個人データ活用が問う企業の倫理とは
2019.09.18総合研究部 上席研究員 佐藤栄俊
個人データ活用が問う企業の倫理とは
利用者が個人情報の提供を望まないのに、他のサービスに乗り換えられないために個人情報を提供せざるを得ないケースが問題視されています。現在、GAFA(Google、Amazon、Facebook、Apple)をはじめとした大手IT企業による個人情報の収集方法について、公正取引委員会が、独占禁止法違反の代表的な類型である「優越的地位の濫用」にあたるケースを示す運営指針(ガイドライン)案を策定中であるとしています。利用者に利用目的を知らせなかったり、サービス提供に必要な範囲を超えて個人情報を取得したりするようなケースについて、今後規制が進むことが予想されます。
またEUの「一般データ保護規則(GDPR)」では個人データの利用停止はいつでも行える(EU 一般データ保護規則 第7条)のに対し、日本の個人情報保護法では、個人データの利用停止は個人情報保護法違反があった場合にのみ可能とされています(個人情報保護法30条)。2019年4月に個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(個人情報保護委員会、平成31年4月25日)」では、個人データの利用停止制度の導入について検討がされています。
今月の情報セキュリティトピックスは、就職情報サイト「リクナビ」を運営するリクルートキャリアが、就活生の内定辞退の指標を顧客企業に販売していた問題を取り上げます。この問題は、個人データ活用のビジネスにともなう事業者の倫理や認識が追い付いていない実態を示したといえます。スマートフォン(スマホ)の普及やAI技術の発展などでデータの持つ価値が高まる一方、個人情報をどう使い、使い方をどう周知するかという課題を改めて浮き彫りにしました。
1.個人情報保護委員会、厚生労働省の指摘
リクルートキャリアは2019年8月5日、就職活動中の学生1人ひとりが内定を辞退する確率をAI(人工知能)で予測して企業に提供するサービス「リクナビDMPフォロー」を廃止したと発表しました。サービス廃止の経緯としては、7983人の学生から第三者へのデータ提供に関する合意が取れていなかったこととしています。
個人情報保護委員会は2019年8月26日、リクルートキャリアに組織体制の見直しを求める勧告を出しました。「学生らの人生をも左右しうることから、その適正な取り扱いについては重大な責務を負っている」と、個人情報保護委員会は勧告の原因となった事実の説明で、強い表現で問題の重大さを説明しました。単に個人情報を漏えいした事態とは異なり、知らぬ間に個人データを基にした評価を顧客企業に販売して、個人の人生にも影響を与えうる(影響が及びかねない)ものだからです。リクルートキャリアが顧客企業に個人データを第三者提供する際は個人情報保護法の適用が及ぶにも関わらず必要な検討を行わなかったうえ、「安全管理のために必要かつ適切な措置を講じていなかった」として同法に違反したと認定しています。なお、同委員会が事業者に対して勧告を出すのは初めてのことです。
また、同社は、職業安定法(職安法)に基づいて厚生労働省の東京労働局からも行政指導を受けています。厚生労働省は、リクナビが事業形態から実質的な人材紹介業と判断しており、就活生から同意を得ていたかどうかに関係なく、職安法が禁じる特別な理由のない個人情報の外部提供に当たると認定しています。厚生労働省は「本人の同意がなかったり、同意せざるを得ない状況だったりという状況で内定辞退率などの情報が企業に提供されることは、学生の立場を弱め、就職活動を萎縮させる」と指摘し、同社に改善を求めています。
▼個人情報保護委員会「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」
▼リクルートキャリア「『リクナビ DMP フォロー』に係る当社に対する東京労働局による指導について」
2.不十分な説明
今回問題になったのは、リクルートキャリアが2018年3月に始めた「リクナビDMPフォロー」というサービスです。内定辞退を減らしたい企業が、前年の辞退者の名簿をリクナビに渡します。リクナビは一人ひとりが、いつ、どの企業を、どれくらい閲覧していたか、人工知能(AI)で分析します。例えば、内定後も他の企業を閲覧していたというようなデータです。分析結果をもとに、その企業の採用試験を受けている就活生が内定を辞退する確率を1人ずつ5段階で予測し、この情報を1年あたり400万~500万円で大企業を中心とした38社に販売していました。
【内定辞退率データ販売のステップ】
- 過去の内定辞退者のデータを企業が委託契約という形でリクルートに共有する。
- その辞退者のリクナビ上での過去の行動履歴データをリクルートがAI解析。どのような行動パターン(例:内定をもらった後も別の企業ページを見ていたかどうか、応募したかどうか等)や属性が内定辞退をした者に見受けられるかを解析。
