の目的以外に利用することができるとする方針を示しています。改正案は、膨大な個人情報を「ビッグデータ」として企業などが活用する際の基本指針となりますが、昨年6月に有識者の検討を「大綱」にまとめた段階から未だに、主要論点の詰めや根拠が示されていない点も目立ちます。個人情報の定義や利活用の範囲に対する具体的な処理基準は、新設の独立機関である「個人情報保護委員会が規則で定める」としており、匿名化や識別性についての肝心な議論が先送りされた形となっています。現状では、大綱案で検討されながら見送られた項目も多く、基本原則や骨組みが不透明であり、まだ多様な論点と争点を含んでいるといえます。

 今後、個人情報保護法改正にあたり、情報の活用や流通に対する委縮の動きや、管理・プライバシー面での過剰反応も予想されます。事業者としては、今回の検討・改正により、消費者のプライバシー保護と情報の安全性を確保しつつ、パーソナルデータの利活用を現在より進めやすくする環境が整備されることが望まれます。

※本日(2015年2月18日)、2月16日に開催されたIT総合戦略本部のマイナンバー等分科会で、個人情報保護法と行政手続き番号法(マイナンバー制度)の改正案の概要を公表したとの報道(朝日新聞など)がありました。報道によれば、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化(身体的特徴や個人に発行される符号などが該当)」に、「利用目的の制限の緩和」は、「利用目的の変更を可能とする規定の整備」に変更されたとしています。また、企業が個人にオプトアウト(利用停止)の手段を用意すれば一定の条件で目的外利用ができる、とした骨子案の文言は削除されたということです。
今回のレポートは、昨年12月の骨子案をもとに作成しておりますが、最新の原案や骨子案からの変更点、審議の進捗等につきましては、あらためて「情報セキュリティトピックス」にて取り上げたいと思います

定義と活用の範囲

 規制の対象になる個人情報の定義が、現行法では氏名、生年月日、住所などから特定個人が識別できる記述(容易照合可能なものを含む)とされていますが、骨子においては,

①特定の個人の身体の一部の特徴を電子計算機の用に供するため変換した符号

例示:指紋や顔認識データなど身体特徴を変換した符号

②対象者ごとに異なるものとなるように役務の利用、商品の購入、または書類に付される符号

例示:携帯電話や旅券、運転免許証番号など個人向け販売やサービス提供などで発行される番号

 などを政令で定め、保護対象に組み入れるとしています。

 大綱案では、②のID番号類は例示していませんでしたが(※特にビッグデータ活用を推進するネット業界などの抵抗などで)、骨子に追加され、その上でパーソナルデータ活用のため個人が識別できないように処理すれば、「匿名加工情報」として本人同意なく外部提供できる仕組みを導入するとしています。

※2014年1月21日、ヤフーは記者説明会を開催し、ビッグデータ活用を推進する立場から、骨子に対する懸念点として同社が考える「成長戦略としてのプライバシー保護のあり方」について、「現在の制度見直し方針案にはデータを活用している事業者の意見が反映されておらず、データ利活用の過剰な規制はビッグデータ関連ビジネスの足かせとなり、日本のIT産業を衰退させる恐れがある」と警戒しています。

利用目的の緩和

 新たなデータ活用サービスに柔軟に対応できるように利用目的変更手続きを緩和し、取得時に変更の可能性を通知・公表しておけば、同意なく変更が可能となるとしています。骨子では、条件付きで事前同意なく利用目的を変更できる条件として、次の4つを挙げています。

 ①個人情報取得時に「将来変更することがある」と公表しておく

 ②変更の内容をサイト等で公表

 ③本人の求めで利用停止できる方法を用意する

 ④個人情報保護委員会に届け出 ※公表方法が不適切なら委員会が勧告・命令

 現行法の規定は取得時に利用目的を通知・公表、また変更には同意が必要ですが、現在の上記4項目の内容では具体性を欠き、解釈や消費者の捉え方によっては、想定外の利用拡大に対する懸念を生む可能性があります。

 Suica乗降履歴販売問題では、特定個人を識別することが可能なデータであったと考えられる以上、本人の同意またはオプトアウト手続きをせずに第三者に提供したことは、法令違反ではないかという問題提起がなされました(また、一般消費者からは、「知らないうちに、勝手に・・・」「なんだか気持ち悪い・・・」との声が多く挙がりました)。

