GDPRの動向と最近の事情(3)
2019.01.23総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)十分性認定の動向
2)GDPRにおける事故時の対応
3)国内での対応における留意点
4)GDPRにおける外注・委託管理
5)国内で問題となった外注・委託管理事案
1.GDPRの動向と最近の事情(3)
皆さま、こんにちは。「情報セキュリティトピックス」では、今年も情報セキュリティやITにかかるトレンドや事案等、企業危機管理上留意すべき点等について、タイムリーな情報提供を行っていきたいと思います。
さて、昨年5月に導入されたGDPRは、EUが設定したデータ管理の基準が、EU域内の国々だけではなく、他の国のデータ管理やプライバシー法制に大きな影響を与えました。ここ最近で、最もインパクトのあったプライバシー関連規制だと言い切っても良いのかもしれません。GDPRがEU以外の法や規制当局にも大きな影響を及ぼし始めているということです。ITに関する施策や推進は永らく米国主導でしたが、業界全体のガバナンスや基準の統一等に関しては大きな転換期を迎えているのかもしれません。
また、消費者やメディアにおいて、個人情報の保護の認知度がかなり向上しているのを実感します。個人のデータを販売して大金を稼ぐ企業が大量にいること、個人のデータには資産としての価値があるということをGDPRの報道を通して知った方は多いのではないでしょうか。銀行や保険に関するデータだけではなく、自分のネット上の閲覧・購入履歴、位置情報、監視カメラに写った映像なども個人情報である、と認識した人が増えたのには大きな意味があります。これらの重要性を認識することは、スマートフォンだけではなくIoT機器、将来普及する自動運転車等のネットワークに繋がったデバイスの購買選択にも大きな影響を及ぼすからです。消費者は値段やデザインだけではなく、データ保護がきちんとしているかどうか、企業を選択・信頼していくうえでの材料にしていく可能性が高くなってきたということであり、企業はデザインや値段だけではなく、データ保護やコンプライアンス体制も販売戦略の柱として考慮する必要性が高まったということになります。
2019年はこれまで以上にコンプライアンスや内部統制、情報セキュリティの重要性が日陰の立場ではなく、重要視されていくものと思われます。
今回の「情報セキュリティトピックス」は、前回に続き、GDPR(General Data Protection Regulation)のあらましや最近の事情について整理していきたいと思います。
【参考資料】
▼個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)」
▼JIPDEC(一般財団法人日本情報経済社会推進協会)「EU一般データ保護規則(仮訳)について」
1. 十分性認定の動向
EUは昨年5月に施行したGDPRでEU域外へのデータの持ち出しを原則禁止しましたが、例外としてデータ保護の取り組みがEUと同等と判断した国・地域には持ち出しを認めています。
このように、EUが日本の個人データ保護法制が十分なレベルにあると認定する「十分性認定」について、昨年春頃よりそれぞれの個人データ保護制度を同等と見なし、相互の個人データ移転における枠組みを構築することで協議を実施していました。それが、本日2019年1月23日に発行されることになりました。
個人情報保護委員会「日 EU 間の相互の円滑な個人データの移転~ボーダレスな越境移転が実現~」
個人情報保護委員会「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)」
また、昨年、個人情報保護委員会はEU域内の個人データを日本に移転する際の決まりである補完的ルールを公表しており、十分性認定とあわせ施行されることになります。施行後は、EUから十分性認定に基づいて個人データの移転を受ける事業者は、補完的ルールの遵守が求められ、社内規則のアップデート等の対応が必要になります。
なお、個人情報保護委員会によると、補完的ルールは「法的拘束力を有する規律」であるとしています。本ルールに基づく権利及び義務は「法の規定と同様に個人情報保護委員会の執行対象となる」、補完的ルールが定める権利及び義務に対する侵害があった場合には、「本人は裁判所からも救済を得ることができ」、個人情報取扱事業者が補完的ルールに定める義務を遵守しない場合には、「個人情報保護委員会は法第42条に基づく措置を講ずる権限を有する」としています。
個人情報保護委員会「個人情報の保護に関する法律に係る EU域内から十分性認定により移転を受けた 個人データの取扱いに関する補完的ルール」
- 「労働組合」や「性的指向」などの情報を「要配慮個人情報」として保護する
- 6ヶ月以内に消去するデータも開示請求などの対象にする
- データを提供元が特定した目的外には使わない
- データを日本から外国に再移転する際には本人の適切な同意などが必要
- 匿名加工情報は加工方法に関する情報を削除し、再識別を不可能にする
補完的ルールは5項目あり、特に企業に影響がありそうなのが保有個人データの範囲規定と、匿名加工情報の扱いではないでしょうか。個人情報保護法は6ヶ月以内に消去するデータは本人からの開示や訂正に応じなければならない「保有個人データ」に当たらないとしています。補完的ルールでは、データの範囲が拡充され、6ヶ月以内のデータも開示などの対応義務を負います。
また、データをビジネスに活用するために特定の個人を識別できないよう加工する匿名加工情報は、加工方法に関する情報を削除するよう義務付けられています。
現在は日本企業がEUから持ち出すデータは自社の欧州拠点の従業員情報が多いようですが、今後、コネクテッドカー(つながる車)の普及などで個人データを大量に持ち出して分析するようになれば、企業の作業量は増えるものと思われます。
個人情報保護委員会は当初、十分性認定を得るためのルールを「ガイドライン(指針)」としていましたが、補完的ルールに改めています。
※ 十分性認定が合意後も留意が必要
日本とEUの間で移転に関する合意が形成されることになり、日本企業の負担は大幅に減るはずです。ただ、認定が下りてもSSC(※1)とBCR(※2)が完全に必要なくなるというわけではありません。例えば、SSCの契約を交わしている場合、日本とEEA以外の国の企業が含まれているとしたら、従来の方法を踏襲すべきでしょう。認定は日本とEUの間ですから、それ以外の地域が入れば、SSCに則ったデータの移転が必要になるからです。もっとも、「十分性認定」を日本が受けたとしても、手続が一部免除されるだけで、GDPRが適用されるかどうかとは別問題となります。
十分性認定は、所定の契約書を作成したりすることから開放されるだけで、GDPR対応している企業の負担が一部軽減されるだけであり、GDPRの適用を受けなくなるというのは大きな誤解です。
(※1)SCC(Standard Contractual Clauses)
個人情報を移転する組織間で、案件単位で契約を結ぶ。適用する組織は、契約の履行に則した情報保護の体制が整備されていることが前提。
(※2)BCR(Binding Corporate Rules)
企業グループなどの単位で移転する際の契約形態。定められた規則に沿った契約内容を文書化し、EEAが認定したデータ保護機関(後述)から承認を得た上で移転が可能。
