情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
個人情報保護法改正の動向と論点
皆さま、こんにちは。先月に引き続き、今月も個人情報保護法改正の動向について取り上げます。
3月10日、政府は「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」を閣議決定し、今後国会で審議されることになります。
政府は、今国会で改正法が成立すれば、2016年1月をめどに個人情報の取扱いを一元管理する第三者機関「個人情報保護委員会」を設置、政令やガイドライン策定に着手し、2017年1月頃の法施行を目指すとしています。
個人情報の保護に関する法律(以下「個人情報保護法」)の改正は、膨大に蓄積される個人情報をビッグデータとして活用する際の利用環境を整備することを目的としています。また、行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」)の改正は、来年1月に制度運用が始まる社会保障と税の共通番号を金融・医療分野でも利用できるようにするというものです。
個人情報保護法改正案では、昨年12月の骨子にあった購買・移動履歴など、個人の行動に関する情報(パーソナルデータ)の利用目的を本人の同意なしに変更可能とする仕組みの導入を撤回しています。また、(代わりに)ビッグデータ利活用派の意向を汲み、「保護すべき情報」の拡大については見送られています。これは、ビッグデータの目的外利用についての規制緩和を意図し、当初の利用目的と大きく離れていない範囲内での利用を容易にすることが狙いで、経済界の意向に配慮した形となっていると言えます。本改正案は、昨年の骨子に比べ、消費者団体や経済界の主張にそれぞれ配慮を見せていることがうかがえますが、改正法施行までに事業者として考慮すべき課題は多いといえます。
「大綱」から「骨子」、「原案」まで様々な検討や変更があり、これまでも度々レポートで取り上げてきましたが、現在の個人情報保護法改正案の主なポイントについてあらためて以下の通り整理します。
個人情報保護法改正の主なポイント
①利用目的の変更について
昨年の骨子では、匿名化やWebサイトでの公表を条件に、企業などが取得した個人に関する情報の利用目的を変更する際に本人同意を不要とする規定が盛り込まれていましたが、撤回されています。実質的には現行法と同様ですが、「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」としており、改正法案は、現行法にある「相当の関連性」という記述のうち「相当の」という文言を削除しています。これは、当初の利用目的と大きく離れていない範囲であれば、同意がなくても目的外利用をしやすくするためと見られます。
②個人情報の定義
「個人情報」の定義は、従来からの個人情報に加えて、「個人識別符号」が含まれるものも個人情報に追加しています。個人識別符号は生体認証データや商取引に使用される符号であり、顔・指紋データ、自動車免許証・旅券番号が該当するということです。本人の同意がなければ取得できない病歴や人種、信条などセンシティブ情報は「要配慮個人情報」として取得に原則として同意を求め、具体的な扱いは、政令で定めるとしています。
これまで、個人を特定しなくても識別につながる端末のIDなどは、名寄せで本人が特定される可能性があるということから、「規制の対象とすべき」との検討も度々なされてきました。昨年末の骨子もこれを受け、商品の購入、または書類に付される符号やIDなども個人情報で保護対象に組み入れるとしていました。しかしながら、今回の改正案では個人情報の定義に「特定の」の文言が挿入され、現行法と実質同様のものに戻されています。
※欧州連合(EU)や米国では、端末識別情報を保護対象とする報告を打ち出しており、自動収集された履歴によって個人の経済状況や健康状態、嗜好などが推測される可能性も広く認知されるようになり、「プロファイリングされない権利」として、規制の動きも出ています。
。
③データベース提供罪の新設