 その他にも、読売新聞は「利用目的の制限緩和」について、今改正の大きな目的の一つだった「欧州連合(EU)の十分性認定問題」の解決が、危うくなってきたと報じています。

▼ YOMIURI ONLINE 2015年1月30日IT&メディア レポート「個人情報保護法改正案が波紋…海外の顧客データ活用 遠のく?」

※EU は「個人データの保護措置が十分」と認めた国にしか域内の個人情報の移転を許していませんが、日本は未認定のままです。このため、日本企業は個別の契約を結ぶなどしないと、欧州の子会社から本社に従業員名簿を送ることさえ出来ません。顧客の購買履歴などが大きな商機を生む時代だけに、「競争力強化に十分性認定は欠かせない」(経団連)状況だといえます。

十分性認定

 個人データが国を超えて活用されるケースが増えていますが、EUではデータ保護指令により域内の個人データについては「十分なレベルの保護措置を確保している国」以外、原則として移転を認めていません。データ移転を希望する国はEUに「十分性」を審査して、認定してもらう必要があります。

▼ 消費者庁「個人情報保護制度における国際的水準に関する検討委員会・報告書」

 EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、また、2002年には「e-プライバシー指令」が施行され、2009年に改正されています。特に電子通信部門に関する個人データ保護指令の特則となっており、EU各国はこれらをベースに独自の法律を制定しています。

 現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されています(旧植民地、タックスヘイブン:租税回避地といった特徴があります)。

 米国は認定されていませんが、セーフハーバー協定で十分性認定を受けて企業レベルでの移転を可能にしています。これは、セーフハーバー原則を遵守すると自己宣言する米国企業に対して、「十分なレベルの保護」を行っていることを認めるという協定です。

 米国のIT企業では、Google、Amazon、Salesforce.com、Facebook、Microsoft、Appleなどが宣言しています。(具体的には、企業が当該規制遵守を自己宣言し、米国商務省が認証、企業名を「セーフハーバーリスト」に公示。違反企業は連邦取引委員会(FTC)が不公正取引として制裁する仕組みで運用されています。)

 これにより、米国のクラウドベンダーはEUの個人データの移転が可能となるわけですが、日本企業は米国商務省の認証を得られませんので不可ということになります。

 米国のこのセーフハーバー・スキームは、米国商務省が中心となりセーフハーバー原則と呼ぶ自主規制を策定しEUとの交渉で認めさせたという経緯があり、米国の戦略的な外交・ロビー活動を背景として政治的な妥協によって生み出されたとしています。一方で、米国の自主規制の枠組みはEUの産業界や市民から批判の的となっており、セーフハーバーの認証制度や自主規制の改善が重要事項として位置付けられています。昨年には、EUと米国の首脳会談において、共同声明の中でセーフハーバーの見直しに言及しています。セーフハーバーは理想的なモデルではなく、米国以外のセーフハーバー締結は極めて非現実的であるのが現実だということです。

▼ 消費者庁「個人情報保護における国際的枠組みの改正動向調査」

 日本は、EUからプライバシー保護が十分であるとは認められていないため、事業者は特別な契約をEU構成国の第三者機関と交わさない限り、EU市民のパーソナルデータを、日本のサーバーに保存することができません。厳しいEUのパーソナルデータ保護制度のうち、データ越境移転に係る規制は、日本にとって、EUとの交易に直接的に関わってくる長年の懸案事項となっています。なお、EUのデータ保護指令による第三国移転に関する条項では、EU域内の管理者からEU域外(第三国)の管理者又は処理者への個人データ移転は以下の場合に限って可能であるとしています。

①欧州委員会による第三国の十分性認定

②標準契約条項

③BCR(拘束的企業準則)

④他の例外

 例えば、EU加盟国に事業所(支社・支店・現地法人など)を持つ日本企業は、現地雇用の従業者の人事情報を日本に持ち出す必要がありますが、その際は全ての現地側事業所と日本側本社との間で欧州委員会の定める標準契約条項(SCC:Standard Contractual Clauses)に基づいた契約を締結するか、全ての従業員に説明して書面で了承をもらう必要があるなど日本企業は、欧州子会社の従業員や顧客のデータでさえ、個別に契約手続きなどを行わなければデータを移せないということです。