- 今年の選考者リストを企業側から受け取り、②のステップで抽出した属性やウェブ上での行動パターンに似ている行動を取っている人物を選定。
- 企業側に5段階予測値という形で、選考者の「内定辞退率」を販売。
リクナビが学生から取得する個人情報の利用目的について、同意の根拠となっている「プライバシーポリシー」において、ウェブ上の行動履歴の利用に関しては、「I.属性情報・端末情報・位置情報・行動履歴等に基づく広告・コンテンツ等の配信・表示、本サービスの提供」と記載されています。
一見すると利用の同意を得ているようにも見えますが、今回問題となっている「内定辞退率」の提供は、内定辞退による損害を避けたい企業に対して行われたものであり、学生に対し情報提供を行うサービスではないため、「本サービスの提供」に含まれるという拡大解釈は困難だと言えます。また、プライバシーポリシーの後段には、「属性情報・端末情報・位置情報・行動履歴等の取得及び利用について」という項も設けられています。
ここでいう採用活動補助のための利用企業等への情報提供(選考に利用されることはありません)に該当するとの整理は可能かもしれません。しかし、内定辞退率は、その企業の内定者の母集団全体に対して予測されても意味がなく、特定個人の「学生A」について何%内定辞退しそうなのかが分かることにこそ、企業にとって価値のあるデータ になります。
リクルートのプレスリリースによれば、「学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています。」とのことですが、企業側からその利用範囲について配慮する旨の同意を得ても、そもそも提供を認めるか否かという学生本人の同意意思とは無関係です。
リクルートが今回の「リクナビDMPフォロー」サービスを即日休止したことから、同社としても、プライバシーポリシーに抵触していると解釈せざるを得ないという判断にいたったものと思われます。
また、「リクナビDMPフォロー」を導入する各企業側とすれば、内定辞退率データを選考に利用したい動機があることは否めず、各企業が実際に選考に利用していなかったかどうかも不明です。企業が選考に利用したいと考える価値があるデータを、選考に利用しない条件で有償で提供するという契約内容自体にそもそも無理があったと言えるのかもしれません。
3.形骸化した同意
個人情報保護委員会が直接的に問題視しているのは、「利用者から適正な同意を取得していなかったのではないか」ということです。確かに、利用規約の記述を読む限り、利用者は何に同意しているのか分からないし、それを読むだけでは内定辞退率予測が販売されることは想像できません。提供された7,983人からは、こうした形式的(または形骸的)な同意さえも取得していないということです。
そしてこうした形式的(または形骸的)な同意は取っているものの、同意の前提となる、目的や利用方法に係る「通知」が、まったく十分ではないといえます。通知と同意は個人情報の取扱いでは「セット」であり、正しい通知の下にしか正しい同意は成立しません。
リクルートキャリアは、サービスの狙いは「辞退する可能性が高い就活生を引き留めるための手段」で、採用の合否には使わないと合意した企業だけに情報を提供したと説明しています。しかし、実際に合否に使われたかどうかは外部からは分かりません。「辞退する確率が高い」という個人データが、選考でマイナスに働いた可能性は否定できないわけです。7983人以外の数十万人の会員についても、リクナビ登録の際には「個人情報を使用」「採用活動補助のための利用企業などへの情報・提供」といったあいまいな説明に同意を得ただけで、「内定辞退率の予測に使う可能性がある」と明記していたわけではありません。そもそも、会員登録する際に細かな規約を隅から隅まで読む人は多くないでしょう。今回は学生にとってプラスに働くことは考えられないデータですから、同意の有無に関わらずやってはいけないことではないか、との指摘もあります。
また、学生からすれば、根拠も不明確なまま「あなたの内定辞退率は〇%」とラベルを貼られれば、不安や不満を感じるのは当然ではないでしょうか(さらに本件では、内定辞退率とのラベルが貼られて採用企業に提供されていた事実すら伝えられていなかった)。学生がその企業に入社した後も、勤務先企業が自分の内定辞退率データを保持し続けているとすれば、どのように感じるでしょうか。
企業が内定辞退率データをどのように利用するか(採用時のみならず、入社後の退職可能性の推認や昇給昇格の判断の参考にされる可能性を否定することは難しい)を学生側はコントロールできない以上、やはり本件は個人データ取得時に先だって、事前に学生に対して十分な説明がされたうえで、適切な同意を得て行われるべきビジネスモデルであったと感じます。
4.委託元の責任は?