個人情報データベースを扱っていた者らが不正な利益を図る目的での提供や盗用を罰する「データベース提供罪」を新設し、罰則は「1年以下の懲役または50万円以下の罰金」としています。データベース提供罪は、2014年7月に発覚したベネッセの情報漏えい事件が契機となった「名簿屋」対策の一環で、個人情報を受け取った者は、提供した者の名前や情報を取得した経緯などを記録し、一定期間、保存することを義務付けています。
④個人情報保護委員会の新設
個人情報を扱う事業者を監督する「個人情報保護委員会」は、消費者団体や民間企業の関係者、学識経験者らで構成され、事業者への立ち入り検査や指導、命令などの権限を持ち、同委員会は、個人情報を匿名加工する基準の策定も担うとしています。
個人情報保護委員会は、公正取引委員会や国家公安委員会と法的に並ぶ三条委員会として、プライバシー保護とデータ活用のための組織となります。また、個人情報保護委員会は、新たな個人情報保護法を所管して、国境を超えた情報流通を可能にする国際的な対外窓口として「プライバシー外交」も担うことになります。
⑤「匿名加工情報」の利用制限緩和
「匿名加工情報」は、個人を識別できないよう加工したものであり、個人情報を復元できないものと定義しています。事業者は個人情報保護委員会規則の基準で加工し、安全管理措置を講じるものとしています。加えて、本人を識別するために他の情報と照合してはならないとしています。匿名加工情報を作成したり第三者に提供したりするときは、委員会規則の定めによって「匿名加工情報に含まれる個人に関する情報の項目」や「提供の方法」を公表しなければならないとしています。匿名加工情報を第三者に提供する事業者には、そのことを公表するよう義務付け、提供を受けた側が、個人の特定を目的に、他の情報と照合することを禁止しています。
上記の他、改正原案では「オプトアウトの届出制」、「個人情報保護法制が未整備な外国への提供禁止」、「第三者提供時の記録保存」、「提供を受ける際の適法性確認」、「保有個人データに関する請求権の明確化」、「個人情報持ち出しの直罰規定」などが含まれていますが、次回以降のレポートで解説する予定です。また、以下の新旧対照表もご参照ください。
▼ 内閣官房「国会提出法案 第189回通常国会 新旧対照表」
匿名化に関わる技術と限界
今回の改正原案では、新たに「匿名加工情報」という概念が導入されており、個人情報の一部を削除するなどして個人を特定しにくくすれば、本人の同意なしで第三者提供できると定めています。匿名化した情報を本人の同意なく、かつ安全に流通させることができれば、プライバシーの保護と情報の利活用の双方を実現できることになります。ただ、いわゆる「匿名化」の技法は多種多様です。例えば、個人を特定し得る情報の削除(属性削除)、氏名等のユニークな番号への変換(仮名化)、住所などを広いエリアに置き換える(曖昧化)、希少な情報の削除等があり、通常は、それらを組み合わせて用いることになります。
一方で、個人情報を匿名化することにより情報の利活用における有用性は低下することになりますが、一般的にインターネット等に公開されている外部情報との突き合せによって個人を特定できることや、当初想定できなかった特定の個人の情報が抽出される可能性を排除することができません。一定の匿名化措置(個人情報をある定められた手順で加工)を行っても、必ず識別性または特定性を無くせるわけではなく、また、そうした匿名化の措置に対して一般的な水準はないとの前提に立つ必要があります。
これは、パーソナルデータ検討会の唯一の作業部会である技術検討ワーキンググループの見解でもあり、個人に関わる情報に「汎用的な匿名化方法は存在しない」と結論づけています。匿名加工情報は匿名データではなく、個人を特定するリスクを低減したデータに過ぎないということです。とりわけ、IoT(Internet of Things)では、カメラやセンサー機器などを通じて自動的にデータを収集して、ビジネスに役立てるという用途が急増するとみられています。こうした自動収集されたデータを利用する場合、企業がどのような対応をしなければならいかが今後の大きな課題と言えます。
消費者の意識
昨年の調査結果になりますが、2014年8月、株式会社日立製作所と株式会社博報堂は「第二回 ビッグデータで取り扱う生活者情報に関する意識調査」の結果を公表しています。同公表によれば、意識調査の主な結果として以下のようなことが示されています。
