情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)GDPRの振り返り
2)国内の動向
3)新たな課題
4)今後の展開
5)米国のルール
1.GDPRの動向と最近の事情(5)
欧州連合(EU)でGDPR(一般データ保護規則)の適用がスタートしてから、約1年が経過しました。GDPRは企業が求められる対策が詳細、かつ多岐にわたることもさることながら、個人データ漏えいが起きた場合の罰則規定が非常に厳しいことから、企業に大きな動揺を与えました。
また、EUが設定した個人データ管理の基準は、EU域内の国々だけではなく、他の国のデータ管理やプライバシー法制に大きな影響を与えました。ITに関する施策や推進は永らく米国主導でしたが、業界全体のガバナンスや基準の統一等に関しては大きな転換期を迎えています。
銀行や保険に関するデータだけではなく、自分のネット上の閲覧・購入履歴、位置情報、監視カメラに写った映像なども個人情報になります。個人データは、スマートフォンだけではなくIoT機器、将来普及する自動運転車等のネットワークに繋がったデバイスの購買選択にも大きな影響を及ぼします。消費者は値段やデザインだけではなく、データ保護がきちんとしているかどうか、企業を選択・信頼していくうえでの材料にしていく可能性が高くなってきたということであり、企業はデザインや値段だけではなく、データ保護やコンプライアンス体制も販売戦略の柱として考慮する必要性が高まっています。
「情報セキュリティトピックス」では、約1年間、GDPRをメインテーマに取り上げてまいりましたが、一旦今月号を持ってこれまでの振り返りとまとめということで本テーマは終了とし、必要に応じて今後適宜取り上げていきたいと思います。
▼個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)」
1.GDPRの振り返り
GDPRが定められた目的は大きく分けて2つあります。まず第1に、ヨーロッパ市民と居住者が、自分の個人情報をコントロールする権利を取り戻すことです。自分のデータが知らないところで勝手にやりとりされプライバシーが侵害されないように、利用者は企業などが保持する自分の情報にアクセス、訂正、削除などを求めることができます。また企業などが個人情報を収集する場合、何の目的のため、どのようなデータを収集するのか明確にすることも求められます。
第2に、EU域内の規則を統合することで欧州との国際ビジネスに必要な規則を一本化することにあります。1995年に採択されたEUデータ保護指令ではEU加盟国およびEEA加盟国に対し、個人情報保護に関する国内法規の立法を要求していました。これには、それぞれの加盟国で個人情報保護に対する要求事項やレベルが異なっていたため、これらをシンプルに一元化することが求められていたという背景があります。そのため指令から規則に格上げされることになりました。
GDPRによる規制の動きとして、報道(平成30年2月15日付日本経済新聞)によると、EUが定めた個人情報保護の規則に基づいて、個人に認められた権利行使を企業に要求する動きが広がっています。EUは自分のデータの削除などを求める権利を個人に認めており、企業が要求に応じないなどとして、EU各国の監督当局に個人が不服を申し立てた件数も10万件に迫っており、当局が日本企業を調査対象にする事例も出始めたとしています。
現地進出の日本企業に対し、DMの送付先や元従業員からデータ削除の要求が相次ぎ、日本企業が運営するゲームの利用者に自分のデータをどう扱っているかの開示を求めた事例もあるとのことです。このような要求を受け、グーグルは2014年以降、個人などからの要請を受けて計100万件以上を削除したということです(具体的な例示として、「大企業の重役が過去に受けた判決についてのリンク」の削除要請に対して、「十分な公共の関心がある」としてリンクの多くは削除しない対応、「個人的な住所や電話番号が表示されているリンク」は削除の対応、「名誉棄損訴訟に負け損害賠償の支払いを命じられた人についてのリンク」は、「本人の学者としての社会的地位に直接関連する」ため削除しない対応などが紹介されています)。
GDPRは合法的に取得されたデータでもより幅広い理由で消去を求められます。他にもマーケティング目的で自分のデータを使われない権利など、日本法には定めのない権利も明記しています。個人情報保護委員会では、個人データの利用停止権の規定について、その拡充を検討してきました。現在の利用停止権は企業が個人情報を不正に取得した場合や、本人の同意を得た利用目的の範囲を超えて個人データが使われた場合に限られています。利用停止権の拡充として、例えば個人が自分のデータをプロファイリングに使われるのを拒否できるようにするものです。次回の個人情報保護法改正では、欧州連合(EU)の一般データ保護規則(GDPR)が定めた「自動的処理のみによる意思決定に服さない権利」に近い規定が設けられる予定です。
また、政府は、「プラットフォーマー」と呼ばれる巨大IT企業に対し、新たな法規制に乗り出しています。巨大IT企業はインターネットの普及などに伴い、ネット通販など生活に欠かせないサービスや情報を提供する社会インフラとなっている一方、圧倒的な市場シェアを背景に不公正な取引が指摘されています。
規制案は、IT企業によるデータ寡占の防止や、ネット通販の出品者などとの取引適正化を図るのが狙いです。ただ、過度の規制は成長や技術革新の勢いをそぎ、サービス低下につながる恐れがあり、公平な競争ルールを導入しつつ、技術革新を阻害しないようバランスに配慮した対策が肝要でしょう。
プラットフォーマーは、頭文字から「GAFA(ガーファ)」と呼ばれるグーグル、アップル、フェイスブック、アマゾン・コムが代表格であり、検索やスマートフォン用アプリ販売、会員制交流サイト(SNS)、ネット通販などを世界規模で展開しています。
規制案では、GAFAなどが優越的な立場を利用し、通販の出店業者など取引先に不利益を強いることのないよう法制度を整備し、取引条件の開示を義務付け、取引における禁止行為をあらかじめガイドラインで定めるとしています。
公正取引委員会が4月に公表した調査結果によると、国内IT大手5社が運営するネット通販の出品事業者の約5~9割が、規約を「一方的に変更された」と回答しています。
▼公正取引委員会「(平成31年4月17日)デジタル・プラットフォーマーの取引慣行等に関する実態調査について(中間報告)」
2.国内の動向
日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は国内企業686社のIT/情報セキュリティ責任者を対象に、「企業IT利活用動向調査2019」を共同で実施しました。
▼日本情報経済社会推進協会(JIPDEC)「企業IT利活用動向調査2019」