 その他にも、EU域内に設置した設備(サーバーなど)やEU域内個人から収集した個人情報(ID、利用履歴、購買履歴、移動履歴、位置情報)を日本に移転して分析・活用したい場合にも制限があり、十分性認定がない現在の状態でのEUからのデータ移転については、データ保護指令に違反し、罰金などのペナルティを科されるリスクがあるため注意が必要です。なお、ルール違反には最大1億ユーロ、または世界売上高の5%という高額の罰金が科されるということも留意する必要があります。

個人情報の適正取得

 ベネッセコーポレーション事件を受けて急遽盛り込まれたのが、個人情報データベースの取得時の経緯確認と記録保存義務、従業者に対する不正利益目的の提供罪の導入です。「個人情報データベース提供罪」を設け、名簿業者の従業員などが個人情報を不正な手段で取得し、不正な目的で第三者に提供した場合は処罰対象とするとしています。

 その他、人種・信条・病歴・犯罪歴・犯罪被害情報など社会的差別につながりかねない情報の取扱いは、欧州でも機微情報として制限があり、これにならい「要配慮個人情報」として取得時に本人同意を求め、それがない場合は、第三者提供を禁止としています。現行の個人情報保護法には、個人のプライバシーに大きく影響するともいえる、いわゆる機微情報を特に保護する規定はありませんが、実務面では、JISQ15001:2006で、上記のような機微情報の取り扱いを原則取得禁止としていたように改正法でも同様の取り扱いが導入されることになっています。

 また、本人同意を得ないで第三者に提供する場合は、オプトアウト(利用停止)の受け付け方法などを個人情報保護委員会に届け出ることを義務付けており、その内容は個人情報保護委員会が公表しなければならないとしています。専門・中立性を備え、調整機能として期待されているのがこの個人情報保護委員会で、事業者に対して横断的に個人情報の取扱いに関する監視・監督、事前相談・苦情処理、基本方針の策定・推進と認定個人情報保護団体の監視・監督、国際協力などの業務をすることとなります。具体的に骨子には、この第三者機関である個人情報保護委員会には、強力な権限・機能が付与されること以下のように明示されています。

 「現行の主務大臣が有している個人情報取扱事業者に対する権限・機能(助言、報告徴収、勧告、命令)に加えて、指導、立入検査、公表等を行うことができることとするとともに、現行の主務大臣が有している認定個人情報保護団体に対する権限・機能(認定、認定取り消し、報告徴収、命令)を有することとする。」。

 今後は、これだけの権限が付与された個人情報保護委員会の体制や人員、事業者に対する監視の実効性が問われることになります。

【個人情報保護委員会】

マイナンバー制度の特定個人情報保護委員会を改組して「個人情報保護委員会」を新設。(主務大臣に報告徴収や立ち入り検査の権限を委任)

【特定個人情報保護委員会】

「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」(通称:番号法)では、マイナンバーを含む個人情報の外部への漏えい等の懸念に対処するため、マイナンバーを含む個人情報を「特定個人情報」と定義し、個人情報保護法令の規定に加え、特定の規定を設けています。番号法で規定された場合を除き、特定個人情報を収集、保管することや、特定個人情報ファイルの作成が禁止されています。また、特定個人情報保護委員会による監視・監督等の制度上の保護措置や、特定個人情報の提供・照会は原則として情報提供ネットワークシステムを用いることとするなどのシステム上の安全管理措置が講じられています。制度上の保護措置の一つとして、特定個人情報の安全管理措置の義務付けに加え、特定個人情報保護評価措置の制度が導入されています。
マイナンバーに関わる個人情報保護がきちんとおこなわれているかを監視・監督する機関として特定個人情報保護委員会は、マイナンバーに関する監視・監督をおこなうことになっており、他の省庁等から独立した特別の組織になっています。ちょうど、企業間の取引が公平公正におこなわれているかを監視する公正取引委員会と同じような位置づけであり、この委員会のもとでさまざまな情報管理の枠組みが作られていきます。

委託先管理

 個人情報保護法では、個人情報取扱事業者に対し、保有する個人情報を安全に管理することを求めています。そこでは、自社内の管理体制のみならず委託先の監督義務についても言及しており、業務委託先の安全管理体制に対する監督を怠れば法に抵触することとされています。