▼ 「第二回 ビッグデータで取り扱う生活者情報に関する意識調査」
- パーソナルデータの利活用に関して「不安が期待より大きい」層が増加した。
- 全体の約半数の人が、パーソナルデータの利活用における不安の要因として「企業等による説明・公表不足」を挙げた。
- 全体の約8割の人が、パーソナルデータの利活用における不安が適切な企業体制構築等の施策により軽減するとした。
本調査の結果、自身の生活者情報が利活用されることについて不安が期待よりも大きい生活者が前回調査と比べて増加したものの、企業に適切な安全管理体制の構築を義務付けるなど、生活者のプライバシー保護に資する施策が講じられることで、不安や抵抗感を軽減しうることが示唆されています。また、生活者情報の利活用に対する不安要因について調査、分析し、企業などによる適切な情報公開・発信の重要性が明らかになっています。
【生活者情報】
本調査および本ニュースリリースでは、個人情報(個人情報保護法に規定する、特定の個人を識別できる情報)と、それ以外のプライバシー性のある情報(商品の購入履歴やGPSによる位置情報など、特定の個人を識別しないものの、個人のプライバシーに関わるさまざまな情報)を合わせて、「生活者情報」と定義しており、生活者情報には、匿名の情報および氏名の付加された情報があるとしています。
活用のための保護
今回の改正には規制緩和と規制強化の二つの要素が共存していることに留意する必要があります。上記の消費者の意識からもわかるように、保護と活用のバランスというよりは、活用にあたりしっかり保護しなければならないということが重要になります。個人データを活用したビジネスを推進するということであれば、企業は何よりも消費者の信頼を得なければなりません。どうすれば信頼を得られる企業になれるのか、最低限のルールを示したのが個人情報保護法です。とはいえ、個人のプライバシーそのものを法律で規定するのは困難であり、そもそも何がプライバシーに当たるかは個人によって異なり、基準を決めることができません。
個人情報保護法は、第1条の目的に「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」とあります。また、改正法では目的に「新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現」が追加されています。医療や災害対策など様々な分野で、企業がビッグデータの利活用に萎縮することのない状況を作れば、画期的なアイデアやサービスの創出が期待されます。インターネット時代のサービスは、サービス内容が次々に変化するなど従来の枠組みでは考えられない面があります。個人情報やプライバシーの保護に配慮し、情報活用を促進する、時代に即した枠組み(保護と活用を相互に強化する仕組み)をさらに検討する必要があります。そもそも、個人情報保護法の理念は、プライバシー等を含む「個人情報」について、利用者側の悪用への不安を払しょくしたいという「保護」の要請と、一方で必要な範囲での共同利用等により利用者の社会生活が便利になるという個人情報の有用性(趣味・嗜好に関する情報に触れられ、ニーズが掴める等)との調和を図ろうとするものです。その根底にあるのは、消費者への説明義務を果たしながら、その信頼を損ねない範囲での個人情報の有効活用により、利用者の満足度の向上を図るための「信頼関係構築に向けた企業の真摯な姿勢」であると言えます。
今後、匿名化というスキームの優位性ばかりを強調した普及を目指すのではなく、「信頼関係構築に向けた企業の真摯な姿勢」を前提とする個人情報保護の要請とその有用性との調和という、個人情報保護法の当初の理念を踏まえた見識のある協議・決定を期待したいところです。
最近のトピックス
◆情報処理推進機構(IPA)「2014年度情報セキュリティに対する意識調査」報告書について
情報処理推進機構(IPA)は2月17日、「2014年度情報セキュリティに対する意識調査」報告書を公開しました。この調査は2005年から実施されており、今回で13回目(2006年から2008年までは年2回実施)です。