本調査では情報セキュリティにまつわるインシデントの状況の他、GDPRへの対応状況についても聞いており、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業は前回の2018年調査より8ポイント増え、34.4%となっています。一方で、「知っているが何も対応していない」が13.5%、「GDPRを気にすることなく個人情報の移転を行っている」が19.8%と、現在も未対応の企業が3割超を占めていることも分かっています。
2019年1月末、個人情報保護法にGDPR補完ルールを追加することで十分性認定の合意が成立しました。このことから、国内企業における対応のハードルは若干下がったものの、依然としてGDPR対応は重要な課題であり続けます。
特に日本の製造業界に与える影響はとりわけ大きく、IoT機器には製品内部、もしくは製品を制御するためのシステム(多くの場合はインターネット越しに接続するシステム)に何らかの個人情報が保存されるケースが多くあります。氏名、年齢、電話番号、メールアドレスなどはもちろん個人情報に該当し、写真データに含まれるGPSの位置情報、インターネットに接続した際のIPアドレスなども個人情報に該当すると判断されているため、守られなければいけない情報は多岐にわたります。そのため海外に輸出される製品については、設計段階からGDPRを意識することが求められるようになります。
それではGDPRに対応するため、企業には何が求められるのでしょうか。まず第1のステップとして、個人情報がどのように収集され、どこに保存され、そして誰によって処理されているのか、といった内容を明確化するデータフローダイアグラムの策定を行うべきです。この作業はデータフローマッピングと呼ばれ、GDPR対応において最も重要なプロセスであると言っても過言ではありません。
個人情報がどのように取り扱われているか、すべて文書化されているケースはほとんどないと思われます。個人情報取り扱いの文書化プロセスでは、下記のような情報を収集することが求められます。
- 個人情報の収集経路(メール、Webサイト、キャンペーン、展示会)
- 収集している個人情報の種類(氏名、年齢、メールアドレス、IPアドレス、Cookieなど)
- 個人情報を扱っている部署、担当者
次に重要なのが、データ流出が起きてしまった場合の体制構築にあります。GDPRではデータ流出が判明して72時間以内に関係機関へ報告することを求めており、事故発生時の対応について対応の流れを作成するなど事前準備を欠かすことができません。
GDPRでは第33条において個人データの漏えいが発覚した時点から72時間以内に監督機関に報告すること、第34条において遅滞なく被害者(データ主体)に通知することを義務付けています。また、監督機関への報告には少なくとも以下の1~4を、被害者への通知には2~4を含むこととしています。
- 漏えいした個人データの種類と件数
- データ保護責任者の名前と連絡先、詳細情報を得られる方法
- 個人データの漏えいによって想定される被害
- 実施済みあるいは実施予定の対策
個人データの侵害というと、典型的なケースとして、秘匿すべき重要な情報(例えばアカウント情報、カード情報など)の漏えい、盗取を想定しがちですが、本来利用できるべきデータが利用できなくなる「可用性の侵害」、データが変更・改ざんされる「完全性の侵害」も、GDPRが通知義務の適用として想定するデータ侵害となります。例えば、医療機関で重要な医療データが一時的であっても利用できなくなった場合、患者の生命・健康に危険を及ぼす可能性があるので、これも通知・公表する必要があるということに注意しなければなりません。GDPRの遵守に限らず、被害者など外部からの通報で被害が発覚した場合は、隠蔽などが疑われ、組織の管理体制を大きく問われることになりますし、事故が発生しても長期間、表沙汰にならないことが多いため、漏えいした情報の規模や影響が大きくなる可能性が高まります。ファイア・アイが毎年公表している「M-Trendsレポート」によると、企業へのセキュリティ侵害が発生してから検知するまでの日数が、世界規模では短くなっている傾向が現れているものの、地区別で見ると、日本を含むアジア太平洋地域(APAC)が204日と、平均の3倍近い日数がかかっているという結果が得られています。日本を含むアジアの企業は他の地域の企業よりも攻撃を受けていることの発見が遅く、予防対策も後手に回っているということです。
▼ファイア・アイ「M-Trendsレポート」
このような、被害が顕在化するまで侵入や情報の持ち出しの事実に”気づけていない”だけのケースも現実には多くありますので、現在の対策が本当に機能しているかどうかの確認と、情報管理上の不備や脆弱性を積極的にチェックして自ら問題に”気づける”取り組みが求められます。
また、外部との契約関係の検証を行うことも重要です。例えば、海外における保守作業を現地のサポート専門業者に外部委託したり、マーケティングメールの発送などを委託したりするケースでは、これらの外部ベンダーに顧客の個人情報が共有されることになります。そのため顧客から個人情報を取得するときに、その目的、さらに誰と共有するのか明示することが求められます。これらの情報をプライバシーポリシーやサービス利用契約にきちんと包含できているか検証すべきです。
またこれらのベンダーを選定するにあたり、ベンダーが個人情報保護を徹底する体制が構築できているか調査することも望まれます。さらには、これらのベンダーとの間に機密保持契約、個人情報管理について責任範囲を明示した契約を結ぶことも必要です。
GDPRの対応には法律的観点からの検証だけでは不十分で、ITセキュリティの観点も重要です。GDPR対応では法律と技術の両面からアクションプランを作成、履行することが重要になるといえます。
3.新たな課題
昨年のGDPR施行時には日本の個人情報保護規則はEUと同等の水準にあるとの十分性の認定がなく、個人データの越境移転が難しい状況となり、関係する企業では対応に追われてきました。幸い、今年1月に日本とEUの間で十分性の認定がなされましたので越境移転の規制はなくなり、データ処理に関しては、データ主体の同意、データ主体と管理者(コントローラー:個人データの取得者)との契約に基づく原則どおりの取り扱いとなっています。
こうした中、新しい課題として、GDPRが個人データの管理者と処理者(プロセッサー:データ処理の受注者)に対して、データ保護責任者(DPO:Data Protection Officer)の指名を求めていて、その選任をどうするのかが問題となっています。DPOは、公的機関および大規模な個人データ処理、機微情報である人種、政治的・宗教的信条等、遺伝・生体データなどを中心的に取り扱う場合には指名が義務付けられていて、その任務は重大で、かつ公益的役割を持つだけに、企業の組織運営上の困難が伴うからです。DPOの任務としては、以下の項目が規定されています。