2. GDPRにおける事故時の対応
GDPRは、最初に違反を指摘された企業がどのように調査され、あるいは訴訟に発展するのかによって、今後の評価が定まると考えられてきました。
ちょうど昨日、報道によればフランスの規制当局CNIL(情報処理と自由に関する国家委員会)がGoogleに対し、EUのGDPRに違反したとして5000万ユーロ(約62億円)の罰金支払いを命じたとしています。CNILは、Googleが個人情報の取り扱いの説明について透明性と明確さを欠き、広告のパーソナライズ(利用者の興味や関心などに基づいたターゲティング広告)に関して利用者の同意が適格に得られていないとしています。具体的には、利用者が自身のデータがいかに処理されるかを知るために、5回か6回ステップ踏まなければならず、得られた同意が「特定」されておらず「明白」でもないというところが不適切だとしています。Googleは異議を申し立てることも可能ですが、今後の動向を注視する必要があります。
また、情報の漏えい事故でいえば、昨年、英国の航空会社ブリティッシュ・エアウェイズで起こった事故もGDPR違反になるのではと取り沙汰されました。ブリティッシュ・エアウェイズはサイバー攻撃により、不正を防ぐためのセキュリティコードも含めて流出したのが7万7千件、セキュリティコードを除くデータが盗まれたものが10万8千件で、38万件の情報流出のうち、実際に影響があったのは24万4千件だったとしています。
ブリティッシュ・エアウェイズの場合、データ侵害を速やかに報告し、問題を周知するため新聞広告も掲載しています。このような対処が評価されたのか、GDPR担当委員による精査は開始されていない模様です。しかし、ブリティッシュ・エアウェイズが、同社のWebアプリケーションが完全に安全ではないことを1年前には知っていたという証拠もあるとのことです。
なお、GDPRでは第33条において個人データの漏えいが発覚した時点から72時間以内に監督機関に報告すること、第34条において遅滞なく被害者(データ主体)に通知することを義務付けています。また、監督機関への報告には少なくとも以下の1~4を、被害者への通知には2~4を含むこととしています。
- 漏えいした個人データの種類と件数
- データ保護責任者の名前と連絡先、詳細情報を得られる方法
- 個人データの漏えいによって想定される被害
- 実施済みあるいは実施予定の対策
また、GDPRでは、「個人データ侵害」を、第4条第12項で次のように定義しています。
(転送、保存、その他の処理を受けている個人データに関する偶発的又は違法な破壊、紛失、変更、不正な開示又はアクセスに至るセキュリティの侵害)
GDPRの本文を確認すると、以下の両方を想定していると考えられます。
- 違法な外力によりセキュリティが破られる状況
- システムの不具合又は業務上のミスによりセキュリティが破綻する状況
ガイドラインでは、データ侵害には次の3つの類型があるとします。
- 可用性の侵害(availability breach):違法な又は偶発的なデータアクセスの喪失又は破壊。データが利用できなくなること。
- 完全性の侵害(integrity breach):違法な又は偶発的な変更。データが書き換えられること。
- 秘匿性の侵害(confidentiality breach):違法な又は偶発的な変更。データが覗かれること、漏えいすること。
個人データの侵害というと、典型的なケースとして、秘匿すべき重要な情報(例えばアカウント情報、カード情報など)の漏えい、盗取を想定しがちですが、本来利用できるべきデータが利用できなくなる「可用性の侵害」、データが変更・改ざんされる「完全性の侵害」も、GDPRが通知義務の適用として想定するデータ侵害となるということです。例えば、医療機関で重要な医療データが一時的であっても利用できなくなった場合、患者の生命・健康にリスクを及ぼす可能性があるので、これも通知・公表する必要があるということに注意しなければなりません。
GDPRでは、監督機関は、プライバシーや個人情報保護の状況を監督する独立した公的機関と定義されています。GDPRの条文では、例えば以下のように、監督機関への通知が必要な要件があります。
- 個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内に個人データの侵害を管轄監督機関に通知しなければならない(第33条)
- データ保護オフィサー(DPO)の詳細な連絡先を公開し、監督機関に通知しなければならない。(第37条)
データ保護監督機関は捜査や是正措置を通してデータ保護法の適用を監督する独立した公的機関です。各EU加盟国に設置されており、以下のサイトで、各国の監督機関が確認できます。
▼European Commission
主管監督機関(リード・オーソリティ)については、ガイドラインもでており、JETROによって和訳もされています。
▼「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(第 29 条作業部会ガイドライン編)
GDPRの原文から、監督機関の記述の部分を引用すると以下の通りです。
Article 4 Definitions
(21) 「監督機関」とは、第51 条により加盟国によって設立された独立した公的機関をいう。
(21) ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;
(22) 「関係監督機関」とは、次に掲げるいずれかの事由により、個人データの取扱いに関係する監督機関をいう。
(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
(a) 管理者又は取扱者が当該監督機関の加盟国の領域内に存在する。
(a) the controller or processor is established on the territory of the Member State of that supervisory
authority;
(b) 当該監督機関の加盟国に居住するデータ主体が、当該取扱いによって実質的に影響を受けているか、又は実質的に影響を受け得る。
(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
(c) 当該監督機関に苦情が申し立てられている。
(c) a complaint has been lodged with that supervisory authority;
3. 国内での対応における留意点
国内の過去の個人情報漏えい事案を元に、各企業が漏えい発覚後に行った一連の対応では、経済産業省などの監督機関への報告までに数ヶ月要しているケースもあり、事前の対策なしに72時間以内という短期間に上記項目を報告することは困難だと言えます。
また、そもそも事故・事件が発生してから、企業・組織がそれを認知するまでも数ヶ月を要しているというのが現状です。
SPNレポート2018「情報漏えい事故に関するアンケート」
上記「情報漏えい事故に関するアンケート」では、事件・事故が発生してから企業・組織として認知するまでの期間を示しています。「1 ヶ月未満」での発覚が 52.1%、「3 ヵ月未満」は 18.8%、「6 か月未満」が 10.7%、「1年未満」が 1.6%、「1 年以上」が 6.8%という結果となっています。事故が発生してから、発覚するまでの期間が短ければ短いほど、速やかな対応や被害等の拡散を防ぐ手立てを講じることができます。一方で、数年前に流出した情報が今になって被害が発覚し、対応に追われるケースも実際にあります。