リクルートキャリアは顧客企業が委託元となる業務委託契約を結んでいました。同委員会は「個人情報保護法の委託にあたるかは論点」だとして、個人情報として内定辞退の指標を提供する仕組みが委託の範囲内と言えるのかも含めて調査中としています。
同社は記者会見で業務委託なのに顧客企業から個人情報を受け取って第三者提供する仕組みにした理由について、「個人情報を受け取って情報を付加する状況で通常の業務委託の範囲を超えているのではないかと思っている」との認識を示しています。
同社によると、リクナビと契約した企業38社のうち、実際に指標を提供したのは34社です。同社のコンサルタントと呼ばれる担当者が企業との打ち合わせを通じて把握している範囲では、合否判定には使われていないとしています。ただ、個人情報保護委員会が問題があると判断すれば、最終的には委託元企業も責任を問われる可能性があります。
個人データを第三者に提供する場合、原則として本人の同意が必要となりますが、(個人情報保護法23条1項)、各企業が、個人データの取扱いを利用目的の達成に必要な範囲でリクルートキャリアに委託していたといえる場合、個人情報保護法上は本人の同意を得る必要はないとされています。
各企業がリクルートキャリアに提供した応募学生の個人データについて、たとえばリクルートキャリアが委託に基づかず自ら取得した行動履歴等の個人データを突合して内定辞退率を算出し、各企業に提供する内容の業務委託契約であったような場合は、各企業による応募学生の個人データの提供は個人情報保護法23条5項1号が定める委託の範囲を超えるものとして、各企業は個人情報保護法違反の責任を問われる可能性が生じます。
今回の件で、「リクナビDMPフォロー」と同様の人事労務分野におけるAIやデータを活用する手法に対する世間の目は厳しくなることが予想されます。人事系の行動履歴データ分析サービスは、AIを活用する次世代のデータ活用サービスとしてはもっとも実現可能性が高く、近年注目を浴びている領域です。類似サービス事例で言えば、従業員の勤怠履歴・有給休暇取得状況・業務活動量・チャットやPCの使用状況をモニタリングし、休職・退職リスクをAIで予測するタレントマネジメントサービスなどが企業向けに提供されています。しかし、このようなサービスを導入する際に従業員等から適法かつ適切な同意を取れているのかは、大きな論点となりえます。個人情報保護法、職業安定法等の法令を遵守することはもちろん、たとえ適法であっても、採用時における求職者情報というデリケートなデータを取り扱う以上、そのビジネスモデル自体が批判を受けることも想定されますので、これまで以上に慎重な検討が求められるものと考えます。
特に個人データの第三者提供を行う場合は、不明確なプライバシーポリシーを提示して形式的な同意を得ておくだけでは不十分であり、利用者の個人データが第三者提供される旨が明確にわかるようまず利用目的の欄に記載したうえで、提供を予定する個人データの項目もできる限り具体的に記載することが求められるでしょう。さらに個人データの第三者提供に同意することで、利用者にとってどのようなメリットが生じるのか(たとえば当該サービスの無償提供や、より充実したサービスが提供可能となること等)まで触れられていれば望ましいものといえます。
明確でわかりやすい内容のプライバシーポリシーを提示し、利用者も納得したうえで真に同意していると評価できる個人情報の取扱いを行うことが、結果的に利用者や世間からも評価されるサービスの実現につながるのではないでしょうか。
「法律に明確に違反してないから大丈夫」ではなく、「ビジネスモデルが明るみに出た場合にも利用者の支持を得られるか」「利用者と顧客に胸を張ってサービスの意義や正当性を説明できるか」という視点は、本問題に限らず、コンプライアンス・リスク管理全般において、今後はより求められていくことになります。
最近のトピックス
▼一般社団法人JPCERT コーディネーションセンター「インシデント報告対応レポート」
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、7月11日、「インシデント報告対応レポート」を公開しました。
本レポートは、2019年4月1日から6月30日までの四半期にJPCERT/CCが受け付けたセキュリティインシデントについて報告したものです。本レポートによると、この四半期に寄せられた報告件数は3,830件で、前四半期(4,433件)から14%の減少となっています。
報告を受けたインシデントをカテゴリー別に分類すると、「フィッシングサイト」が46.2%を占め、システムの弱点を探索する「スキャン」が28.9%と続いています。