- GDPR等の義務について社内に情報と助言を提供
- 社内のデータ処理スタッフの責任の割り当て、個人データ保護についてのGDPRや各国の法制、会社の保護ポリシーの遵守状況モニタリング
- 監督機関との協力、事前相談の連絡窓口、など非常に広範囲に及んでいるだけでなく、DPOの地位に対し、強い独立性を確保して任務遂行に関して解雇・不利益を課してはならない
さらに個人情報のデータ主体(個人)は、会社のデータ処理およびGDPRに基づく事柄についてDPOに連絡を取ることができることと、会社はDPOの作業・義務が利益相反をもたらさないことを保証する義務を負っています。このため、DPOガイドラインでは利益相反となる地位として、例えば、CEO、COO、マーケティング部門・人事部門・IT部門の長などを示しているので適任者の選定をより一層難しくしています。
DPOの資質として、データ保護法制とデータ処理実務の専門的知識、さらに任務遂行の技量が求められ、新しい領域の人材育成・確保が要求される事態となっています。
EUの定めるGDPRの域外適用からくるDPOの機能と役割、地位、選任などは日本の個人情報保護法には規定はなく、同法の改正議論の際も話題になることはありませんでした。しかし、現実にEUのGDPRの適用対象となっている個人データの取得者である管理者(コントローラー)やデータ処理を行う処理者(プロセッサー)の中に、DPOの設置・指名に悩む会社があることもまた実態です。今後の日本の個人情報保護法制への影響を含めてDPOの運用動向を注視しておく必要がありそうです。
このDPOが会社内に独立性を持って第三者的な視点で物事を見る存在である点が重要です。社内にありながら、公益的(本件では個人情報の保護)な機能を果たすために、会社から不利益な扱いを受けず、利益相反にならない地位を保持する存在を従業員の中から選べるのかという企業組織運営上の根本的な問題が問われています。国内では、これまでのガバナンス論議の中ではこうした問題意識はなく、株主を始めとするさまざまなステークホルダーの利害を反映する機能を独立社外取締役に求め、さらに行動判断の指針としてESGベースの運営が提唱されてきましたが、GDPRに定めるDPOのように個別の権利に着目して企業内に公益的な役割を果たす存在に注目することはありませんでした。ましてや一般法である会社法上、どのように扱うのかは今のところ不透明です。
4.今後の展開
個人情報保護委員会は4月25日、2020年に向けて検討している個人情報保護法改正の原案を正式に発表しました。
▼個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」
柱に据えたのが、望まない自分の個人情報を企業に「使わせない権利」の導入です。「個人データの乱用」というデジタル時代の新たなリスクを受け、欧米中心にプライバシーを保障する制度拡充の動きが相次いでいます。法改正では自分のデータを勝手に「使わせない権利」を新たに盛り込んでおり、現行法では不正取得や本来の目的以外で使われた時のみ、個人は企業にデータ利用の停止を請求できるというものでした。
「使わせない権利」は、企業がどのようにデータを取得したかにかかわらず、望まない場合は利用停止を要請できることになります。企業は速やかに対応する義務を負い、情報開示にも応じなければなりません。例えば、フェイスブックのターゲティング広告を拒否できるということが挙げられます。同社は氏名や住所などに「職業」「賃貸住宅に居住」といった属性データを紐付け、それぞれの趣味や嗜好にあわせたネット広告を配信しています。「使わせない権利」があれば、こうした広告をやめさせられることができることになります。フェイスブックは蓄積したデータを駆使し、5万を超える要素で利用者を分類しているとされます。個人は意図に反して自分の住所や顔情報などが企業に使われることを防げるようになります。改正法では、利用停止に応じない企業には指導や命令に乗り出すとしており、それにも従わない場合は罰金を科すとしています。データの利用目的を「営業活動のため」などと大まかにしか説明していなかった企業は、営業活動の全般に対して個人から利用停止の要請を受ける可能性もあります。
新しい規制に動くのは、個人データの活用が予期せぬリスクを生みかねないためです。人工知能(AI)が膨大なデータから個人の特性や信頼度を計算し、融資や広告、採用に使う、便利さをもたらす一方、機械に各個人の人生が決められかねないといった懸念が広がります。ターゲティング広告の精度が増し、今では世論操作も可能とされています。2016年の米大統領選ではロシアの介入を許したとされ、各地で民主主義の基盤が揺らぎかねないとの危機感も強まっていました。日本でも、通信や銀行、小売各社もデータ活用ビジネスに力を入れるなか、個人データ活用の恩恵を最大限生かすには個人情報を巡る規制の変化に目を配る必要があります。
5.米国のルール
GDPRはデータ保護の一般ルールであり、データ保護に関するすべてのルールが規定されているわけではありません。また、日本の事業者にとって、EUと同様、米国におけるルールも重要となります。GDPRを補完する他の規制を見ていくとともに、米国の法令等についても触れてみたいと思います。
▼総務省「平成30年版情報通信白書
(1) eプライバシー規制
eプライバシー規制(ePrivacy Regulation)の法案が2017年1月に公表され、2019年に施行される見込みです。「クッキー法」とも呼ばれるeプライバシー規制ですが、GDPRとの関係はどのようなものなのでしょうか。
eプライバシー規制はGDPRの特別法です。eプライバシー規制は、電子通信に関してのプライバシーを保護する法律です。
EUでは、2002年にeプライバシー指令が施行されていましたが、eプライバシー規制はこれに代わるものとしてGDPRと同時に施行されることが予定されていました。
eプライバシー指令は、一般的なデータ保護法制を補完し、電子通信に関するより具体的なプライバシー権を定めています。これは、デジタルモバイルネットワークとインターネットによってデータの流通が急激に拡大したことから、電子通信におけるプライバシーに対する新たな危機を防止し非個人情報や法人データを含む通信の機密性を保持することが念頭にあります。
eプライバシー規制の法案は、ブラウザなどに過度な負荷をかけ、利用者の利便性を損なうようないくつかの条項が削除されるなどの改正を経て、2019年GDPRと同様に日本の企業などにも適用される場合があります。今後、eプライバシー規制が施行されることで、オンラインでの通信における規制がより強固なものになることが考えられます。