調査対象は、13歳以上のPCおよびスマートデバイスのインターネット利用者で、パソコン5,000名・スマートデバイス3,500名の有効回答数となっています。本調査期間は、2014年10月2日~10月30日(情報セキュリティの倫理に対する意識調査)および同年10月11日~10月30日(情報セキュリティの脅威に対する意識調査)です。
本報告書によれば、倫理に対する意識調査として、インターネット上に投稿をした経験がある利用者において、「悪意ある内容の投稿」(他人や企業の悪口、下品な言葉、不確かな噂など)をしたことがあるかという設問では、前回調査と比較しパソコン利用者は4.2ポイント減少しています(26.4→22.2%)が、スマートデバイス利用者では3.4ポイント増加していています(23.5→26.9%)。その理由については、特に前回調査から増加していたのは、「相手に仕返しをするために(7.8→13.2%)」「人の意見に反論したかったから(27.9→32.3%)」「炎上させたくて(2.8→6.8%)」などとなっています。投稿後の感情については、「気が済んだ、すっとした」31.9%が最多で、「何も感じない」27.6%がそれに続いており、後悔・反省・心配などの意見は低調という結果が得られています。
さらに、スマートデバイスのインターネット利用者に対し、「他人(親や友人、知り合い、まったく知らない他人)のアカウントを無断で使ってサービスを利用する行為」について聞いたところ、「他人のアカウントでも、推測等でログインできた場合に、サービスを利用する可能性がある」と答えた20代がとくに多く、全体平均の15%程度に比べ、すべて23%台となっています。
学生や、これからの新社会人に対して、インターネット上への情報発信にかかるリスクについての体系的な教育や研修を実施し、自らの言動が関係者へどのような影響を与えるか、事例をもとに考えてもらうことが有効だと思います。また、禁止事項ばかりではなく、情報公開範囲の設定方法等の知識についても指導しておくことが望まれます。
◆LENOVO STATEMENT ON SUPERFISH
中国レノボが、2015年1月まで一部ノートPCにセキュリティ上の懸念がある広告表示ソフト「Superfish」をプリインストールしていた問題で、セキュリティ対策ソフト各社は相次いで、Superfishを”ウイルス”として検出させる対応を進めました。これは、レノボ(Lenovo)PCに、広告強制表示や電子証明書偽造などを行う悪質なアドウェアが、購入当初から入っていたもので、広告が勝手に挿入されるほか、電子証明書を偽造してネットバンキングにアクセスできないトラブルも起きており、通信内容まで見られる可能性もありました。中国レノボの日本法人であるレノボ・ジャパンは2015年2月20日、一部ノートパソコン製品にプリインストールされたアドウェア「Superfish」のセキュリティ問題について、公式見解を発表しました。
「Superfish」は自己署名証明書を用いてHTTPS通信を傍受し、セキュリティ上の懸念点(脆弱性)となるとしています。同社では「ショッピング体験を向上させるもの」として各種のコンシューマー向けノートPC製品の一部に、この「Superfish」を搭載させており、ユーザーからの指摘を踏まえ、プリインストールと有効化するサーバー接続を2015年1月の時点で停止したとしています。
◆内閣府「平成26年度青少年のインターネット利用環境実態調査結果」
内閣府は2月18日、平成26年度「青少年のインターネット利用環境実態調査」速報概要を公表しました。それによれば、高校生の95.8%がインターネットを利用しており、このうち63.3%がスマートフォンで2時間以上インターネットを利用していることが明らかになっています。
また、保護者自身のインターネットを安全・安心に使うための注意点の認知は、「出会い系や著作権等の違反情報の問題」(83.6%)については高く、「ネットの過度の利用の問題」(58.0%)、「電子商取引の問題」(63.4%)は低い傾向という結果です。