 しかし、現行法及び改正案の骨子では、具体的な対策には言及していませんので、個人情報保護法で規定する事業者の義務を明確化した「経済産業分野を対象とする個人情報保護ガイドライン:2014年12月12日改訂」を参照する必要があります。一般的に、ガイドラインは法的拘束力を持つものではありませんが、行政が処分などを行う際の判断基準となります。

 委託先監督義務の強化に関しては、先のベネッセコーポレーション事件を受けて、より明確となっています。対策については「望ましい」としており、直ちに法違反になるわけではないものの、「委託元が委託先について『必要かつ適切な監督』を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じたときは、元の委託元がその責めを負うことがあり得るので、再委託する場合は注意を要する。」と注意を喚起しています。

 これまでもガイドラインの中で委託先の評価選定、取り扱い状況の把握等が求められていました。今回の改正では、委託先の安全管理措置の実施が十分であることを確認し、また委託先がべつの事業者に再委託する場合には、事前に承認を求めるように指示するとともに、再委託先の安全管理措置の実施が十分かどうかを確認する(再々委託先以降も同様)必要があるということです。

①委託先の選定や委託先における個人データ取り扱い状況の把握について、個人情報保護管理者(Chief Privacy Officer:CPO)が適切に評価すること

②委託先が再委託・再々委託を行おうとする場合には、委託元は、個人データの取扱方法等について、事前報告または承認を求めること等により、安全管理措置を確認すること

 ただし、委託先の業種・業態・規模・数に応じて、非効率が生じないよう、監査の手法やその確認方法については、全体の安全性を担保する方向性を探る必要があります。

最近のトピックス

◆経済産業省「産業構造審議会 知的財産分科会 営業秘密の保護・活用に関する小委員会 中間とりまとめ」

営業秘密の保護強化に向けた取組として、「国外における故意での営業秘密の不正取得・領得を処罰の対象とする」「故意での営業秘密の取得及び使用・開示行為について、その未遂行為も処罰の対象とする」「不正取得行為者本人からの直接の取得に限らず(三次以降の取得者であっても)、不正に開示されたことを知って故意で営業秘密を使用ないし開示する行為を処罰行為とする」「個人及び法人に対する罰金刑を引き上げる、海外企業による不正利用の罰金を重くする」「営業秘密侵害罪を非親告罪とする」「被害企業の立証負担の軽減する」などが検討されています。その他、具体的な検討事項として、営業秘密の漏えいに対する制度的対応、営業秘密管理に関する指針・マニュアルの整備、発明の特許化や秘匿化を含めた総合的な知的財産戦略の推進をワンストップで支援する体制の整備等が挙げられています。

◆経済産業省「営業秘密管理指針を全部改訂しました!(平成27年1月)」

本指針は、不正競争防止法によって差止め等の法的保護を受けるために必要となる最低限の水準の対策を示すものです。政府は技術などの企業秘密を海外企業が不正利用した場合、最大で10億円の罰金を科す方針を固めており、国内企業同士の秘密漏洩の罰金も大幅に引き上げ、海外企業による不正利用の罰金を重くするとしています。外国企業が関わる案件の罰金を重くするのは初めてで、新興国を中心とした産業スパイを抑止する狙いがあります。いまの通常国会に、営業秘密の取り扱いを定めた不正競争防止法の改正案が出される見通しで、年内にも法律の適用が始まる可能性があります。

◆経済産業省「営業秘密・知財戦略相談窓口『営業秘密110番』を新設します~本日から相談の予約の受付を開始します~」

 経済産業省、特許庁は1月19日、独立行政法人工業所有権情報・研修館(INPIT)に新設される「中小企業などからの営業秘密・知財戦略に関する相談窓口」への相談予約の受け付けを開始しました。相談窓口では、特許としての権利化やオープン・クローズ戦略などの具体的な知的財産戦略に加え、秘匿化を選択した際の営業秘密の管理手法、営業秘密の漏えい・流出などに関する相談に対応するとしています。開始当初は、企業経験者3名と弁護士1名が担当し、相談窓口は2月2日に新設され、相談は事前予約制となっています。(Webサイト・電子メール・電話からも受け付け可)