情報漏えい事故発覚の契機では、「自社(自団体)の社員が発見」「顧客・会員からの通報」「当事者(原因主体)による申告・報告」「内部監査」がそれぞれ20%以上を占めており、事故発覚の契機は「勤務先内から」と「勤務先外から」に分けることができます。大別した結果をみると、「勤務先内から」が全体の回答数の約 6 割を占めています。一方、「勤務先外から」は、その約半数です。
このように、漏えい時に限られた時間内に正確な報告を行うためには、予めインシデント対応の態勢を整備し役割分担や手順を明確にしておく必要があります。加えて、前述の「(1)漏えいした個人データの種類と件数」「(4)実施済みの対策(自社および関与委託先)」を早期に取りまとめるためには、「個人データの移転経路」「システムで実施していた安全管理対策」「(委託先が関わる場合)委託先で実施していた安全管理対策」を定常的に取りまとめ、把握しておくことが求められます。これらの情報を台帳として管理しておくことで、漏えい事案が発生した場合に速やかに事態を把握し、速やかな対応の実施を目指す必要があります。
その他、報道によれば日本国内の動向として、個人情報保護委員会が近く個人情報保護法を改正する検討を始め、個人情報を漏えいした企業に報告を義務付けと報告対象となる基準も設けるとしています。商品開発やサービス向上のため個人情報を収集する企業が増え、漏えいが重大な事故を引き起こすリスクが高まっているのに対応するとしており、企業の漏えい防止への意識を高めるとともに、起きた場合には素早い措置を取るよう促すものです。流出情報の件数や、病歴や犯歴など特に重要な情報が入っているか、暗号化をどの程度施しているかなどが対象になる見通しで、基準に満たない軽微な案件は報告を求めず、企業側に過度な負担にならないようにするとしています。
また、違反企業には勧告や命令などで是正を求めるとしており、命令にも違反した場合、30万円以下の罰金が適用されますがが、金額が低すぎて実効性に乏しいとの声があり、罰金上限を引き上げる方針で、課徴金の導入なども検討課題になっています。
スタートアップから大企業まで、個人情報を集めて事業に生かそうとする動きが広がっています。一方でネットや交流サイト(SNS)の普及で、企業側の故意かどうかにかかわらず、流出案件が重大な事態に発展する傾向にあります。現行法では漏えいの報告は努力義務にとどまり、企業の判断に事実上委ねられています。
今後事故対応にあたり、単に社内ルールを整備するだけではなく、実際に機能する仕組みを整える必要があります。このため社内のレポートラインを明確にしたうえで、複数の事故発生シナリオを想定して、連絡、意思決定ができるプロセス、体制を整備する必要があるでしょう。
GDPRの遵守に限らず、被害者など外部からの通報で被害が発覚した場合は、隠蔽などが疑われ、組織の管理体制を大きく問われることになりますし、事故が発生しても長期間、表沙汰にならないことが多いため、漏えいした情報の規模や影響が大きくなる可能性が高まります。このような、被害が顕在化するまで侵入や情報の持ち出しの事実に”気づけていない”だけのケースも現実には多くありますので、現在の対策が本当に機能しているかどうかの確認と、情報管理上の不備や脆弱性を積極的にチェックして自ら問題に”気づける”取り組みが求められます。
4. GDPRにおける外注・委託管理
GDPR遵守対応では、欧州から日本など第三国への個人データの移転に関すること、個人データ処理に対する「同意」の正しいとり方や同意が及ぶ範囲に関すること、データ保護影響調査の要否と実施方法に関することの他、これらに劣らず重要なポイントが、個人データ処理の外注・委託管理に関する規制強化です。
個人データ処理の外注を受託する事業者は、GDPRにおいて「処理者」(processor)と称されます。管理者が個人データ処理の目的と手段を決定する責任主体であるのに対して、処理者は、管理者からの書面による指示に基づいて、管理者が決定した目的と手段に従って個人データ処理を実際に行う主体です。個人データ処理における外注の典型的な例として、仮想マシン、ストレージなどクラウド・インフラ・サービスの利用、メール、給与管理、営業管理などクラウド・アプリケーション・サービスの利用、個人データを取り扱うシステムのデータ保守管理、個人データの取扱を伴うビジネスプロセスのアウトソーシングなどが考えられます。
適切な外注管理を怠ったことを理由として管理者が制裁金を賦課されたケースは、旧EUデータ保護指令(95/46/EC、以下「旧指令」)に基づくEU加盟各国の個人データ保護法制においても見られました。イギリスのデータ保護監督機関であるICOにおける最近の事例は以下の通りです。
- ECサイトのカード情報漏えいに制裁金(2017年4月)
- 建築資材ECサイトを運営するC社からECサイト開発運用を受託したX社が開発したシステムにセキュリティホールがあり、これを放置した結果、SQLインジェクションの手口で顧客600名以上の個人データを盗取され、詐欺目的に利用された。ICOは、管理者(外注委託者)であるC社が個人データ保護のための適切な技術的対策をとらなかった、具体的には定期的なペネトレーションテストなど必要な予防措置を怠ったとして、C社に制裁金を課した。
- ゲートウェイ機器の脆弱性を攻撃され個人データを漏えいさせた市役所に制裁金(2017年5月)
- イングランドの某市役所が利用中のSonicWallを管理する外注業者が同機器のOpenSSL脆弱性に対応するパッチの適用を怠った結果、同脆弱性を利用して30,000通のメールが盗取された。ICOは市役所がリスクに相応のセキュリティ対策をとるよう外注業者を管理できなかった責任を認め、制裁金を課した。
上記2例に共通するのは、外注業者(処理者)のミスが原因で、データ侵害事故が発生し、管理者が制裁金を賦課されていることです。データ侵害事故を未然に防止するため、管理者としては、自社内の業務プロセスにおいて個人データの漏えい、誤用などがないよう細心の注意を払うだけではなく、外注・委託している処理業務についても、そのプロセスに潜むリスクを評価し、リスクシナリオが発現する可能性と深刻度に応じて、データ保護のために必要なセキュリティ対策をとるよう、処理者(外注受託業者)に指示しなければなりません。また、そのような対策の実行を監視し、事情変更の際にはリスク評価のプロセスを再度行うなど、処理者に対する日常的なチェックを続ける必要があります。
GDPRでは、個人データの処理に関与するすべての関係者(管理者、処理者、再処理者)に対して、適切な保護措置を実行するとともに、データ主体の権利を保証するために必要な義務を課しています。また、管理者に対しては、それら関係者全員の義務履行を証明する責任(アカウンタビリティ責任)を課することによって実効性を確保しようという考えから、管理者の処理者(外注受託業者)に対する管理責任に関する規制が大幅に強化されました。