保護者のインターネットに関する啓発や学習の経験は、「学校で配布された啓発資料で知った」59.3%、「学校の保護者会などで説明を受けた」56.3%、「テレビや本・パンフレットで知った」49.9%が約半数に上ります。青少年のインターネットの使い方に関する家庭のルールは、啓発や学習経験のある保護者ほど「ルールを決めている」割合が高く、啓発経験がある保護者が81.7%であるのに対し、啓発経験がない保護者は60.3%という調査結果が得られています。
◆デジタルアーツ「未成年の携帯電話・スマートフォン利用実態調査~携帯電話・スマートフォン所有者によるアプリやネットの利活用実態を調査~」
10歳から18歳の何らかの携帯電話・スマートフォンを持つ未成年者の中でのスマートフォン所有率は65.0%で、前回調査(2014年6月実施)の59.1%から5.9%上昇し、フィルタリング利用率も前回の44.6%から4%上昇して48.6%と過去最高の数値となったとしています。0歳~9歳の子どもと持つ保護者の回答では、子ども専用端末として「携帯ゲーム機」「子ども専用携帯電話」「契約の切れた中古のスマートフォン」が上位でしたが、特に0歳~3歳の保護者では「携帯ゲーム機」の所有率が前回から減少する一方で、21%が「契約の切れた中古のスマートフォン」を持たせており、一番高い結果となっています。また、気がついたら子どもがインターネット接続端末で全然違うことをしていて驚いた経験があると回答した保護者は45.7%、子どもがネット上で犯罪に巻き込まれないための有効な対策として情報モラル教育の強化を望む割合が54.6%、今後は学校・教育機関だけでなく、家庭でも情報モラル教育に加えて端末側での機能制限やフィルタリングの活用が望まれます。
パソコンやスマホは、様々な情報が手に入りやすく、コミュニケーションの手段となる一方、トラブルや詐欺、個人情報の流出など、さまざまな問題が起こっています。
青少年が出会い系サイトやワンクリック詐欺など、知らず知らずのうちに危険なページを閲覧して、被害に遭う可能性があります。
また、インターネットやSNSを利用したいじめという問題も起きており、掲示板の書き込みや裏サイトなど、比較的、大勢の目に触れ易い場所で起きていたものも、大人や教師が立ち入るのが難しいものへ変化してきています。
スマートフォンやタブレットなどは青少年にとって便利で楽しいものである反面、常にトラブルと隣り合わせであるということを大人や保護者も含め自覚する必要があります。
◆電気通信事業者協会「家族で話そう ケータイ・スマホのルール『フィルタリングサービス』」
電気通信事業者協会と携帯電話5社は2月13日、保護者が子供に携帯電話を買い与えるタイミングである春の新入学・新学年を前に、有害サイトへの接続を制限する「フィルタリングサービス」の利用を呼びかける動画を制作、全国の販売店で流すと発表しました。
内閣府の過去の調査によると、小学生の3割、中学生の5割が自分専用の携帯を所有する一方、このうちフィルタリングやネット閲覧制限をしているのは5割程度で、また警察庁の実態調査では、販売店の半数超でフィルタリングに関する説明が不十分だったとしています。
▼ 警察庁「携帯電話販売店に対するフィルタリング推奨状況等実態調査」
本調査によれば、説明・推奨に改善を要すると認められた店舗は51.7%で、全体の半数以上を占めており、不適切と認められた店舗の多くは、従来型の携帯電話用のフィルタリングの説明のみで、不適切と認められた店舗の多くは、iPhoneを児童に安全に利用させるためには機能制限が必要であることを認識していないとしています。
スマホ用のフィルタリングの知識が要求される調査項目では総じて評価が低く、スマホの急速な普及に販売店の対応がいまだ追い付いていない状況としています。
十分な判断力を持っていると思われる大人でも、詐欺サイトによる被害や悪質なアプリによる被害が年々増えています。知らぬ間に詐欺的なサイトを閲覧してしまい、法外な料金を請求されたり、無料のアプリをダウンロードして使用したら、個人情報が流出した例など、自分は大丈夫だと思っていても、危険な場所に立ち入ってしまう場合もあります。
フィルタリングソフトはネット閲覧を阻害するものと思われることが多いですが、一見わかりにくい詐欺サイトなどへのアクセスを止められるセキュリティソフトとして、有効だと言えます。