また、レポートではインシデントの傾向についても言及しており、JPCERT/CCが報告を受けたフィッシングサイトの件数が1,947件にのぼり、前四半期(1,753件)から11%増加、前年度同期(1,214件)からは60%の増加となっています。その内訳は、国内ブランドをかたった手口として通信事業者のサイトを装ったものが39.9%、国外ブランドではECサイトを装ったものが79.1%で最多となっています。
また、標的型攻撃については、この四半期で報告のあったインシデント件数は1件だったものの、確認されたインシデントとして「不正なショートカットファイルをダウンロードさせようとする攻撃」「マルウェア TSCookie を利用した攻撃」の2例を挙げています。「TSCookie」は2015年頃から確認されており、攻撃者が用意したサーバーから別のモジュールをダウンロードし攻撃するものです。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。そのためには、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
▼独立行政法人情報処理推進機構(IPA)「情報セキュリティ安心相談窓口」
独立行政法人 情報処理推進機構(IPA)は、7月23日、「情報セキュリティ安心相談窓口」の相談状況(2019年4月~6月)を発表しました。これは、2019年4月1日から6月30日の間に対応した相談に対する統計を紹介するもので、同窓口に寄せられた相談件数は3,275件と、前四半期から約3.3%減少しています。そのうち、相談員による対応件数は2,007件となっています。レポートでは、主な手口に関する相談員の対応件数も発表されており、ウィルスを検出したという偽警告で不安を煽り、電話をかけさせてサポート契約に誘導する「ウィルス検出の偽警告」に関する相談件数は348件で、前四半期から約36.6%減少しています。
続いて、「ワンクリック請求」については、パソコンとスマートフォンをあわせた相談件数が80件となり、前四半期から約31.2%増加しています。
また、「不正ログイン」に関する相談件数は80件で、前四半期から約3.6%減少。「宅配便業者をかたる偽SMS」に関する相談件数は、459件となり、前四半期から約37.0%増加しています。そして、「仮想通貨(暗号資産)で金銭を要求する迷惑メール」については、91件の相談が寄せられ、前四半期から約22.2%減少となっています。
直近の傾向として、日本年金機構を騙るフィッシング詐欺が多く確認されています。「個人年金電子ファイル情報更新」と称した偽メールについて、日本年金機構は注意喚起を行っています。メールには本文に受信者のフルネームを記載し、さらに正規のロゴや正規のサイトに似せたドメインを使用しています。誘導先のフィッシングサイトでは基礎年金番号や個人情報、クレジットカード情報を入力させようとするもので、情報を入力してしまうと、詐欺被害やクレジットカード不正利用の被害に遭う可能性があります。また、たとえ誘導先が鍵マーク付き(httpsから始まるURL)であっても、不正サイトかもしれないことを知っておきたいところです。安易にメール内のリンクはクリックせず、心当たりがない場合や不審に感じる場合はメールを無視することです。年金は今多くの人が高い関心を持つ話題であり、今後も同様のフィッシング詐欺が多く発生する可能性があるため注意しましょう。
▼独立行政法人情報処理推進機構(IPA)「~「新規取引」において「振込口座が偽か否かの確認を難しくさせる」手口を確認~」
7月26日、独立行政法人 情報処理推進機構(IPA)は、2019年第2四半期(4月から6月)におけるJ-CSIPの運用状況レポートを公開しました。
同四半期に参加企業からIPAに対し、サイバー攻撃に関する情報提供が424件行われ、そのうち、標的型攻撃メールとみなされたのが75件でした。
さらに、本四半期には、4件のビジネスメール詐欺(BEC詐欺)について分析が行われ、そのうち2件の事例が解説されています。特に、攻撃者が新規取引先とのやり取りに介入し、偽口座を記載した見積書を「差し替え」と称して送付し、本物の見積書の破棄を依頼するという巧妙な手口も確認されています。
これまではBECといえば「請求書の振込先を変更させる」のが常とう手段と思われていました。しかしこの事例では、価格修正を装って「正しい見積書を送る」と称し、攻撃者の振込先口座が書かれた偽の見積書を送付、詐欺メールにはご丁寧に、「先に送った見積書は破棄してください」という指示がありました。振り込みを実行する担当者が、正式な見積書と比較できないように細工されていたのです。
IPAの報告によれば、攻撃者はメール攻撃を実行する前に組織内部に侵入し、メールの内容や内部情報を盗んでいた可能性が高いようです。このような被害に遭わないためには、マルウェア対策や迷惑メール対策といった徹底とともに、通常の手続きと少しでも異なる部分が生じた場合には銀行の担当者に確認する、おかしいと思った人が正しくエスカレーションできる報告ルートを整備するといった、IT上の仕組み以外でのセキュリティ対策も実施しておく必要があります。