今後、あらゆる製品や工場がネットワーク化される中、間隙を突くサイバー攻撃の基点が増えて手法も高度化しています。正面突破は難しい組織であっても、まずは防御の手薄な グループ企業、取引先企業、関連組織などを侵入口として攻撃し、そこから標的へ潜 入するというものです。自動車や航空機、発電設備といった企業の取引先は数千を超え、その多くはサイバー対策に人手や経営資源を割く余裕がないのが現状ですが、”末端に至るま で安全を確保する責任を負う”「サプライチェーンマネジメントの厳格化」が今、企業に要求されています。パートナーととも に脅威に対する共通の認識を持つとともに、脆弱性を把握し優先すべきセキュリティ を確保することが、結果としてサプライチェーン全体を守ることになり、結局は自社の対策に繋がるものといえます。
- 旧指令とGDPRの外注管理規制の比較
- 再処理に関する旧指令及びGDPRの規制内容の概要を比較したのが次の表です。特筆すべき規制強化点は、下記4点です。
- 処理者(外注受託業者)による個人データの処理は管理者(外注委託者)の書面による指示に基づいてのみ行うこと。
- 復処理(再委託)は管理者からの書面による同意が必要であること。
- 処理に関する遵守義務を広い範囲にわたって契約書面化することを義務づけ、復処理(再委託)が連鎖する場合はこれらの遵守義務も連鎖するような構造としたこと。
- 管理者のアカウンタビリティ責任履行に対する処理者の支援義務を定めたこと。
- 再処理に関する旧指令及びGDPRの規制内容の概要を比較したのが次の表です。特筆すべき規制強化点は、下記4点です。
旧指令 |
GDPR |
|
---|---|---|
処理者の選択 |
実施する処理に関する技術的安全対策及び組織的対策について十分な保証を提供する処理者を選択しなければならない。 |
GDPRの要求を満たし、データ主体の権利保護を保証できるよう、適切な技術的・組織的対策の実施を十分に保証する処理者を選択しなければならない。 |
管理者の指示 |
処理者による個人データの処理は、管理者からの指示に基づいてのみ行わなければならない。 |
処理者による個人データの処理は、管理者からの書面による指示に基づいてのみ行わなければならない。 |
契約を書面化しなければならない事項 |
|
|
処理再委託の事前書面同意 |
|
管理者による事前の書面同意がなければ、処理を再委託してはならない。 |
復処理における義務の連鎖 |
|
処理の再委託が連鎖する場合、書面による契約で、最初の処理契約と同じデータ保護義務を受託者に対して連鎖的に課すこと。 |
個人データ処理記録 |
|
|
5. 国内で問題となった外注・委託管理事案
昨年、厚生労働省が外部委託したデータ入力業務が無断で海外企業に再委託された事案がありました。委託先のSAY企画は日本年金機構でも同様の契約違反をしていたとのことです。本事案、SAY企画だけの責任とみるのは早計であり、契約が遅れ業務が未完にもかかわらず代金を支払うなど、厚労省にも問題がありました。また、入札予定額が低く、SAY企画しか応札しなかった実態も一因だといえます。
また、無断で委託していた海外の再委託先を含め、データ入力に関する委託業務全体の実態解明に向けて、厚労省は昨年10月から調査を始め、調査結果がまとまるのは2019年になる可能性が高いとしています。
そもそも一連の問題の発端は、厚労省が管轄する日本年金機構が2018年3月に記者会見で公表した内容まで遡ります。年金受給者から提出された「扶養親族等申告書」について、合計約95万2000人分のデータ入力にミスがあったとする内容です。この入力委託業務でも、受注したSAY企画は年金機構に無断で中国・大連の関連会社に再委託していたことがわかっています。本事案では、データ入力に関わる企業で構成する業界団体である日本データ・エントリ協会(JDEA)は「発注者も責任がある」と指摘しています。年金機構が作業に十分な期間や費用を確保せずに発注したため、SAY企画が人手を増やして納期に間に合わせようと中国企業に再委託したとみられるためです。約800人の入力作業者をそろえるとしていたところ、約130人しか確保しておらず、一度入力したデータを別の担当者が再入力して品質を高める「ベリファイ入力」を実施していなかった事実やOCR(光学的文字認識)処理で読み取り精度が低かった漢字を中国企業に入力させていたことも分かりました。SAY企画では納期遅れが常態化し、工程ごとに入力件数を確認する作業も怠っていたため、大量の入力漏れが発生しました。
その他にも、厚労省は2018年7月、SAY企画と契約した2013~2017年度の業務委託で複数の契約違反があったと公表しています。
例えば、東京電力福島第一原子力発電所の作業員約2万人分の被曝線量や健康診断データの入力業務です。SAY企画は2017年に3カ年契約で同業務を約1億5600万円で受託しています。2017年末までに約700人分のデータ入力に誤りが見つかり、厚労省はSAY企画にデータの訂正と再発防止策を求めました。データの訂正は2018年2月までに完了しましたが、十分な再発防止策は提出されず、業務体制の変更についても事前報告がないといった契約違反が判明しました。
会計検査院の調査では、SAY企画が中国以外にベトナムや日本の企業にも無断で再委託していた契約違反も明らかにしました。
調査結果を受け、厚労省は再発防止策を公表し、個人情報を含むデータの入力委託で総合評価落札方式を原則とするほか、職員研修や委託先への立ち入り調査の徹底、会計課による契約作業の進捗確認などを盛り込みました
弊社での事案対応経験からすると、業務委託先の管理実態は、今後特に留意が必要な点だと言えます。業務委託先や再委託先企業の情報セキュリティレベルをどれくらい把握しているでしょうか。委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいと言えます。また、委託関係においては、今後、BPO(Business Process Outsourcing)における個人事業主やフリーランスの活用や、BCP(Business Continuity Plan)における有事の際の在宅勤務等、様々な場面で情報セキュリティに対するモラルや問題も厳しく問われていくことになります。
また、海外拠点における委託先(業務委託先及び物品調達先)における情報セキュリティ対策も同様で、自国内の自社拠点に比べると十分ではないといえるのではないでしょうか。海外拠点については、法制度や商慣習、文化の違いによる特性があり、共通の基準・ルールを単純に適用できない点が問題となります。このような中、海外企業の M&A が増加すると、異文化の企業群を横断的にグリップする、(グローバルレベルでの)情報セキュリティガバナンスの確立が極めて重要になります。リスクに対する認識の共有、統一基準と現地の裁量のバランス、情報セキュリティ対策や事故報告の徹底、見える化など、手間をかけ成熟度を高める取り組みが必要となります。また、委託先については、発注元として対応の遵守を求めるだけでなく、委託元がイニシアチブを取る形で委託先の教育・啓蒙活動に取り組み、底上げを図る必要があります。
2.最近のトピックス
◆フィッシング対策協議会「2018/11 フィッシング報告状況」
12月3日、フィッシング対策協議会は、2018年11月の月次報告書を公開しました。これによると、フィッシング報告件数は1,652件となり、前月(1,100件)より552件増加しています。また、フィッシングサイトのURL件数は1,096件で、こちらも前月より211件増加、フィッシングに悪用されたブランド件数は36件で、こちらも前月から5件増加しています。