◆警察庁「ファイル共有ソフト等を使用した著作権法違反事件の一斉集中取締りの実施について」
警察庁は、2月17日から19日までの3日間、ファイル共有ソフト等を使用した著作権法違反事件について一斉集中取締りを実施しました。アニメ、楽曲、映画等が対象で、検挙人員は40人、捜索箇所133箇所となっています。
ファイル共有ソフトを悪用して著作権侵害を行うことで、著作権者から損害賠償や著作物の削除などを請求される可能性があります。また、刑事罰の対象ですので、その捜査の過程で、家宅捜索、証拠品の押収などが行われ、逮捕されることもあります。
著作権法に違反する行為の罰則は、10年以下の懲役または1,000万円以下の罰金、またはその両方と非常に重いので注意が必要です。(違法ダウンロードのうち、有償で提供等されている音楽・映像をそれと知りながらダウンロードする行為の罰則は、2年以下の懲役または200万円以下の罰金、またはその両方となります)。
最近の個人情報漏えい事故(2015年2月)
下記の表は、先月2月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | 書類紛失 | 農家1世帯分の住所や氏名、電話番号 | 職員の外出時の紛失。 |
| 2 | 県立中央病院 | 伝票紛失 | 患者14名分の氏名、年齢、病名が記載された伝票 | 詳細は不明。院内での紛失。 |
| 3 | 市立大学 | USBメモリ紛失 | 学生39人の氏名や学籍番号、成績データなどのべ62件 | 海外出張中にUSBメモリの入ったポーチごと紛失 |
| 4 | ガス会社 | 書類盗難 | 顧客の氏名や住所など122件が記載された「LPガス配送指示書」 | LPガス容器の交換作業委託先で、作業用車両が車上荒らしに遭い、車内に置いたままにしていた鞄が盗難。 |
| 5 | 県立高校 | 誤廃棄 | 316名分の生徒指導要録や成績一覧表 | 書類が入った金庫を、老朽化した古い金庫と勘違いして誤廃棄。 |
| 6 | 市立幼稚園 | USBメモリ紛失 | 園児の氏名や保護者名、住所など316件 | 職員が自宅で資料を作成するため、データをUSBメモリに入れて持ち帰ったところ、USBメモリを入れていたポーチごと紛失 |
| 7 | ガス会社 | 携帯電話紛失 | 顧客72名の氏名と電話番号 | 従業員が社用携帯電話を鞄に入れて、近くの飲食店に立ち寄り、翌日朝、鞄の中に携帯電話がないことに気付いた。 |
| 8 | 電気通信会社 | ノートPC紛失 | 顧客の氏名や住所、電話番号など252件 | ノートPCを一時的に紛失、同日中に当該パソコンを発見し、回収してログ解析を行った結果、内部データへのアクセスがなかったことを確認。 |
| 9 | 大学付属病院 | ノートPC紛失 | 患者約1000人分の氏名や年齢、診療情報 | 医師が電車を降りた際にパソコンを入れた鞄を電車内に置き忘れ、一時的に紛失、捜索を行ったところ、当該鞄は警察署に保管されており、回収。 |
| 10 | 国際病院 | インターネットで閲覧可能 | 女性総合診療部で診療を受けた70人の氏名、年齢、検査結果などが記載されたファイル | インターネット経由でアクセスできる状態になっていた |
| 11 | 物流サービス | 誤送付 | 481件分の宛先 | 顧客から預かった物品を発送した際、本来の宛先を記載した送り状の下に、別人の個人情報を記載した送り状を貼付 |
| 12 | 市 | 書類紛失 | 調査対象候補者14人の氏名や住所、電話番号が記載された一覧表と、対象候補者1人の氏名、住所、電話番号、前回調査時の土地に関わる状況などが記載された名簿 | 外出時に紛失が判明 |
| 13 | 区 | 書類紛失 | 介護予防事業の参加者20人の氏名や住所、電話番号、生年月日のほか、家族状況、病歴が記載された申請書 | サービスの委託先事業者が同社内の鍵付きキャビネットに保管することになっていたが、紛失。 |
| 14 | チケット販売サイト | サイトで誤表示 | 顧客169名分の氏名や住所、電話番号、メールアドレスなど。 | サーバメンテナンス時の作業ミス |