【eプライバシー規制の内容】
eプライバシー規制は、EU域内の利用者に対して電子通信サービスを提供する場合などに適用され、電子通信サービスの提供者がEU域内に拠点がない場合はEU域内に代理人を設置する必要があります。
eプライバシー規制の対象となるのは「電子通信データ」であり、オンラインでやりとりされるコンテンツや通信の発着信を識別するような、デバイスの位置や日時等の情報も対象になります。そして、電子通信サービスの提供者が「電子通信データ」を取り扱う場合には、原則として、エンドユーザーの同意を得なければいけません。そして、同意については、GDPRのルールがそのまま適用されます。違反者にはGDPRと同様の制裁金が課されます。
eプライバシー規制が一部で「クッキー法」と呼ばれるように、クッキー(Cookie)情報も規制の対象になり、ターゲティング広告やサードーパーティのクッキー情報の取得には特に厳しい規制がかけられることになります。現在多くのブラウザでは全てのクッキーを受け入れる設定がデフォルトでなされていますが、eプライバシー規制は、ソフトウェアの提供者に対して、どのクッキーを受け入れまたは拒否するかについて、利用者に選択させるよう求めています。
一方でショッピングサイトの履歴情報に関するクッキーなど、「非プライバシー侵入型」と呼ばれるクッキーについての取扱いには利用者の同意は不要であると考えられます。
(2) 米国プライバシーシールド
EUは1995年にデータ保護指令を制定しました。EU市民の個人情報は相手国において「十分な保護措置」がなされていると認定された場合にのみ移転を認めました。米国にはEUや日本のように分野横断的な個人情報保護法はないため、十分な保護措置の認定が難しいことから、米商務省が認証した企業のみ米欧間の個人データ移転を認めるセーフハーバー協定が2000年に締結されました。
2015年10月、欧州司法裁判所は、米国政府の監視に対する個人情報保護が不十分であるとして協定の無効判決を下しました。4000以上の米企業が認証されている協定が無効になると、欧州内で事業展開している米企業に大きな影響を及ぼすため、欧州委員会と米国政府は欧州市民の個人情報をデータ保護指令に則って、合法的に米国に移転するための規定として、プライバシーシールドを定めました。
【内容】
米国企業がEU市民の個人データを入手する場合、セーフハーバー協定の7原則を協会した以下の原則を守らなければなりません。
- 取得する個人データ、その使用方法などをEUのデータ主体に通知する
- 個人データを第三者に提供する場合は個人にオプトアウトの権利を与える
- EUから入手した個人データを第三者に移転する場合は書面による契約を締結する
- 個人データのセキュリティ確保のための対策を講じる
- 処理目的に沿った個人データに限定し、データの信頼性や正確性を確保するための対策を講じる
- 保有する個人データへのアクセスを提供し、不正確な情報などを修正・削除する
- プライバシーシールドを確実に順守するための強力なメカニズムを用意する
【今後の見通し】
2018年3月、英ケンブリッジ・アナリティカ社がフェイスブックの個人情報を不適切に利用していた問題がきっかけとなり、7月、欧州議会はプライバシーシールドをデータ保護が不十分であるとして、米国政府が措置を講じるまで停止する決議を発表しましたが、拘束力のない決議でした。プライバシーシールドは毎年行う年次評価の2回目が10月に開催され、米国がプライバシーシールド・オンブズマンを任命したことなどは評価されましたが、GDPRに基づいているわけではないこと、セーフハーバー原則を無効にしたような訴訟のリスクは消えないことなどから、先行きは不透明です。
(3) カリフォルニア州消費者プライバシー法(CCPA)
CCPAは、米国カリフォルニア州の個人情報保護法ですが、「米国版GDPR」とも言われています。
カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act of 2018)は州法ですが、(1)GDPRが制定のきっかけとなった、(2)全米初の分野横断的個人情報保護法である、(3)大量の個人情報を収集するGAFA4社中3社が本社に置く州の法律です。
米国には日本や欧州のような分野横断的な個人情報保護法はなく、連邦にも州にも分野別の法律しかありませんでした。カリフォルニア州の活動家が住民発案で提案した横断的個人情報保護法がGDPRやフェイスブックの情報流出問題を追い風にして、住民投票で成立する見込みが高まりました。成立すると改正が難しい住民発案法案を回避すべく、議員達が活動家と合意した法案を2018年6月に成立させました。
CCPAは、州民に(1)企業が収集する個人情報やその利用方法を開示させる、(2)企業が保有する情報を削除させる/販売を止めさせる、(3)適切な情報漏えい防止策が講じられない場合は企業を訴える、などの権利を付与しています。
GAFAに代表される米IT企業が大量の個人情報を収集して、サービス開発や広告収入増大に繋げたいので、厳しい規制は避けたいこと、CCPAが他州に波及すると州ごとに異なる対応を迫られるようになることなどから、2020年1月のCCPA施行前に州法に優先する連邦法を制定すべくロビー活動を展開しています。
2.最近のトピックス
◆フィッシング対策協議会「2019/04 フィッシング報告状況」
5月2日、フィッシング対策協議会は、2019年4月の月次報告書を公開しました。本報告書によると、フィッシング報告件数は2,388件となり、前月(2,352件)より36件増加しています。また、フィッシングサイトのURL件数は1,207件で、こちらは前月より31件の減少。そして、フィッシングに悪用されたブランド件数は40件で、前月と同じ結果となっています。
4月もフィッシング報告件数は引き続き増加しており、AmazonやAppleをかたるフィッシングが大量に配信されている傾向は変わっていません。また、金融機関やクレジットカードのブランド、仮想通貨関連サービスをかたるフィッシングも数多く報告されており、新たなブランドとして、メルカリをかたるフィッシングも確認されています。
そして、件数は多くないものの、宅配業者や通信キャリアをかたる手口も報告が続いています。スマホの機種によっては「セキュリティ強化」「アップデート」などの名目で、不正アプリなどをインストールさせようとするケースがあり、注意が必要です。