「通常の手順と異なるメールでの依頼であれば実在する担当者に電話でも確認する」「不審と感じた場合に社内や取引先と情報共有する」など、何重にも防御策を講じる必要があり、技術的側面や物理的側面の整備だけでなく、組織面や従業員の心理的要因にまで踏み込んだ対策も重要になります。
▼警察庁「宛先ポート5500/TCP、5555/TCP 及び60001/TCP に対するMirai ボットの特徴を有するアクセスの増加について」
警察庁は、7月19日、「@police」の中で「宛先ポート5500/TCP、5555/TCP 及び60001/TCP に対するMirai ボットの特徴を有するアクセスの増加について」と題するレポートを公開しました。これは、今年6月中旬より、宛先ポート5500/TCP、5555/TCP、および60001/TCPに対するアクセスが増加していることを、警察庁のインターネット定点観測において観測したものです。
これらのアクセスは、IoT機器に感染してサイバー攻撃を仕掛けるMiraiボットの特徴を有しており、5500/TCPに対するアクセスの多くは、外部サーバーから不正プログラムのダウンロードおよび実行を試みるものだったとしています。また、アクセスの送信元は、海外製のデジタルビデオレコーダーなど、IoT機器であることがわかっており、これらの機器の脆弱性を悪用して感染拡大を狙ったものと見られます。
また、60001/TCPに対するアクセスの送信元には、日本国内のものが含まれていた。解析の結果、不正プログラムに感染したWi-Fiストレージ製品が、感染拡大を狙って60001/TCPに対してアクセスを試みているものと見られます。
警察庁では、製造元のWebサイトなどで周知される脆弱性情報に注意し、ファームウェアのアップデートや設定変更といった適切なセキュリティ対策をすみやかに実施するよう呼びかけています。
一方、5555/TCP(Android Debug Bridge)に対するアクセスの増加については、不正プログラムに感染させる実行ファイルをダウンロードさせる目的があるとみられます。
スマートテレビやTV BoxといったAndroid OS搭載機器の中には、5555/TCP宛のアクセスを使用する製品が存在するということです。警察庁では、「これらの機器で身に覚えのないアプリケーションが動作していないか確認する」「機器のデータ通信量が利用状況から考えて妥当な範囲内であるかを確認する」といった対策を呼びかけています。
あらゆる「モノ」がインターネットに接続するIoTの進展により、新たな利便性の提供やイノベーションがもたらされています。インターネットに接続される機器の数は2020年には500億台に達するとの予測もあります。
その一方で、サイバー攻撃などによるリスクが増大することが懸念されます。IoT機器は、機器の性能が限定されていることや、管理が行き届きにくい、ライフサイクルが長いといった点からサイバー攻撃の標的になりやすい状況です。
ネットワーク接続機能を有したIoT機器をターゲットに感染を広げ、ボットネットを形成、サイバー攻撃を仕掛けるMiraiの流行など、最近はセキュリティ対策に不備があるIoT機器がサイバー攻撃に悪用されるケースが増えています。
総務省と情報通信研究機構は、インターネットプロバイダーと連携し、サイバー攻撃に悪用される恐れのあるIoT機器の調査、当該機器の利用者への注意喚起を行う取り組み「NOTICE(National Operation Towards IoT Clean Environment)」を実施しています。本調査は、IoT機器に設定されているパスワードが容易に推測されるものかどうかを確認するもので、機器の内部に侵入したり、通信の秘密を侵害したりすることはないしています。現状としてIoT機器ではパスワードが初期状態のまま、もしくは攻撃されやすい脆弱性が残ったままで利用されているものが多くあり、それらの機器が悪用の足場となっています。どれか1台でも乗っ取られれば、電力や交通機関などのインフラに影響を与える恐れがある今、事業者や利用者にとってIoTにかかる危険性を認識するきっかけになることが期待されます。
最近の個人情報漏えい事故(2019年7月、8月)
下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 | 発生原因 | 対象 | 備考 | |
1 | 市立中学校 | 書類紛失 | 2年生39名の名前、住所などが記載された緊急連絡票 | |