| 15 | 町 | CD-R紛失 | 医療費助成対象となる児童の氏名や性別、保護者の氏名、住所、口座番号などが含まれる個人情報5912件。 | 委託事業者が紛失。誤廃棄の可能性。 |
| 16 | 保険会社 | 書類紛失 | 氏名や住所、電話番号、生年月日、性別、金融機関の口座情報、事故に関する顧客情報が記載された保険金支払関連書類2729件 | 保管期限前に誤って廃棄した可能性。 |
| 17 | 市 | 不正アクセス | 不明 | 不正サクセスによるWebサイト改ざんで、販売に関するページをリックすると関係ない不審なファイルがダウンロードされるおそれがあった。 |
| 18 | 県 | メール誤送信 | 申込者12人の氏名や住所、電話番号、性別、メールアドレスが記載された名簿 | 講座申込者送信したメールに全員の個人情報含む名簿を誤って添付 |
| 19 | 新聞社子会社 | 不正アクセス | 攻撃を受けたシステムには、2008年以降に同社主催のイベントなどをきっかけに購読を申し込んだ約5万3000人分の氏名、住所、電話番号などが保存されていた | 情報流出の有無については現在調査中。 |
| 20 | イベント会社 | 誤送付 | 不明 | 書類発送の際に宛名シールを重ね貼りして発送 |
| 21 | 米医療保険会社 | 不正アクセス | 住所、氏名、生年月日、メールアドレスなど顧客や従業員の個人情報約8000万件 | |
| 22 | 菓子ブランド | メール誤送信 | メールアドレス400件 | 誤ってCcにアドレスを記載して送信 |
| 23 | 病院 | ノートPC紛失 | 輸血を受けた患者約100人分の氏名や住所、血液に関する情報 | 院内で所在不明。 |
| 24 | 大学附属病院 | ノートPC紛失 | 者165人分の氏名や年齢、病名、術後経過に関する情報 | 同大の大学院生が学外で盗難被害に遭い紛失 |
| 25 | フィットネスクラブ | USBメモリ紛失 | 動教室の参加者93人の氏名や電話番号、年齢 | 、USBメモリ入りの鞄を電車内に置き忘れて紛失 |
| 26 | セミナーサイト運営 | 不正アクセス | 不明 | 流出したパスワードは暗号化されているが、同一のパスワードを他のサービスでも使用している場合は、念のため変更するよう注意喚起 |
| 27 | ゲームメーカー | 誤消去 | 123人の抽選応募者情報 | 応募者全員の情報を誤って消去 |
| 28 | インターネットサービス | メール誤送信 | 求人応募者約2万3000人に対し、無関係のメールを送信 | 個人情報はなしとのこと |
| 29 | 商工信用組合 | 伝票紛失 | 顧客の氏名や住所、電話番号、勤務先、生年月日、口座番号、印影などが記載された預金印鑑票318件や出資印鑑票3290件 | 誤廃棄の可能性 |
| 30 | ドメイン代行サービス | 不正アクセス | 管理者IDやパスワード、ドメイン名のほか、管理者の氏名や組織名、住所、電話番号、メールアドレスなど、管理者情報として登録されている顧客情報2048件。 |
「21」は海外で発生したものですが、サイバー攻撃によって約8000万件の個人情報が流出した事案です。
サイバー攻撃を受けたのは、米大手医療保険会社のAnthemで、ITシステムが不正にアクセスされて保険の加入者や従業員の氏名、社会保障番号といった個人情報が流出したと発表しています。流出したのは現在と過去の加入者の氏名、生年月日、社会保障番号、住所、電子メールアドレス、収入記録などを含む雇用情報で、クレジットカード番号や、保険金申請内容などの医療情報が流出した痕跡はないとしています。
同社は事態の発覚を受けて直ちに脆弱性を修正するための対応に当たり、米連邦捜査局(FBI)に通報し、今後の対策について検討するためセキュリティ企業と契約したと説明しています。
本件は、医療保険業界でのサイバー攻撃としては過去最大規模の被害で、米ニューヨーク・タイムズは、流出した個人情報がアンダーグラウンドで販売され、さらなるサイバー攻撃に悪用される危険性があるとのセキュリティ専門家の意見を伝え、注意を促しています。Anthemも同社からの連絡を装ったフィッシングメールにだまされないよう顧客に呼びかけています。