◆経済産業省「サイバーセキュリティリスクと企業経営に関する研究会」を開催します

経済産業省と(独)情報処理推進機構(IPA)は1月29日、重要インフラなどに関連した民間事業者のセキュリティ対策促進を目的に第1回「サイバーセキュリティリスクと企業経営に関する研究会」を開催するとしています。サイバー攻撃対策として昨年11月に「サイバーセキュリティ基本法」が設立されましたが、国内企業は海外企業と比較して、サイバーセキュリティを重要な経営問題として捉えていない傾向があるなかで、同研究会が発足されたという経緯があります。国内外のセキュリティリスクの状況、海外の政策・インフラ対策の動向、セキュリティ経営のあり方、情報共有のあり方、などが検討され、その結果が6月に公表される予定です。

◆内閣官房「事業者向けマイナンバー広報資料(平成27年1月版)」

内閣官房では、国民生活を支える社会的基盤としての役割が期待されるマイナンバー(社会保障・税番号)制度について、ホームページを開設し、制度概要はじめ、特定個人情報の適正な取扱いに関するガイドラインやQ&Aなど、民間事業者における同制度に関する必要な対応について取りまとめた資料を掲載しています。
マイナンバー(社会保障・税番号)制度は、平成27年10月から市町村から住民票の住所に送られる「番号通知カード」で通知され、その利用は平成28年1月からスタートします。ホームページでは、マイナンバー制度に関する基本的な仕組みなどが分かり易く解説されています。

  •  マイナンバーを従業員などから取得するときは、利用目的の明示と厳格な本人確認が必要です。
  •  マイナンバー取得の際の本人確認では、番号確認と身元確認を行います。
  •  マイナンバーには、利用、提供、収集の制限があります。

▼ 内閣官房 社会保障・税番号制度(マイナンバー)のページ

◆総務省「個人情報・利用者情報等の取扱いに関するWG(第1回)」個人情報・利用者情報等の取扱いに関する現状と課題について

▼ 資料7 ICTサービスにおける個人情報・利用者情報等の取扱いに関する課題(事務局)

EU加盟国当局及び欧州委員会からなる諮問機関「第29条作業部会」がガイドラインを発表しており、検索事業者により削除を拒否された個人に対する加盟国当局の対応について、共通の基準となる考え方として、以下を列挙しています。「人名に基づく検索結果か」、「公共人か」、「未成年者か」、「検索結果は正確か」、検索結果は、「データ主体に関連しているか」、「センシティブ情報か」、「検索結果は最新の情報か」、「偏見が生じているか」、「リスクが生じているか」、「データ公開の意図は何か」、「リンク元サイトに報道目的があるか」、「リンク元サイトに公開の義務があるか」、「刑事犯罪に関連しているか」など。

知る権利と忘れられる権利

EU加盟国当局及び欧州委員会からなる諮問機関「第29条作業部会」がガイドラインを発表しており、検索事業者により削除を拒否された個人に対する加盟国当局の対応について、共通の基準となる考え方として、以下を列挙しています。
「人名に基づく検索結果か」、「公共人か」、「未成年者か」、「検索結果は正確か」、検索結果は、「データ主体に関連しているか」、「センシティブ情報か」、「検索結果は最新の情報か」、「偏見が生じているか」、「リスクが生じているか」、「データ公開の意図は何か」、「リンク元サイトに報道目的があるか」、「リンク元サイトに公開の義務があるか」、「刑事犯罪に関連しているか」など

◆総務省「個人情報・利用者情報等の取扱いに関するWG(第2回)」

▼ 資料3 電気通信事業における個人情報保護に関するガイドライン等の見直し

通信履歴(ログ)の保存の在り方の明確化

 インターネット上での個人情報・利用者情報等の取扱いの在り方について、電気通信事業者における見直し検討事項として
「ICTサービスが高度化・多様化する中、消費者保護の見直し・充実や、セキュリティ対策の強化などに関する要請に必要となる通信履歴の保存について、より具体的で明確な考え方をガイドライン第23条の解説に追加してはどうか」「特にインターネット接続サービスにおける接続認証ログの保存については、サービスの利用の進展や、セキュリティ対策の強化などの観点を踏まえ、一定の目安となる保存期間についても例示することが、適当ではないか」などの方向性が示されています。