2 | 旅行代理店 | メール誤送信 | 連絡先を把握していた受験者や学生ら約4万3000名 | 担当者が採用通知を送る際、内々定者の宛先欄にチェックを入れるべきところを誤って全員にチェックを入れて一括送信したことが原因 |
3 | 公益財団法人 | メール誤送信 | 不明 | 業務連絡をメールで送信した際、誤って事業者のメールアドレスリストを添付 |
4 | 市立小学校 | USBメモリ紛失 | 21名の氏名、電話番号・住所等が記載された名簿や児童7名の指導案 | コンビニエンスストアに立ち寄った際、当該書類等の入った鞄を車内に置いたまま駐車し、当該鞄を盗まれた |
5 | 芸能 | メール誤送信 | メールアドレス600件 | オーディションの参加者に対し、結果のメールを200件ずつ三回に分けて送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
6 | 動物園 | FAX誤送信 | 報道機関3社の記者の氏名、携帯電話が記載された書類3枚 | 職員が都にFAXを送信する際、誤って別の報道機関など44か所に一斉送信するボタンを押してしまった |
7 | 区 | メール誤送信 | 31名分のメールアドレス | 会の開催通知のメールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
8 | 新聞社 | メール誤送信 | 50人分のメールアドレス | 取材協力の依頼メールを送信する際、「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため |
9 | 原子力規制委員会 | メール誤送信 | 250人分のメールアドレス | 業務説明会の案内メールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
10 | 日本年金機構 | DVD紛失 | 国民年金の未納者の氏名、住所、電話番号 | |
11 | リゾート | メール誤送信 | 895名の氏名、法人名、FAX番号等が記載されたファイル | 誤って添付 |
12 | 市 | メール誤送信 | 参加者の氏名、住所、電話番号等が記入された申込用紙 | 誤って添付 |
13 | 市立小学校 | 書類紛失 | 児童56名の氏名、持病などの健康情報 | 保護者からとみられる匿名の手紙で発覚 |
14 | 県立病院 | USBメモリ紛失 | 患者252名の氏名、病名のほか、職員22名の氏名等 | |
15 | 国土交通省 | 携帯電話紛失 | 15名の氏名、電話番号等が登録された携帯電話 | |
16 | 府 | 書類紛失 | パスポート発給申請者の氏名、生年月日、性別などが記載された申請書 | シュレッダーで誤って廃棄した可能性が高い |
17 | イベント | メール誤送信 | 244人分のメールアドレス | 大会の案内メールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
18 | 土地開発公社 | 書類紛失 | 民有地の所有者の氏名、住所などが記載された土地の境界確定に必要な文書約10枚 | 誤廃棄の可能性 |
19 | 私立大学 | メール誤送信 | 86人分のメールアドレス | プログラムの募集案内メールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
20 | 産業創造機構 | メール誤送信 | 委員会に所属する15名の役職、氏名等が記載された名簿 | 誤って「Cc」に第三者のアドレス1件を入力し送信したため |
21 | 市 | メール誤送信 | 50人分のメールアドレス | 抽選結果のメールを送信する際、「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため |
22 | 県立高校 | 書類紛失 | ハンドボール部の部員28名、顧問3名の氏名、生年月日、顔写真が記載された登録証 | 教諭が学校の懇親会で飲酒を含めた飲食を行いバス停で居眠りをしたところ、同書類が入った鞄を盗まれた |
23 | 私立大学 | USBメモリ紛失 | 資料請求者・受講者102名の氏名、住所等 | |
24 | 県立高校 | 書類紛失 | 1年生の生徒15名の氏名、顔写真、家族の勤務先などが記載された名簿 | |
25 | 府 | メール誤送信 | メールアドレス225件 | 研修案内のメールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
26 | 県立中学校 | USBメモリ紛失 | 生徒140名の氏名、生年月日、保護者の氏名等 | |
27 | 水道局 | 書類紛失 | 水道利用者52名の名字、水栓番号などが記載された書類 | 配水管工事の委託先事業者が、当該書類を道路上に置き忘れ、住民からの連絡で紛失が発覚 |