11月は、前月に引き続き、SMS(ショートメッセージサービス)を用い、宅配業者の不在通知を装ったフィッシングメールや、マルウェアサイトに誘導しようとするメールに関する報告が多く寄せられています。
また、AmazonやApple、LINE、PayPalをかたるフィッシングも引き続き多く、特に、Appleを騙るメールは一度に大量のフィッシングメールが配信されており、この傾向はしばらく続く可能性が指摘されています。
◆フィッシング対策協議会「2018/12 フィッシング報告状況」
1月7日、フィッシング対策協議会は、2018年12月の月次報告書を公開しました。これによると、フィッシング報告件数は1,884件となり、前月(1,652件)より232件増加しています。また、フィッシングサイトのURL件数は1,259件で、こちらも前月より163件増加。そして、フィッシングに悪用されたブランド件数は37件で、こちらも前月から1件増加しています。
12月も引き続き、SMS(ショートメッセージサービス)を用い、宅配業者の不在通知を装ったフィッシングメールや、決済の不正利用を目的としたフィッシングメールの報告が続いています。フィッシングに利用されるブランドは、こちらもAppleやAmazon、クレジットカード会社に関するフィッシングの報告が多く寄せられており、AppleやAmazonを騙るフィッシングは、次々と新しいメール文面やURLに変わっており、セキュリティソフトのフィルタリングをすり抜ける可能性が指摘されています。
従来は電子メールを通じてインターネット利用者を誘導し、会員登録制サイトで利用料をだまし取っていた詐欺サイトへの入り口が、Facebook、TwitterやLINE、その他のソーシャルメディアにも拡がっています。内容も従来のサクラサイト詐欺では出会い系や儲け話(「必ず儲かります」「1億円差し上げます」など)の短絡的な手口が中心でしたが、最近では、芸能人をはじめ、社長、弁護士、占い師など多様なサクラ(偽客)を騙る手口に変わってきています。以前、FacebookやTwitter、mixi、モバゲーなどのSNSで知り合った相手に、”デート商法”で「必ずもうかる」と持ちかけた商品を売りつけ、18府県の延べ約1000人から計約9億6000万円を詐取していた容疑者が逮捕されたことが報道されました。
重要・機微情報や金銭の詐取を目論む詐欺集団は、ソーシャルメディアを悪用し、より巧妙な手口でパソコンだけでなく、スマートフォンなどのモバイルユーザもターゲットにしていることにも注意する必要があります。
フィッシング詐欺には、心がけだけでは防げない巧妙な手口のものもありますので、そもそも不審なメールを受信させない、不審なサイトへアクセスさせないための技術的対策も重要です。また、フィッシング詐欺も含め、人間を騙すソーシャルエンジニアリング手法に対しては、「手口を知り騙されない」ことが重要です。もし受け取ったメールやアクセスしたWebを見て、何かがおかしいと感じたり、疑わしいと感じたりした場合、高い確率でその懸念は当たっている可能性があります。
ビジネスメール詐欺を含むフィッシングで弄されるさまざまな心理的詐術を完全に防ぐことはできません。しかし、日々受信するメールや閲覧するWebサイトには偽物やなりすましが多く存在し、騙される可能性があるということを客観的に理解しておくことは大きな意味があります。自分は騙されないという意識(あるいは確証バイアス)こそが、最大の弱点になり得るからです。
◆マカフィー第5回「2018年のセキュリティ事件に関する意識調査」
12月11日、マカフィーは「2018年のセキュリティ事件に関する意識調査」の結果を「2018年の10大セキュリティ事件」としてランキング形式で発表しました。これは、国内企業の経営層や情報システム部門などのビジネスパーソンを対象に行われた調査結果をまとめたもので、第1位には、史上最高額の被害をもたらした仮想通貨取引所コインチェックからの仮想通貨流出事件がランクインしています。
また、ビジネスメール詐欺をはじめとする、悪質なメールによる詐欺事件や、他人のコンピューターリソースを使って、不正に仮想通貨の「マイニング」を行うWebサイトの問題などがランクインしています。
個人向けの脅威では、フィッシングサイトに誘導する詐欺の手口が複数ランクインしており、気をつけていても不審なメールを見分けることが難しいほどに巧妙化している点が指摘されています。これまで以上に、メールの取り扱いには慎重を期すとともに、添付ファイルやメール本文に記載のリンクに十分注意することが求められます。
第1位:コインチェック 秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出
第2位:佐川急便をかたるフィッシングメール。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用される
第3位:海賊版サイト「漫画村」が社会問題に 一部では、利用者のデバイスを仮想通貨マイニングに利用
第4位:アダルトサイトの閲覧を周囲に暴露すると脅して、仮想通貨の支払いを要求する「性的脅迫」の手口を使った詐欺メールが出回る
第5位:「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleをかたるフィッシングメールが出回る
第6位:Facebookでインシデント相次ぐ 機能テスト中のバグで1400万人が意図せず投稿を「全員に公開」、2,900万人分の個人情報が流出
第7位:ルーターへのサイバー攻撃が相次ぎ、パソコンやスマートフォンでネットが使えなくなる不具合が多発 NTT、ロジテック、バッファローの機種で被害を確認
第8位:JALがビジネスメール詐欺により、偽の請求書メールにだまされ約3億8000万円の被害に
第9位:ツイッター 偽アカウントを一斉削除 対象は数千万件規模に上るとみられ、一部利用者のアカウントからは急激にフォロワー数が減る可能性が
第10位:「重要 : 必ずお読みください」というタイトルでフィッシングサイトへ誘導する、セゾンNetアンサーをかたるフィッシングメールが出回る
2019年は、サイバー攻撃の手口として人工知能(AI)が用いられ偽装がより高度になると予測されています。機械学習によりセキュリティ対策を回避したり、標的とする企業や組織に属する人の動きをAIで予想し、破壊活動や情報の操作、抜き取りや恐喝に利用されるでしょう。被害を減らすのにまず重要なのは、社会全体でこの問題への理解を深めることが重要です。そして、すべての企業や利用者が常に攻撃を受ける対象となっていることを理解する必要があります。防御には限界があることも認識したうえで、事故の発生を想定した対策づくりや訓練もあわせて実施し、脅威に備えることが求められます。攻撃者側の手口は激しく変化しており、一過性の対策では追いつけない。動向を常にチェックし、自社にとっての脅威を可視化して、なぜ狙われるのかを理解してこそ効果的な対策が可能となります。
◆ウェブルート「2019年脅威動向予測」
12月14日、セキュリティ対策企業のウェブルートは「2019年セキュリティ脅威動向予測」を発表しました。これは同社のサイバーセキュリティ担当による分析をまとめたもので、まず2018年の総括として、大手IT企業から航空会社までサイバー攻撃や脅威に関する被害が相次いだ点を挙げ、また、個人を標的としたクリプトジャッキング(仮想通貨の「マイニング」を不正に行うこと)がグローバル規模で発生した点を指摘しています。