その他、最近目立つのがスマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする詐欺の被害です。NTTドコモなど携帯電話の事業者を装う手口で、例えば、セキュリティ強化サービスを装って偽サイトに誘導、不正アプリをダウンロードさせる手口も確認されています。SMSは社員が持つスマホ電話番号に直接メッセージを届けられるもので、取引先や顧客とのやりとりでも使うことがあるでしょう。個人で利用するものだけではなく、迷惑メールフィルターなど、システム側での対処ができないSMSを悪用して会社が貸与するスマホもターゲットにされる危険性があります。身に覚えのないメッセージは正規のサービスのものであるかきちんと確認するとともに、脅威として認識しておく必要があります。
◆内閣サイバーセキュリティセンター(NISC)「小さな中小企業と NPO 向け情報セキュリティハンドブック」
内閣サイバーセキュリティセンター(NISC)は、4月19日、「小さな中小企業と NPO 向け情報セキュリティハンドブック」を公開しました。本ハンドブックは、小規模事業者やセキュリティ担当者をおくことが難しい企業やNPO(特定非営利法人)などの組織に向けてサイバーセキュリティを分かりやすく解説したものです。
NISCでは一般利用者向けに「インターネットの安全・安心ハンドブック」を公開してきましたが、今回の冊子も、サイバーセキュリティにどこから取り組んで良いか分からないという法人利用者向けに、基本的な知識を学んでもらうことを目的にしています。
ハンドブックの内容は「プロローグ サイバー攻撃ってなに?」からはじまり「第1章 まずは情報セキュリティの基礎を固めよう」など全6章で構成されています。NISCのサイト上で、PDF形式で公開されており、企業内のサイバーセキュリティに関する社員研修などで利用する場合は、NISCが印刷所用の版下データや、イラスト単位で活用できるような画像データなどを提供するとしています。
中小企業、とくに小規模企業において、情報セキュリティ対策を実施するための人員や意識不足や放置など著しい不備が明らかになっています。ひと口に中小企業といっても、業種・規模によって対策状況は異なりひと括りにできないとはいえ、今後もリソースが十分でないといわれる中小企業であっても必要最低限の対策を実施することが望まれます。
企業等が保有する重要情報を標的にした不正アクセスや、内部不正による情報漏えいなどが企業の大きな脅威となっていますが、サイバー攻撃の対象は大企業や政府機関だけではありません。企業にとっては直接的な被害だけでなく、取引先や一般消費者を標的とした攻撃の踏み台にされる場合もあります。中小企業の情報など犯罪者や攻撃者が欲しがるはずはないとの考えは間違いです。たとえば標的企業の守りが堅い場合、標的にたどり着くため、周辺企業から攻撃を仕掛けることは珍しくありません。標的企業の取引先サイトに侵入したり、知人のアカウントを乗っ取ったりすることで攻撃のための情報を窃取することもあれば、知人になりすましてバックドアなどのマルウェアを送り込むこともあります。あるいは標的がアクセスしそうなサイトなどに侵入して待ち伏せることもあります。
このような高度な攻撃以外でも、単純に侵入しやすいという理由で、DDoS攻撃やマルウェア配布に利用する「踏み台」として狙われることもあるでしょう。踏み台として狙われるのは、個人利用のスマホやタブレット端末やPCなど一般にセキュリティの甘いシステムになります。
同様の問題は、いわゆる大企業も懸念すべき点です。業務委託先や再委託先企業のセキュリティレベルはどうでしょうか。委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいと言えます。また、BPO(Business Process Outsourcing)における個人事業主の利用やBCP(Business Continuity Plan)における有事の在宅勤務、フリーランスの増加等の様々な場面でセキュリティに対するモラルや問題も問われることになります。
つまり、中小企業だから狙われないだろうと、セキュリティ対策をおろそかにすることは、攻撃者のまさに思う壺、恰好の餌食ということなのです。その結果、自社は侵入された被害者であるはずなのに、取引先や一般ユーザーに対して加害者になってしまうといった事態も起こりかねません。
◆経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました」
経済産業省は、4月18日、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を策定、公開しました。「Society5.0」や「Connected Industries」など、ITによるサイバー空間と物理世界(フィジカル空間)を融合させることで、新たな価値を創出する取り組みが進んでいます。
物理世界にあるさまざまな機器のセンサーなどから取り込まれるデータを収集、処理、活用することで、さまざまな分野で利便性を提供したり、イノベーションを生み出したりしようとする取り組みですが、その一方で、さまざまなモノがインターネットに接続されることで、不正にアクセスされるリスクが高まる可能性があります。
そこで、従来型のサプライチェーンだけでなく、上述したようなサイバー空間と物理空間が融合した次世代型のサプライチェーンにおいて、セキュリティを確保できるよう対策の全体像を整理し、まとめたものがCPSFです。
2018年2月から経済産業省内にワーキンググループを設置、議論や検討を重ね、2回のパブリックコメントを経て策定された。
CPSFの本編は「コンセプト」「ポリシー」「メソッド」の三部で構成されているほか、代表的な産業に適用した場合のユースケースや、対策要件に応じたセキュリティ対策例などが添付されています。
経済産業省では、今後、CPSFを主要な産業分野に展開し、各産業分野において、産業構造や商習慣などの観点から守るべきもの、許容できるリスクが異なるという実態を踏まえ、具体的なセキュリティ対策の推進を検討していくとしています。
昨今のサイバー攻撃では、鉄道、医療、通信など重要インフラが集中的に狙われています。IoTの脆弱な対策に狙いを定め、身代金として匿名性の高い仮想通貨を指定するなど、犯罪者は常に新しい情報技術の盲点を突いてきます。また、今や、ほとんどの産業がITと密接に結びついており、新しい技術やサービスが広まれば、同時にサイバー攻撃を受けるリスクも高まるというジレンマに企業も個人も陥っています。こうした環境の変化に備え、高度な専門知識を持つ人材の育成や、官庁、研究機関、企業といった組織の枠を超えた情報共有など、あらゆる安全対策を速やかに講じていく必要があります。市民生活や経済活動に深刻なダメージを与えうるサイバー攻撃を完全に防ぐ手立てはありませんが、だからこそ、官民が連携して、できる取り組みを今から確実に行うことが求められています。
◆一般社団法人 JPCERT コーディネーションセンター「インシデント報告対応レポート」
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、4月11日、「インシデント報告対応レポート」を公開しました。