28 | イベント | メール誤送信 | メールアドレス32件 | イベントの中止メールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
29 | 県立小学校 | 書類紛失 | 140名の氏名、学校名、性別、アレルギーの有無等が記載された名簿 | 支援員が当該書類を入れた鞄を車内に置いたまま自宅の駐車場に駐車し、翌日未明に車内を確認したところ、当該鞄が盗まれていた |
30 | 町 | 誤送付 | 最大51名の氏名、住所などが記載された同町のプレミアム付き商品券交付事業の書類 | 受取人からの問い合わせで発覚し、封入時の確認が不十分のまま発送 |
31 | 私立大学 | メール誤送信 | 委託している市民講座の受講者23名 | 受付完了のメールを送信する際、「Bcc」で送信すべきところを誤って「To」で送信したため |
32 | 市 | SDカード紛失 | 児童27名の画像など | |
33 | 県 | 書類紛失 | 受験者1名の氏名、顔写真などが記載された受験票 | |
34 | 市立中学校 | 書類紛失 | 全校生606名の名前、住所、電話番号などが記載された名簿 | |
35 | 人材派遣 | メール誤送信 | 23人分のメールアドレス | 送信先を誤って「CC」に設定したため |
36 | ECサイト | 不正アクセス | クレジットカード決済を行った顧客1万2139人分のクレジットカード情報1万5370件で、クレジットカードの名義、番号、有効期限が含まれる。 | |
37 | ECサイト | 不正アクセス | クレジットカード決済を利用した顧客最大650人のクレジットカード情報が流出した可能性があり、クレジットカードの名義、有効期限、セキュリティコードが含まれる。 | |
38 | 化粧品 | 誤開示 | 17件のファイルで、顧客1万1296人の個人情報で、商品を購入または返品した顧客の氏名や住所、電話番号、性別、誕生日、メールアドレスなどが含まれる。 | システム開発を委託している2社が、開発の過程で情報の引き継ぎを行う際、1社がインターネット上のシステム開発ソフトにアップロードした顧客情報を含むファイルを、第三者も閲覧可能な状態に誤って設定 |
39 | 市立小学校 | USBメモリ紛失 | 児童7人分の指導計画案が保存されており、教職員名簿には21人分の氏名と住所、電話番号が記載 | 退勤直後に立ち寄った市内のコンビニエンストアの駐車場において車上荒しに遭い、児童の個人情報含むUSBメモリと教職員名簿が入ったリュックが盗まれた |
40 | 府 | メール誤送信 | 36人分のメールアドレス | 送信先を誤って「CC」に設定したため |
41 | 区 | 誤送付 | 特別徴収義務者の法人へ催告書を送付する際、102件について誤った宛先に送付 | 宛名データを作成した際、処理のミスにより、宛名と宛先が異なる状態が発生し、そのまま委託先へ渡してしまった |
42 | 電力 | 不正アクセス | 最大234件のアカウントが不正なログインを許し、氏名や住所、契約プラン、電気の使用状況、電気およびガス料金の請求額、保有ポイント数などの個人情報が取得された可能性 | 本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」が同サイトに対して行われた |
43 | 地方銀行 | 書類紛失 | 定期預金のマル優申込書、総合課税告知書、非課税告知書として代用している通帳式定期預金の印鑑届、合計1158件が所在不明となっており、氏名、住所、電話番号、生年月日、勤務先、口座番号、預入金額のほか、62件については印影も含まれる | 誤廃棄の可能性 |
44 | 市 | 不正所持 | 業務で使用するパソコンに、無許可の外部記録媒体を接続し、業務において使用が認められていない個人情報503件を保有していた | 職務上の義務違反にあたるとして、同職員に対し停職3カ月の懲戒処分を実施 |
45 | 市 | 書類紛失 | 78世帯、118人の氏名や住所、生年月日、年齢、性別、特定健診受診歴など | |
46 | 専門学校 | FAX誤送信 | 生徒30人の氏名と生年月日、性別、高校名など | 参加申込書に記載したファックス番号に誤りがあり、個人情報が第三者へ送信された |
47 | 図書館 | 誤開示 | 22人の氏名や連絡先 | |
48 | ECサイト | 不正アクセス | 顧客1767人が入力したクレジットカード情報でクレジットカードの名義、番号、有効期限、セキュリティコードなど | 同サイトにて商品を購入する際、クレジットカード決済を選択すると偽の決済フォームが表示され、クレジットカード情報を送信するとエラーとなり、元の画面を表示。さらに続けて操作すると正規の決済フォームへ遷移して、商品を正常に購入できる状態だった |