その上で、2019年の予測として以下の6点を挙げています。
(1)生体認証システムの増加
ユーザー認証の手段として、生体認証システムの導入・利用がさらに増加するとみられる。
(2)IoT機器/接続デバイス認証団体の発足
スマート家電など、コンシューマー向けIoT機器/接続デバイスの認証団体が発足することが考えられ、「セキュリティ・バイ・デザイン」の概念が義務づけられる。
(3)無料Wi-Fiの需要増加
2019年のラグビーワールドカップ、2020年の東京オリンピック・パラリンピックなどの世界的スポーツイベントが相次ぎ、無料Wi-Fiの需要が増加する。
(4)標的型攻撃の広がり
より高い精度で標的を絞った計画的なサイバー攻撃が今後も発生すると考えられる。
(5)ゼロデイ攻撃の減少
ゼロデイ攻撃や個人情報の搾取は減少するとみられ大規模なハッキング事件は少なくなると予測される。
(6)ランサムウェアからクリプトジャッキングへ
ランサムウェア対策が進み、攻撃者は上述したような標的型攻撃や、より巧妙なクリプトジャッキングなどへ攻撃手段をシフトしていくと考えられる。
※補足:クリプトジャッキングとは
クリプトジャッキング(crypt jacking)とは、仮想通貨の「マイニング」(「採掘」の意)を不正に行うことです。マイニングとは、仮想通貨の取引に必要な計算に協力した対価として仮想通貨を獲得できる仕組みです。ビットコインをはじめとする仮想通貨は、P2Pネットワーク上で取引台帳を分散管理しています。そこで、新たに発生した取引の正当性を、参加者が自身のコンピューターリソースを使い複雑な暗号問題を解くことで検証します。
つまり、マイニングは、利用者が自分のパソコンを使って生成することができる仕組みといえ、マイニングを行うためのツール(コインマイナー)も広く出回っています。こうした仕組みを悪用し、他者のコンピューターリソースを使って不正にマイニングを行うのがクリプトジャッキングです。代表的な手口は、悪意ある第三者がユーザーのパソコンをマルウェアに感染させ、マイニングを行う手口や、Webサイトを改竄するなどして不正なコードを仕掛け、ユーザーがサイトを閲覧すると、マイニングを行うコードが実行され、悪意ある第三者が仮想通貨を得る手口などがあります。
クリプトジャッキングが注目を集めた契機となったのが、2017年に公開されたCoinhive(コインハイブ)というマイニングツールです。これは、Webサイト管理者がコインハイブのコードをサイトに埋め込むことで、サイト閲覧者のコンピューターリソースを拝借し、マイニングを行うものです。ツールの目的は、サイト管理者の「広告に代わる」収益源となることにありましたが、このツールを利用者に通知せずにWebサイトに設置するケースがいくつか報じられ、サイト管理者が警察に検挙される事案に発展するケースもありました。警察庁は昨年6月、ホームページ上で「閲覧者に明示せずに設置した場合、犯罪になる可能性がある」との見解を示しましたが、一部のエンジニアや専門家は「範囲を広げすぎ」「法の拡大解釈だ」との反発もあります。一方、マイニング自体は、インターネット上で仮想通貨を獲得できる手段の一つですが、サイト上に仕込まれたプログラムにより、無断で閲覧者のパソコンやスマートフォンにマイニングを行う不正サイト急増が国内外で問題視されている背景もあります。
警察庁「仮想通貨を採掘するツール(マイニングツール)に関する注意喚起」
いずれにせよ、利用者がクリプトジャッキングによる被害を防ぐためには、Webブラウザで不正なコードが実行されないように、JavaScriptを実行しないようにする対策があります。
また、マルウェアに感染しないための対策として、メールの取り扱いは慎重を期し、添付ファイルやメール本文に記載のリンクに十分注意することが大切です。そして、OSやアプリケーションを常に最新の状態に保つ(脆弱性を解消しておく)ことや、最新のウイルス対策ソフトを導入し、定義ファイルを自動更新し、常に最新の状態に保つといった基本的なマルウェア対策も併せて行うとよいでしょう。
企業は、従業員が組織に無断でマイニングツールを利用することがないように、組織内でソフトウェアの扱いに関するセキュリティポリシーを定め、必要に応じてアクセス制限などを実施する必要があります。
3.最近の個人情報漏えい事故(2018年11月、12月)
下記の表は、今年11月と12月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 | 発生原因 | 対象 | 備考 | |
---|---|---|---|---|
1 | 総合病院 | USBメモリ紛失 | 最大48人の患者の氏名や患部の画像 | |
2 | 国立大学 | メール誤送信 | メールアドレス51件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
3 | 県 | メール誤送信 | 企業の担当者名とメールアドレス | 送信先の誤り |
4 | 市立小学校 | 書類紛失 | 卒業生103人の名前や成績などが記載された「児童指導要録」 | 誤廃棄の可能性 |
5 | 市民病院 | 外付けHD紛失 | 患者37人分の手術動画が保存されたハードディスクで、その内の23人分は氏名、生年月日、住所などが記載された用紙の画像 | |
6 | 県立図書館 | メール誤送信 | メールアドレス3,294件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
7 | 県立高校 | 書類紛失 | 生徒203人の名前と成績等 | |
8 | 電力 | メール誤送信 | メールアドレス556件 | 「Bcc」で送信すべきところを誤って「To」 |
9 | 国税局 | 書類紛失 | 個人の住所・氏名などが記載された住宅ローン減税証明書の控え5,231枚 | 誤廃棄の可能性 |
10 | 町 | メール誤送信 | メールアドレス350件 | 「Bcc」で送信すべきところを誤って「To」 |
11 | 福祉相談センター | 書類紛失 | 職員14人分の住所・氏名・家族の氏名などが記載された履歴書や人事評価書 | 職員が自宅最寄駅で下車した際、自宅作業のために持ち出した当該書類の入った鞄を座席の足元に置き忘れ、紛失 |
12 | 保育園 | USBメモリ紛失 | 園児の氏名や住所、保護者の勤務先など | 当該USBメモリが入った鞄を車に残したまま公共施設に立ち寄り、約1時間後車に戻ると、窓ガラスが割られ、当該鞄が盗まれていた |
13 | ガス | メール誤送信 | メールアドレス662件 | 「Bcc」で送信すべきところを誤って「Cc」で送信 |
14 | コンサルティング | 外付けHD紛失 | クライアントの代表者の氏名、住所のほか、クライアントの顧客の氏名、住所などが記録されたハードディスク | 社員が移動中の電車内に置き忘れ、紛失 |
15 | 市 | 書類紛失 | 生活保護を受給している100人が医療扶助を受けるため氏名や住所、病状などを記載した書類 | 紛失の経緯は不明で、今後は個人情報を含む重要な書類は直接渡すなど、再発防止策を徹底するとしている |
16 | 町 | メール誤送信 | メールアドレス56件 | Bcc」で送信すべきところを誤って「To」 |