2019年1月1日から3月31日までの四半期にJPCERT/CCが受け付けたセキュリティインシデントについて報告したレポートで、これによると、この四半期に寄せられた報告件数は、4,433件で、前四半期(4,242件)から5%の増加となっています。
また、2018年度(2018年4月1日~2019年3月31日)を含む、過去5年間の年度別報告件数を見ると、2014年度(22,255件)、2015年度(17,342件)、2016年度(15,954件)、2017年度(18,141件)、2018年度(16,398件)と推移しています。
報告を受けたインシデントをカテゴリー別に分類したところ、システムの弱点を探索する「スキャン」が43.5%を占め、「フィッシングサイト」が35.3%、「Webサイト改ざん」が4.6%、「マルウェアサイト」が2.7%で続いています。なお、「標的型攻撃」は0.1%でした。
インシデントの傾向として、レポートではフィッシングサイトの傾向について言及されています。JPCERT/CCが報告を受けたフィッシングサイトの件数は1,753件で、前四半期から12%増加し、その内訳は、国内ブランドを騙ったフィッシングでは、通信事業者を装ったものが47.7%、金融機関のサイトを装ったものが31.0%を占めています。
また、標的型攻撃については、この四半期で報告のあったインシデント件数は6件と多くはなかったものの、レポートでは、確認されたインシデントとして「資産管理ソフトウェアの脆弱性を悪用し、新たなマルウェアに感染させる攻撃」「ペネトレーションテスト用のツールを悪用しC&Cサーバーと不正に通信する攻撃」の2例を挙げています。
情報セキュリティの分野におけるインシデントとは、コンピュータやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。
そこで、インシデントが万が一発生した場合に迅速に対応し、被害の拡大を最小限にするための事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故を前提としたポリシー策定や手順を確立しておくことが重要となります。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。したがって、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要となります。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
3.最近の個人情報漏えい事故(2019年3月、4月)
下記の表は、今年3月と4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | メール誤送信 | メールアドレスと氏名99件 | Bcc」で送信すべきところを誤って「To」で送信したため |
| 2 | 市 | 書類紛失 | 18名分の氏名、住所等が書かれていたほか9名分のマイナンバー | 誤廃棄の可能性 |
| 3 | 県 | メール誤送信 | 70名の個人メールアドレス | 添付間違い |
| 4 | 市立小学校 | 書類紛失 | 32人の児童と保護者の氏名、住所、勤務先などが記載された指導資料 | |
| 5 | 市立病院 | ビデオ、外付けHD紛失 | 患者3,605名分の氏名、住所、病名などを含むデータ、患者の映像 | スタッフルームに保管されていたが、盗難の可能性 |
| 6 | 医療研究センター | タブレット端末紛失 | 患者25名を撮影した画像データ | 職員が研修会の終了後に飲酒を含めた飲食を行い、同端末を入れた鞄を電車内に置き忘れ、紛失 |
| 7 | 市立小学校 | 書類紛失 | 1クラス40人の氏名、学校名、答案などが記載された学力調査票 | |
| 8 | 防衛賞 | メール誤送信 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため | |
| 9 | 市立中学校 | 書類紛失 | 全校生156名分の氏名や住所等が記載された名簿 | |
| 10 | 音楽教室 | 書類紛失 | 生徒25名の氏名、電話番号・年齢等が記載された書類 | 講師が当該書類の入った鞄を車内に置いたまま駐車し、当該鞄を盗まれた |
| 11 | 選挙管理委員会 | FAX誤送信 | 立候補予定者15名の氏名、住所のほか、各陣営の関係者の氏名等が記載された書類 | 職員が県庁にFAXを送信する際、番号入力を誤って関係のない一般の家庭に送信 |
| 12 | 水道局 | タブレット端末紛失 | 約14万件分の水道利用者の氏名、電話番号など | |
| 13 | イベント | メール誤送信 | メールアドレス145件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 14 | 警察署 | デジタルカメラ紛失 | 交通事故の捜査で撮影した15枚分の画像データ | |
| 15 | 教育センター | メール誤送信 | メールアドレス107件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 16 | 福祉事務所 | 書類紛失 | 児童扶養手当の申請者や対象の児童など30名の氏名、住所、所得額など | 誤廃棄の可能性 |
| 17 | 市立中学校 | メール誤送信 | メールアドレス47件 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため |
| 18 | 電気 | 誤送付 | 電気料金の支払い依頼書239件 | |
| 19 | 出版 | ノートPC紛失 | 名刺情報等数百件の個人情報が記録された業務用のノートパソコン | 社員が東京都内をタクシーで移動中に同ノートパソコンを紛失 |
| 20 | 住宅供給公社 | DVD紛失 | 27名の氏名、住所等が記録されたDVD2枚 | |
| 21 | 府 | メール誤送信 | メールアドレス2件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 22 | 市立中学校 | 書類紛失 | 1クラス37名の生徒の氏名、住所、連絡先などが記載された家庭連絡票 | シュレッダーで誤廃棄の可能性 |
| 23 | 環境局 | メール誤送信 | メールアドレス17件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 24 | 市 | 書類紛失 | 水道利用者305名の氏名、住所などが記載された書類 | 水道工事の再委託先事業者が、当該書類を道路脇に置いたまま車で移動し、同日、近隣宅の住民からの連絡で紛失が発覚 |