◆情報処理推進機構(IPA)「コンピュータウイルス・不正アクセスの届出状況および相談状況(2014年年間)」

独立行政法人情報処理推進機構(IPA)は1月26日、2014年年間のコンピュータウイルス・不正アクセスの届出状況および相談受付状況について、取りまとめたデータを発表しました。2014年の年間のコンピュータウイルス届出件数は、2013年の6,596件から1,582件少ない5,014件。検出数は、2013年の195,550個から83,028個になり、2年連続での減少となりました。ウイルス別検出数では、メールに添付されて拡散する「W32/Mydoom」「W32/Netsky」が多く検出されています。一方、不正プログラムの合計検出数は、2013年の233,341個から大幅に増加し、380,625個。年間検出数の第1位は、インターネットバンキングのIDとパスワードを窃取する「Bancos」で、検出数は65,942個でした。Bancosの検出は、2013年の30,867個から倍増していますが、2014年5月以降は急速に減少しているとのことです。コンピュータ不正アクセスの届出件数は、120件。そのうち被害があったのは102件と全体の約85%でした。実際に被害があった届出102件のうち、原因の内訳は「ID・パスワード管理の不備」17件、「古いバージョン使用・パッチ未導入」11件、「設定不備」10件などとなっています。ウイルス・不正アクセス関連の相談総件数は15,598件。そのうち「ワンクリック請求」に関する相談が3,301件、スマートフォンにおける「ワンクリック請求」に限ると、790件の相談があり、前年比でほぼ倍増しています。「ワンクリック請求」における不当な料金請求は、出会い系サイトやアダルトサイトによく見られます。一方的に送られてくる勧誘メールへの安易な登録、届いた勧誘・広告メールに記載されたURLには注意する必要があります。また、安易に業者に電話をしたり、確認のメールを送ったりすることは、相手に自分の連絡先を伝えてしまうことになるので注意が必要です

◆SplashData「”123456″ Maintains the Top Spot on SplashData’s Annual “Worst Passwords” List」

 SplashDataは 2015年1月20日、2014年に流出した330万件のパスワードを集計した結果を発表しました。最も多かったのは2013年と同様に「123456」、次いで「password」という結果です。2014年に確認された流出パスワードの上位25件は以下の通りです。なお、注意すべきは、下記のようなパスワードは、外部からの攻撃者にとって、もはやパスワードとしての機能を果たしていないという点です。システムの側からすれば、パスワードが何であれ、認証できたということは正当な利用者として判断されます。少なくとも推測されやすいもの(生年月日、氏名、家族、ペットなど)は避けるとともに、8文字かそれ以上の文字数で英数を混ぜることや、同じユーザー名・パスワードを使いまわさないことが重要だと言えます。そして、このような状況を踏まえれば、従業員等に対しても、継続的に粘り強く注意喚起し続けることが、万が一の際の説明責任を果たすためにも、企業の取り組みとしては極めて重要だと言えます。

1位 123456

2位 password

3位 12345

4位 12345678

5位 qwerty

6位 123456789

7位 1234

8位 baseball

9位 dragon

10位 football

11位 1234567

12位 monkey

13位 letmein

14位 abc123

15位 111111

16位 mustang

17位 access

18位 shadow

19位 master

20位 michael

21位 superman

22位 696969

23位 123123

24位 batman

25位 trustno1

◆電気通信事業者協会 「歩きスマホ」の実態および意識に関するインターネット調査について

電気通信事業者協会が1月23日に発表した「歩きスマホ」の実態と意識に関するインターネット調査結果によると、「歩きスマホ」を「日常的に」やっている人と「時々」やっている人は合わせて44.8%と半数近くにのぼる結果が得られています。
電気通信事業者協会と携帯電話・PHS事業者4社(NTTドコモ、KDDI、ソフトバンクモバイル、ワイモバイル)は、急速に普及が進むスマートフォンの利用マナーについて、「やめましょう、歩きスマホ。」という事業者共同啓発キャンペーンを2014年の1月と7月に実施しています。たびたび駅のホームや歩道で「ながらスマホ」による、危険なシーンをよく見かけます。路線に落ちたり、車両との接触は大惨事になりかねませんので注意が必要です。

最近の個人情報漏えい事故(2015年1月)

 下記の表は、先月1月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成

業種 発生原因 対象 備考
1 メーカー USBメモリ紛失 イベント参加者2888名分の氏名、住所、電話番号 カードゲーム大会の運営委託先従業員による紛失
2 銀行 書類紛失 顧客の氏名や住所、口座番号が記載された伝票 件数については記録が残っていないため特定できないとのこと。誤廃棄の可能性
3 大学病院 USBメモリ紛失 91名分の患者の氏名や年齢、使用した薬剤の名称、細菌検査の結果にくわえ、出産した乳児の体重や性別、発育状態、そのほか記号化したデータ USBメモリや財布などの入った鞄を自転車の前かごに入れて外出した際、バイクに乗った2人組に鞄ごと盗まれた