17 | 県警 | 書類紛失 | 氏名などが記載された交通反則切符など | 巡査が交通違反の取り締まりから戻ったところ、紛失に気付き、立ち寄った場所などを捜したところ、市内の駐車場で見つかったとのこと |
18 | マスコミ | メール誤送信 | メールアドレス299件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
19 | 市 | メール誤送信 | メールアドレス256件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
20 | 消費者庁 | メール誤送信 | ファイルを誤添付し、当該2事業者とは異なる他の2事業者に情報が流出 | |
21 | 商業高校 | ノートPC紛失 | 卒業生を含む約200人の氏名、住所など | |
22 | 市 | メール誤送信 | メールアドレス85件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
23 | 観光協会 | メール誤送信 | メールアドレス385件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
24 | 市 | 書類紛失 | 生活保護受給者99人の氏名、住所などが記載された名簿 | 車の屋根の上に当該名簿を置いて不在連絡票を記入し、記入後そのまま車で出発し、紛失 |
25 | 県 | メール誤送信 | メールアドレス13件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
26 | 銀行 | 誤送付 | 住民票や健康保険証の写しで、口座の開設を申請した2人の顧客 | 書類を返送する際、誤って互いの書類を取り違えて、それぞれに送付 |
27 | マスコミ | メール誤送信 | メールアドレス400件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
28 | 警察署 | FAX誤送信 | 火事で死亡した2人の司法解剖の結果などを記録した報告書 | 巡査が地元の新聞社に広報文だけを送信すべきところを、誤って当該報告書も送信 |
29 | 町 | タブレット端末紛失 | 358人分の土地の地番や所有者の名前、住所など登記情報 | 量業務を請け負った企業の職員が現地調査を行った際、当該端末をどこかに置いたまま作業をし、置き忘れた |
30 | 市 | USBメモリ紛失 | 授業を担当している3クラス115人分の氏名と成績など | 個人情報を紛失した教諭に対し、減給1カ月とする懲戒処分を、11月2日付けで実施 |
31 | 市 | 書類紛失 | 介護認定申請者の氏名や住所、電話番号、生年月日、性別のほか、介護保険被保険者番号、家族の氏名や電話番号、身体機能の状況、主治医の意見書の内容など56人分の個人情報 | 誤廃棄の可能性 |
32 | 幼稚園 | 書類紛失 | 園児18人分の氏名や電話番号、緊急連絡先の氏名や電話番号、続柄、および保護者の勤務先や電話番号、勤務時間など | |
33 | マスコミ | ノートPC紛失 | 氏名や住所、生年月日、メールアドレスなど、同社が運営に関わったシンポジウムへ参加を申し込んだ約1900人分の個人情報 | 同社従業員が都内の電車内に鞄ごと置き忘れ |
34 | メーカー | ノートPC紛失 | 担当者の氏名や電話番号、担当部署と役職、メールアドレス、会社名、会社住所など顧客情報619件 | |
35 | 通販 | 不正アクセス | 無料サンプルを請求した顧客のメールアドレスのべ2万7916件 | |
36 | 大学病院 | 不正閲覧 | 312人が同カルテを閲覧しており、なかには診療や業務に関係のない職員による閲覧が含まれている | 殺人事件の被害者として搬送された患者のカルテに対し、不適切な閲覧記録が確認された |
37 | 私立大学 | 不正アクセス | 氏名や住所、電話番号、生年月日、メールアドレスのほか、国籍、本籍地、学歴、職歴、研究業績などの個人情報 | 職員のメールアカウントが不正アクセスを受け、同アカウントで送受信した一部メールが、外部に流出した可能性 |
38 | 県 | メール誤送信 | メールアドレス25件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
39 | 大学病院 | USBメモリ紛失 | 患者500人の氏名や生年月日、コードを用いた移植様式、患者識別番号、存命状況などの情報 | 医師が研究目的で患者の個人情報を保存していたUSBメモリを紛失 |
40 | 府 | 不正アクセス | 事業で使用していたサーバが不正アクセスを受け、メールアカウントが迷惑メール送信の踏み台に悪用された | 総務省より迷惑メールに関する情報提供があり問題が判明。委託先へ連絡し、問題のメールアカウントを廃止した。今回の不正アクセスを通じて約2万4000件の迷惑メールが送信された。同事業を委託していた事業者との委託契約は終了していたが、委託事業者は不要になったメールアカウントを廃止していなかった。 |
41 | 医療 | 誤送付 | ドナーに関する個人情報にくわえ、骨髄移植を受ける患者のIDや年齢や性別、身長、体重、血液型、移植施設の名称や住所、電話番号、移植責任医師の氏名など | 骨髄移植を受ける患者の情報が記載された書類を、骨髄の提供者であるドナーへ誤って送付 |
42 | メーカー | 不正アクセス | 9655件のメールアドレスとパスワード | |
43 | 通販 | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなどクレジットカード情報397件 | |
44 | 県 | 書類紛失 | 保護の申請者である被害者の氏名や性別、生年月日、配偶者による暴力のため一時保護されたことの証明など | 「配偶者からの暴力の被害者の一時保護に関する証明書」が、発送後に所在不明 |
45 | 通販 | メール誤送信 | メールアドレス3100件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
46 | 市 | 不正入手 | 職員が市営住宅の退去を申し込んだ女性の携帯電話番号を無断で持ち帰り、非出勤日だった日に自身の携帯電話から上長の許可なく女性に電話をかけた。通話では退去にともなう修繕などの履行状況などを確認。さらに女性に業務と関係ない個人的な質問などを行い、通話後に謝罪のショートメッセージを送信した。 | 同市では個人情報保護条例や地方公務員法に違反するとして、11月29日付けで同職員に対し、停職3カ月の懲戒処分を実施 |
47 | SNSサイト | 不正アクセス | 氏名やメールアドレス、ユーザーごとにソルトを追加したハッシュ化済みパスワード、リンクしたネットワークからインポートされたデータなどのアカウント情報約1億件 | 同社では影響を受ける利用者にメールで通知を行っているほか、全容の解明に向けて外部事業者の協力のもと詳細について調査を進めている |
48 | 区立小学校 | 誤公開 | 登下校誘導員1人の自宅電話番号、および住所と携帯電話番号の一部にくわえ、もう1人に関しても氏名が含まれていた。Instagramアカウントに閲覧制限は設定しておらず、不特定多数が閲覧できる状態だったという | 教職員が職員室内の自席で給食の画像を撮影。同日勤務終了後にInstagramに投稿したが、机上にあった登下校誘導員の名簿が一部写り込んでいた。東京都教育庁から同区教育委員会へ連絡があり、問題が判明。 |