| 25 | 港湾 | メール誤送信 | メールアドレス235件 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
| 26 | メディカルセンター | 書類紛失 | 患者26名の氏名、年齢、病名などが記載された書類29枚 | 当該書類が入った書類ケースを自宅に持ち帰る際、車の屋根の上に書類ケースを置いたまま発車し、当該書類が散乱しているのを発見した通行人からの連絡で紛失が発覚 |
| 27 | 市立中学校 | 誤廃棄 | 新入生122名の氏名、住所、成績などが記載された書類 | 当該書類が入った紙袋の中身を十分確認しないままごみに出し、焼却処分された |
| 28 | 市立中学校 | 書類紛失 | 1年生130人全員分の氏名、成績などが記載された書類 | |
| 29 | 県立高校 | 書類紛失 | 2年生200名の氏名、住所、成績などが記載された書類 | 他の処分する書類と一緒に焼却処分された |
| 30 | 私立大学 | USBメモリ紛失 | 学生の氏名、学籍番号、成績評価など1169件 | |
| 31 | 医療機器 | 持ち出し | 885人分の氏名や施設名、検査データ、アンケートに回答した医療従事者など2603人分の氏名や電話番号、メールアドレス、所属など | 元従業員が2018年5月に患者や顧客、技術、営業など同社に関する機密情報などを持ち出したことが同年7月に発覚し、告訴していた。 |
| 32 | ファッションセンター | メール誤送信 | 3497件のメールアドレス | 分割して保管していたメールアドレスを「BCC」欄にコピー&ペーストしたが、特定の文字がデータ内に混入していたことに気付かず、そのまま送信 |
| 33 | チケット販売 | 誤表示 | 最大1600件の個人情報で、氏名や住所、電話番号、性別、生年月日、メールアドレス、ID、パスワード、秘密の質問および回答 | システムの不具合 |
| 34 | 不動産売買 | メール誤送信 | 178件の氏名とメールアドレスを含む配信リスト | 添付ファイル間違い |
| 35 | 市立中学校 | 書類紛失 | 3年生2クラス分の提出物点検名簿と、3年生83人の受験校をメモした名簿など | |
| 36 | 私立大学 | メール誤送信 | メールアドレス100件 | 送信先を誤って宛先に設定 |
| 37 | 県立高校 | 書類紛失 | 231人分の個人票で、受験生徒の氏名やクラスのほか、試験結果やスキルアップのためのアドバイス、採点者からのメッセージなどが個別に記載 | |
| 38 | 市立大学 | メール誤送信 | メールアドレス22件 | 送信先を誤って宛先に設定したため |
| 39 | 百貨店 | 書類紛失 | 顧客の氏名、住所、電話番号を含む約20人分の「取り置き票、取り寄せ票」発行控え | 誤廃棄の可能性 |
| 40 | 信用金庫 | 書類紛失 | 氏名や口座番号、金額、科目が記載されていた「渉外関係帳表綴」「窓口装置入力照合表」「受取書発行一覧表綴」などの内部資料 | |
| 41 | 市 | ハードディスク紛失 | 社会福祉課の業務に関する約1万8000人分の個人情報 | |
| 42 | 市 | 書類紛失 | 子ども8組16人分の氏名や電話番号、性別、年齢など | |
| 43 | 自動車メーカー | 不正アクセス | 顧客情報最大310万件 | |
| 44 | 通販 | 不正アクセス | 氏名や住所、電話番号、生年月日、会社名、メールアドレス、ユーザーIDとパスワードなど9793人分 | |
| 45 | 市立病院 | USBメモリ紛失 | 氏名や年齢、生年月日など含む特定健康診査を受診した約700人分のデータ | |
| 46 | 町 | 書類紛失 | 一部顔写真を含む38人分の氏名と住所、生年月日など | |
| 47 | 通販サイト | メール誤送信 | 776件のメールアドレスが | メールアドレスを誤って宛先に入力 |
| 48 | 電力 | メール誤送信 | 2407件のメールアドレス | メールアドレスを誤って宛先に入力 |
| 49 | 電気事業者 | 誤送付 | 「電気料金お支払いのお願い」239件 | 書類の作成時、システムの誤操作により宛先の住所を誤って記載 |
| 50 | 職業技術専門学校 | 誤廃棄 | 氏名や住所、電話番号、生年月日、写真、最終学歴、職歴、障害の概要、状態などの個人情報 | |
| 51 | 通販サイト | 不正アクセス | クレジットカードの番号、住所、電話番号などの送り先情報を含む2926件の顧客情報 | |
| 52 | 放送 | フィッシング詐欺 | 外部の関係者を含む電話番号やメールアドレス |
職員が利用する業務用スマートフォンに宅配業者からの不在通知を装ったフィッシングメールが着信 攻撃を受けたスマートフォン内にあった個人情報の保有者に対し、個別に連絡を取り、注意を促している。 |
| 53 | ポイントサービス | 誤表示 | 顧客の氏名や住所、電話番号など9名分 | システムの不具合 |
| 54 | 通販サイト | 不正アクセス | クレジットカード情報含む顧客最大7996人分の個人情報 | |
| 55 | 通販サイト | 不正アクセス | クレジットカードの名義、番号、有効期限、セキュリティコードなど、クレジットカード決済が成立した247件が流出した可能性 | |
| 56 | 通販サイト | 不正アクセス | ツールを利用した大量のアクセスがあり、アクセス障害が発生 | |
| 57 | 県 | メール誤送信 | 叙勲候補者1人の氏名や住所、本籍、生年月日、年齢、出生地のほか、経歴や最終学歴、表彰歴など | 叙勲の推薦に関する勲章審査票を総務省へ送信した際、県内の市町村36団体、事務組合38団体、および新城設楽振興事務所の合計75件に対し誤って送信した |
| 58 | 選挙管理委員会 | USBメモリ紛失 | 有権者6123人の氏名、住所、性別、生年月日など | 37本あるはずのUSBメモリのうち1本が見当たらない |
| 59 | 私立大学 | 書類紛失 | 230人の氏名や生年月日、大学名、学部、学籍番号、申込年月日など | |
| 60 | 県立大学 | USBメモリ紛失 | 氏名や住所、年齢、性別、透析期間、合併症の有無などが含まれる患者66人の個人情報 | 海外出張中に盗難に遭い、2医療機関の患者情報が保存されたUSBメモリを紛失 |
| 61 | 保健福祉事務所 | メール誤送信 | 53人分の氏名や台帳番号、生活保護需給の有無、課税状況の確認ができる市町名など | 誤って無関係である事業者の代表メールアドレスへ送信 |
| 62 | 信用金庫 | 書類紛失 | 公共料金の収納領収書や自治体の納入書など1万4158件で、氏名や住所、納付金額、顧客番号や通知番号など | 誤廃棄の可能性 |