※暗号化なし

4 研究所 メール誤送信 674件のメールアドレス 「Bcc」で送信すべきところを、誤って「To」で送信
5 誤送付 71名分の氏名や選考結果 封筒に貼る宛名ラベル作成でミス
6 市立病院 USBメモリ紛失 患者の氏名や性別、投薬量の情報で件数不明 誤廃棄の可能性
7 市立小学校 USBメモリ紛失 児童17名分の氏名と成績 持ち出しには学校の許可を得ており、パスワード設定あり
8 信用金庫 書類紛失 顧客の氏名や住所、口座番号、印影などが含まれた印鑑票および元帳約14,000件 誤廃棄の可能性
9 私立大学 紛失 氏名と学籍番号が特定できるレントゲンフィルム9000人分 誤廃棄の可能性
10 派遣会社 誤送付 源泉徴収票7543件 送付リストを委託先で作成した際、作業ミスにより氏名と住所の組み合わせが異なった状態で送付
11 総合病院 紛失 氏名や住所が記載された11名分のカルテ 誤廃棄の可能性
12 人材データバンク メール誤送信 140件のメールアドレス 誤ってToにアドレスを設定
13 ガス会社 盗難 顧客の氏名や住所などが含まれる領収書や受領書27件 業務用車両が車上荒らしに遭い、鞄ごと盗まれる
14 NPO法人 USBメモリ紛失 個人情報やメールデータ約2000件
15 銀行 紛失 書類には顧客の氏名、住所、口座番号、取引金額など個人情報が記載された取引票4500件 誤廃棄の可能性
16 ネットリサーチサービス 不正アクセス 291件でポイントが不正に交換 ログインの試行件数は316万1872件にのぼり、1320件のアカウントでログインが成功。

個人情報が不正に閲覧された形跡はなし。

17 銀行 紛失 「納付書兼納入済通知書」20件 データ入力業務の再委託先での紛失
18 メーカー メール誤送信 4517件の予約者の氏名や住所、電話番号、商品明細、購入金額 配信システムのプログラムミス
19 商社 マルウェア感染 氏名、住所、電話番号、メールアドレスなど従業員のパソコン2台に保存されていた個人情報約600件および取引情報1件が外部に流出 発信元を詐称した「なりすましメール」によりマルウェア感染
20 加工メーカー USBメモリ紛失 入社を希望した学生約5000人の氏名や住所、電話番号、メールアドレス、出身大学と同社の従業員と退職者約4000人の氏名、住所、電話番号、生年月日や一部口座情報の可能性
21 信用金庫 紛失 顧客の氏名や住所、口座番号と運転免許証など本人確認書類のコピーが貼付され本人確認書 誤廃棄の可能性
22 区役所 誤公開 309名分の保育所に入所した児童の氏名や障害の有無、保育上の配慮に関する情報 誤って別ファイルの掲載
23 信用金庫 紛失 7508件の顧客の氏名、住所、電話番号、口座番号、取引金額が記載された帳票 誤廃棄の可能性
24 ウェブ学習サービス メール誤送信 会員のメールアドレス832件 配信システムの設定ミス
25 ネットプロバイダ 不正アクセス 不正ログインの形跡
26 ソフトウェア販売 メール誤送信 顧客73名分の受信者とは関係ない他顧客の姓または法人名、メールアドレス メール配信プログラムの不備
27 ポイントサイト運営 不正アクセス 不正にログインによるポイント不正利用被害は332件で、被害額は43万5025円。