49 | 求人サイト | 不正アクセス | 最大3万5775人分のメールアドレスやパスワード、生年月日などの登録情報 | 会員が同サイトでのみ登録していた情報を含むスパムメールや不審な郵便物が届いたことで判明 |
50 | 都 | 不正入手 | 職務上の必要がないにもかかわらず、児童相談センターの所長名義で文書を偽造。第三者の戸籍謄本や住民票の写しなどを不正に入手 | 第三者の戸籍謄本や住民票の写しなどを不正に入手したとして、福祉保健局の職員を懲戒免職とする処分 |
51 | 通販 | 不正アクセス | クレジットカード最大1万4679件の名義や番号、有効期限、セキュリティコードなど | |
52 | 県 | メール誤送信 | 14人へ送信したダムの初期放流に関する通知メールで誤送信 | 「Bcc」で送信すべきところを誤って「To」で送信 |
53 | 市 | 不正閲覧 | 生活支援担当職員が、税務事務システムや、必要に応じて住民基本台帳へもアクセスできる総合福祉システムを業務に関係なく使用。親族などの個人情報を複数回にわたって閲覧し、外部へ漏洩していた | 別の職員が一時的に離席した間に、その職員のIDで業務用端末を使用、閲覧していたという。同市では、同職員のシステム使用権限を抹消。個人情報保護や情報セキュリティに関する個別指導を行った。今後は関係部署と協議のうえ、処分するとしている |
54 | 市 | 誤掲載 | 寄付者や返礼品送付先、書類送付先の氏名、住所、電話番号のほか、寄付者本人の生年月日、性別、メールアドレス、寄付金額、寄付年月日、決済方法など1万14人分 | 個人情報は含まないメッセージのみ含まれるPDFファイルを公開するところ、ミスがありすべてのデータを公開 |
55 | 私立大学 | 不正アクセス | 学外および学内関係者1万1322人の個人情報が保存されていた。一部メールには、障害や病歴など含む個人情報が11件、パスポートの写しや金融機関の情報など含む個人情報が23件 | 職員が大学のメールアカウントに届くメールを、学外でも確認できるよう自身のフリーのメールアカウントに自動転送させていたところ、同アカウントが不正アクセスを受けた |
56 | 不動産 | 書類紛失 | 物件所有者249人の氏名と住所のほか、契約書に記載の情報 | |
57 | 通販 | 不正アクセス | クレジットカード情報 | 顧客56万1625人分の氏名やメールアドレス、会員IDが流出した可能性があると説明していたが、調査の結果、決済時に攻撃者が設置した「偽決済フォーム」を経由するようサーバが改ざんされていたことが判明 |
58 | 私立大学 | メール誤送信 | メールアドレス116件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
59 | 広告 | メール誤送信 | メールアドレス432件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
60 | 通販 | 不正アクセス | 会員登録した顧客の会員情報や、クレジットカード決済を利用した顧客に関する最大8928件分の個人情報。クレジットカード情報1142件 |
「46」「50」は、内部関係者が不正に情報を入手・閲覧し、その対象者に個別に連絡を取っていたり、外部へ漏えいしていたという事案です。
このように、職場や会社の関係者によって、盗聴や不正アクセスといった不法行為が行われる事が少なからずあります。例えば、異性の同僚社員によるストーカー行為、上司によるセクハラ・パワハラ、職場の先輩によるイジメや嫌がらせなど、人間関係のトラブルが起こるもので、職場や会社も例外ではありません。
例えば、名前も知らない赤の他人のパソコンやスマホに対してハッキング(乗っ取りや遠隔操作)をするためには、事前の情報収集や一定程度の知識・技術力が必要となります。被害者のパソコンやスマホの仕様は分からないですし、WiFiなどのネットワークに侵入し、パスワードをクラックするのも大変な作業となります。
しかし、社内の関係者に対するサイバー攻撃は、とても容易にできてしまう可能性があります。
なぜならば、物理的に接近してパソコンやスマホを目視すれば、ある程度大まかな仕様が推測できますし、会社の回線からであればネットワーク侵入も容易です。
また、パスワードのクラック(解析)も行いやすいといえます。多くの人は、未だにパスワードに「生年月日」や「家族」や「趣味」などに関連するワードを設定しています。同じ会社の人間であれば、被害者の生年月日、子供やペットの名前、趣味や食べ物の好みなどなど、調べようと思えば調べることができます。
このような事案は、正規の権限を与えられた人物が不正に情報を閲覧している場合が多く、アクセス制御では防ぎようがありません。この点、過去の個人情報漏えいの事案を見ても、内部不正にかかる情報漏洩で被害の大きいケースは、「正当な」アクセス権限を持つ人物が「正当な」作業手順で、「不当に」データ収集・持ち出しを故意に行ったというケースです。
本事案等の対策を検討するにあたっては、従業員の意識やモラルも当然重要だと思いますが、組織としてまずは資産である情報の重要性とその脅威を明確にし、「アクセス権限を持つ人物を最小限に留める」「退職者など、アクセス権限保持者に異動があった場合には速やかにそのIDとアクセス権を削除する」「アクセス状況をモニタリングする」などの基本的な部分をあらためて確認してみる必要があります。
また、このような被害が発生した場合、システム上の事実確認や調査の進め方などについては、経済産業省の「秘密情報の保護ハンドブック」をご参考までにご活用ください。
本ハンドブックでは、経営者をはじめ、従業者が秘密情報の管理を行う際の参考となるよう、内部不正に限らず、秘密情報として取り扱うことを決定する際の考え方、具体的な漏えい防止対策、取引先などの秘密情報の侵害防止策、万が一情報の漏えいが起こってしまった時の対応方法等が紹介されており、自社の不備やリスクをあらためて見直す際に参考すべき点は多いと言えます。
経済産業省「秘密情報の保護ハンドブック」
1.「被害確認調査」
とにかくまずは被害状況を確認する必要がありますので、「被害確認調査」を行います。
メールが盗聴されているのか、LINEが盗聴されているのか、SNSへ不正アクセスされているのかなど、攻撃対象がハッキリと分からない状態では、証拠を掴める可能性が低くなってしまうので、被害状況を確認する必要があります。
2.「証拠収集調査」
被害確認調査により攻撃対象が判明したら、次に証拠を掴むための「証拠収集調査」を行います。
具体的な証拠収集方法は、攻撃対象、端末やシステム環境、被害者の事情などによって異なりますので一概には言えませんが、例えば次のような方法で証拠を記録する事となります。
- サーバやアプリケーションのログデータを記録・保存する。
- スマホやパソコンと監視装置を接続し、不正な動作を記録する。
- スマホやパソコンに不正監視アプリケーションをインストールし、不正な動作を記録する。
- ネットワークの監視装置や監視プログラムなどを使用して、不正な動作を記録する。
- ビデオカメラ等でスマホやパソコンの画面を録画し、不正な動作を記録する。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556