| 63 | 飲食 | メール誤送信 | メールアドレス388件 | 送信先を誤って宛先に設定 |
| 64 | スーパーマーケット | USBメモリ紛失 | 顧客1万3987人分の氏名、住所、性別、年代、ポイントカードID、アプリ専用ID、購買情報など | 従業員が規程に反して無断で業務用USBメモリを持ち出し |
| 65 | 厚生連 | 従業員情報を議員に漏えい | 従業員72人の氏名、住所、電話番号、職位、職種など | |
| 66 | 市立幼稚園 | 誤廃棄 | 卒園者161人分の「幼稚園幼児指導要録」 | |
| 67 | 通販サイト | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードが含まれる会員情報3万1231件 | |
| 68 | 放送 | メール誤送信 | メールアドレス331件 | 誤ってメールアドレスを宛先に入力 |
「52」は、職員が利用する業務スマホから個人情報が漏えいした恐れがあるとした事案で、受信したSMS(ショートメッセージサービス)が宅配便の不在通知を装ったフィッシングがその原因だったとしています。
宅配便の偽SMSを使ったフィッシングは複数あり、Androidスマホを標的に不正なスマホアプリをインストールさせて情報を窃取する攻撃や、iPhoneを標的にアカウント情報を詐取する攻撃などが知られています。
フィッシングの目的は、クレジットカード情報やログイン情報といった、利用者が持つ重要な情報の搾取です。こうした情報は販売・転売、他社サイトへの不正ログインなどに二次利用できるので、より多くの情報を盗むために不特定多数を標的とします。メールを使ったフィッシング詐欺が多いのは、一度で大量にばらまけるからです。各社サービスが実際に利用者宛に送るメールの内容に似せるなど工夫を凝らすことで、さらに被害を拡大させています。
利用者へ注意喚起を促すメールそのものが偽物の場合もあります。フィッシングでは、何とかして利用者をフィッシングサイトに誘導しようとします。誘導するフィッシングサイトは、宅配や銀行、クレジットカード会社、オンラインサービス(Amazon、楽天、Apple等)がその多くを占めます。
フィッシングは、「このままではサービスが利用できなくなる」あるいは「このままではお金を支払わされる」などと思い込ませることで利用者を動揺させ、リンクをクリックさせて重要な情報を盗み出そうとします。まずは落ち着いて冷静になることが大事です。不安を感じたときには、次のポイントを確認してみましょう 。
▼参考資料:フィッシング対策協議会「フィッシング対策の心得」
- 本当に、あなた宛のメールかを確認する
- 送信元を確認する
- 同じ情報がサービスのWebサイトで公表されているか確認する
- 日本語におかしいところはないかを確認する
- 入力項目を確認する
- 暗号化通信になっているかを確認する
設定変更が必要になるような重要なメールが届いたら、まずはメールの宛先や件名、本文に自分の氏名があるかどうかを確認してください。通常、サービス側から設定変更などを求めるメールには、利用者の氏名や会員番号などが記載されます。重要なメールなのに、それらの記載がない場合は怪しいメールと考えられます。なぜなら、フィッシングを行う犯罪者は、メールアドレスしか知らないことがほとんどだからです。
また、個人情報や認証情報を要求してくる個人や法人に対して用心する必要があります。多くの企業は慎重に扱う必要があるような個人情報や認証情報を安易に顧客に要求することはありません。
たとえそれが「信頼できる」送信元から送られてきたものであったとしても、安易にリンクをクリックしたりファイルをダウンロードしたりするべきではありません。
メールの「送信者」の表示は、自由に書き換えることができます。そのため、送信者のメールアドレスが正しいからといって信じてしまうのは禁物です。メールの実際の送信元は、メールのヘッダ情報から確認することが可能です。当該メールの送信元のドメインが、実在する企業と無関係な場合はフィッシングの可能性が高いと言えます。パソコンの場合は、メールのヘッダ情報を確認することで、ある程度メールの信頼性をチェックできます。メールソフトからヘッダ情報を開きますが、実はほとんどの項目が偽装できます。
パスワードの変更や購入確認などのメールが届いたときは、メールのリンクからではなく、当該Webサイトにアクセスし、同じ情報が掲載されているかどうか確認しましょう。購入履歴も同様にブックマークからWebサイトを開き、そこからログインして履歴を確認します。重要な情報であれば、メールで告知するだけでなく、Webサイト上でも告知しているはずです。
また、メール内に含まれているURLの整合性を確認してください。埋め込まれた URL が完全に正規のものであるように見えても、マウスをかざした際に別のウェブサイトのアドレスが表示されるかもしれません。それが正規のリンクであることが確実でなければ、メール内のリンクをクリックすることは避けましょう。
数年前は日本語のフィッシングメールは少なく、確認されてもひどい日本語で、すぐに怪しいと気づくことができました。しかし、最近は日本語が、かなり違和感がないものになっています。ただ、それでも全体で見ると文章のつながりがおかしい部分があることもありますので、そのような場合はフィッシングを疑いましょう。
フィッシングサイトは正しいサイトとまったく同じ内容が表示されますが、銀行やクレジットカード会社のフィッシングサイトでは、本来はないはずの「第2パスワード」や「秘密の質問」「乱数表」なども入力させるようになっています。こうした項目があれば、フィッシングサイトの可能性が高いといえます。
そもそも正当な企業は特別な理由が無い限り確認メールを送信することはありません。実際、最新の企業情報やニュースレター、広告目的でないかぎり、多くの企業は未承諾のメール送信は極力控えています。特に日本の銀行、クレジットカード会社などの金融機関ではメールによる口座番号や暗証番号、本人の個人情報の問い合わせは行っていません。
Web サイトへの通信が保護されているかどうかも確認してください。個人情報を扱う Web サイトでは通常 HTTPS という方式が使用されているため、URL 表示の部分に錠前のマークが表示されます。鍵のマークは、通信が暗号化されているという意味で、SSL/TLS化やHTTPS化と呼ばれます。ただし、最近では無料でSSL/TLS化することもできるため、必ずしも安全とは限りません。鍵のマークをクリックして「証明書の表示」を選び、ドメイン名が正しいかを確認してください。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