また氏名や生年月日、性別、都道府県、メールアドレス、未婚か既婚かといった登録情報が閲覧されたり、メールアドレスが不正に変更されるなどの被害が発生している可能性。

「パスワードリスト攻撃」である可能性
28 出版社 不正アクセス ゲーム開発用のサーバが不正アクセスを受け、DoS攻撃の踏み台として悪用されていた
29 料理店(通販) 不正アクセス クレジットカード決済を利用した顧客情報1422件で氏名、住所のほか、クレジットカード番号や有効期限、セキュリティコード。その他メールアドレス464件。 関係者に対しては、メールと書面により連絡。事態の公表が遅れた理由について、正確な状況を把握しない段階で公表することが混乱を招くとし、外部調査機関の最終報告書をもって発表。
30 スポーツ協会 不正アクセス 選手や取材記者の顔写真などのデータ
31 住宅メーカー ノートPC紛失 顧客30名分の氏名や住所 事務所間の配送を依頼した宅配業者が紛失
32 地域戦略推進協議会 メール誤送信 フォーラム参加者212人の氏名、一部メールアドレスや電話番号 名簿を誤って添付
33 新聞社 マルウェア感染 内部のパソコン17台がマルウェアに感染し、社内外でやりとりしたメールや、作成した文書などの一部が流出の可能性
34 私立大学 誤公開 5万1000名分の学生や教員の氏名、住所、電話番号、生年月日などで、一部メールアドレスや修得単位数、TOEICのスコア、入学手続予定者や教員免許状更新講習受講者、学外の関係者の情報。 ネットワークハードディスクの設定ミスで初期設定で共有が有効になっていた。
35 航空会社 マルウェア感染 マイレージバンク登録者の流出件数を4131人分とする最終報告 昨年9月時点で、8万3224件の顧客情報が流出した可能性があるとしていた
36 銀行 紛失 法人顧客57件と個人顧客37件の氏名、住所、電話番号、口座番号、取引金額などが記載されている伝票 誤廃棄の可能性
37 郵便 流出 郵便物約600通が水路に流出 配達中にバイクが水路に転落
38 事務用品メーカー 誤公開 キャンペーン応募者338名分の氏名、住所、電話番号、メールアドレス ネット上で閲覧可能な状態
39 ガスエネルギー 盗難 122名分の住所、氏名、電話番号 業務委託先で路上に車両を駐車していたところ、車内助手席に置いていた個人情報含む書類入り鞄が盗難
40 工業高校 誤公開 職員と生徒の氏名、住所、電話番号80件

 「19」は、「なりすましメール」によって社内のPCがマルウェア感染してしまった事案です。このような「なりすましメール」は、標的型攻撃メールと呼ばれ、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものです。

 標的型攻撃メールの手口は、電子メールに仕込んだウィルスに感染させるため、メール本文、件名、ウィルスの仕込み方法等、以下のような手口でメール受信者を信頼させようとするものです。

  • 電子メールの差出人や本文に、取引先の署名、公共機関等、信頼できる組織名を用いる。
  • 取引先、公共機関等、信頼できるWebサイト等で公表されている情報を加工してメール本文や添付ファイルを作成する。
  • 組織内の正規の業務メールを加工して、メール本文や添付ファイルを作成する。
  • HTML形式のメールを利用し、正しいURLリンクとみせかけて、不正なWebサイトへ接続させる。
  • 関係者を装い業務に関連した、または業務にまったく関係のない会話を繰り返しするなどして、メール受信者の警戒心を和らげる。
  • 外部からの問い合わせ等を装い、自然な電子メールのやり取りで添付ファイルを開かせる、またURLリンクにアクセスさせる。

 上記のような標的型攻撃メールは新しい手法ではありませんが、より関係者に近いように見せかけ、より精度の高い巧妙な手口でアプローチ、攻撃が可能になるので注意が必要です。

 特に、会社内における周囲の人や家族に対しても、SNSにおける無防備な情報の開示や利用に注意を促す必要があります。家族や会社関係者が上記のような詐欺手口の知識不足から、意図せず、もしくは危険性を認識していないことから、意図的に自らの情報を公開している場合が少なくありません。

 実際、「公開範囲に関する問題」「位置情報に関する問題」「詐欺行為の存在」「オンライン広告に対する認識」などに対する知識不足が引き起こしている場合が多いのです。SNSの利用(例えばFacebookやmixi)では、友人の名前や職業、よく行くお店などを何も気にせずに、一般公開しているケースが散見されますが、これは、詐欺師からすれば、ユーザーの家族や会社関係の近しい人を騙す際の”ウソの精度”を高める格好の材料が用意に入手できていることになります。SNSにおける無防備な情報の開示は『詐欺をしてください』『私を騙してください』などと言っているようなものであり、個人情報の詐取ではなく、自ら提供しているという事実に正面から向き合う必要があります。

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail: souken@sp-network.co.jp

TEL: 03-6891-5556

Back to Top