本事案では社会保障番号も流出の対象となっています。米国では、今後運用制度が始まる日本のマイナンバーに相当する社会保障番号(SSN:Social Security Number)が個人番号として付与されていますが、年金や医療給付金などの不正受給や、他人のSSNを不正利用した銀行口座の開設など、不正に取得された個人番号が悪用される事件も発生しています。社会保障番号は、もともと社会保障分野において個人を特定するための番号ですが、銀行口座やクレジットカードを作成する際にも必要になるなど、官民に共通する共通番号となっており、またSSNの下4桁をもとに本人確認の手段として用いることが広く行われてきたことなどから、SSNを利用したなりすましが大きな問題となっています。日本におけるマイナンバー制度の導入でも懸念されるのが、付与された個人番号の取り扱いに伴う情報漏えいのリスクです。実際、米国などのこうした問題を考慮し、日本のマイナンバー制度では、当初は社会保険料や税金など利用範囲を制限するほか、個人番号の提供を受ける側は利用目的を明示し、厳格な本人確認や、安全管理措置の徹底が定められています。
上記のようなサイバー攻撃による不正アクセスは世界中で多発しており、その被害も大規模化しています。情報通信研究機構(NICT)は2015年2月17日、日本の官公庁・企業に対するサイバー攻撃観測・分析のために運用しているシステム「NICTER(ニクター、画面)」の2014年の集計結果を公表しました。
▼ 情報通信研究機構「サイバー攻撃観測・分析・対策システム NICTER」
サイバー攻撃の攻撃元アドレス(ホスト数)では中国が圧倒的に多く、全体の3分の1程度を占めており、韓国やロシア、米国、インド、日本国内などがこれに続きます。ただしサイバー攻撃者は他国のサーバーを使ってサイバー攻撃を仕掛けることも多く、必ずしも攻撃者の国籍をそのまま示しているわけではないものの、国内外から日本の政府機関や企業などに向けられたサイバー攻撃関連の通信が平成26年に約256億6千万件と、これまで最多だった25年の約128億8千万件から倍増しており、サイバー空間の攻撃が激しさを増しています。ロシアのカスペルスキー社は、世界30カ国以上でのサイバー攻撃に関与する強大なグループの存在を明らかにしています。
▼ Kaspersky Lab, February 16, 2015「Equation Group: Questions and Answers」
「イクウェーション(方程式)」と呼ばれるこのグループは20年近く活動を続けており、「古典的な技術で被害者にマルウェアを送り込んでいる」と分析し、「複雑さと精巧さでこれまでに知られているどの組織をも上回っている」と強調しています。(ロイター通信によると、複数の元従業員の話をもとに、このグループの正体が、米国家安全保障局(NSA)だと報じています。)。
▼ 2015年2月19日、日本経済新聞「洗練されたハッカー集団、正体は米当局か ロシア企業が指摘」
その他にも、サイバー攻撃は日本や米国、そしてオランダやスイスといった欧州の金融機関の被害も多く、こうした金融機関から数百万ドル(数億円)が不正送金されており、インターポールやユーロポールはロシアやウクライナ、中国のハッカー集団による犯行の可能性が高いとみています。
サイバー攻撃による大規模な情報漏えい事故は、昨年末のソニー・ピクチャー・エンターテイメント社においても発生しています。日本においても、昨年サイバーセキュリティ基本法が成立したとはいえ、官民ともに、まだまだ外的脅威や(内通者の存在を含む)内部犯行に対する危機意識や事態想定への具体的な対策が十分とはいえません(むしろ、遅れていると自覚すべき状況です)。
少なくとも、2020年の東京オリンピック開催に向けて、原発や交通機関を始めとする重要インフラについてはもちろん、5つの空間(陸・海・空・宇宙・サイバー)を舞台としたテロへの対策の深化はいずれも急務だと言えます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail: souken@sp-network.co.jp
TEL: 03-6891-5556