49 | 大学病院 | 不正持ち出し | 患者404人分の個人情報。氏名や生年月日、年齢、性別のほか、遺伝子検査データ、測定日、測定者名、診療科、病棟名、担当医名など | 医療検査機器メーカーの従業員が、遺伝子検査データを含む患者情報を無断で外部に持ち出していた |
50 | ECサイト | 不正アクセス | 最大3万830件のクレジットカード情報で、クレジットカードの名義や番号、有効期限、セキュリティコードが含まれる | システムの一部が脆弱性をを突かれ、決済画面のフォームに入力された情報を窃取するよう改ざんするフォームジャッキングの被害に遭った |
51 | 宅配 | 不正アクセス | 氏名や住所、電話番号、メールアドレス、性別、クロネコID、クレジットカードの名義やカード番号の下4桁、有効期限のほか、アドレス帳に含まれる氏名や住所、電話番号などが閲覧された可能性 | 第三者が本人になりすましてログインを試みる「パスワードリスト攻撃」と見られ、ログインを試行された約3万件のうち、3467件のアカウントでログインを許した |
52 | ソフトウェア | 不正アクセス | 不明 | 本人以外が行ったと見られる675万905件のログイン試行を検知。1万1781件のアカウントが、攻撃者に不正ログインを許した可能性 |
53 | 私立大学 | USBメモリ紛失 | 担当したクラスの学生213人の氏名、出席状況、成績評価など | |
54 | ホテル | メール誤送信 | 顧客895人の氏名または法人名、メールアドレス、会員番号、ファックス番号、会員権の種類など | 顧客464人に対し送信したメールに顧客情報含むファイルを誤って添付 |
55 | イベント | 書類紛失 | 顧客の氏名、住所、電話番号など | |
56 | ECサイト | 不正アクセス | クレジットカード決済を試みた顧客のクレジットカード情報23件で、クレジットカードの名義、カード番号、有効期限、セキュリティコードが含まれる | 決済フォームが改ざんされ、クレジットカード情報が被害に遭ったほか、会員情報についても流出した可能性がある |
57 | 市 | 私的流用 | 業務上知り得る住民の携帯電話番号を持ち帰り、私的に使用 | 窓口を訪れた住民の携帯電話番号を持ち帰り、私的にLINEのスタンプを送っていた |
58 | ECサイト | 不正アクセス | 顧客のクレジットカード情報のべ4万233件で、流出したデータには、クレジットカードの名義や、クレジットカード番号、有効期限、セキュリティコードが含まれる | 同社ではクレジットカード情報を保有していなかったが、ウェブアプリケーションの脆弱性を突かれてクレジット決済用のアプリケーションを改ざんされ、窃取された可能性がある |
59 | ECサイト | 不正アクセス | クレジットカード決済を利用した顧客のカード情報291件で、クレジットカードの名義や番号、有効期限、セキュリティコードが含まれる。一部でカード情報の不正利用が発生した可能性もある | 同サイトではクレジットカード情報を保有しないしくみだったが、ショッピングカートシステムの脆弱性を突く不正アクセスを受け、購入時に利用したクレジットカード情報が抜き取られた |
60 | 市 | メール誤送信 | 50人分のメールアドレス | 担当職員が誤送信を確認したが、発覚をおそれて返信メールを削除。さらに送信済みの抽選結果メール自体も削除し、報告なども行っていなかった |
61 | ECサイト | 不正アクセス | 名や住所、電話番号、性別、生年月日、メールアドレスなど登録情報が閲覧された可能性 | 規利用者含む3万8954件のログインがあり、同社ではいずれも不正ログインの可能性があるとして、パスワードのリセット措置を講じた。特に不正ログインを受けた可能性が高いアカウントは、そのうち約8000件と同社では見ている |
62 | 市 | 不正持ち出し | 3万1429件の個人情報を記録したファイル1019件でファイルによって異なるが、氏名や住所、電話番号、性別、生年月日、メールアドレス、口座情報などの個人情報が含まれる | 元職員が、業務で管理していた個人情報を持ち出し、自身の選挙活動に利用した可能性がある |
63 | 公正取引委員会 | 書類紛失 | 本局、地方事務所あわせて54件の行政文書で、文書発送や決裁の日付けなどを管理する帳簿や、訓令、通達関連資料など | 誤廃棄の可能性 |
64 | 自動車 | メール誤送信 | 氏名や住所、電話番号、メールアドレスの一部、購入を検討している車種など | 顧客2940人の個人情報が記載された表計算ファイルを誤って添付したという。 |
65 | 銀行 | 不正アクセス | 氏名や電話番号、メールアドレス、国名、商品に関する関心事項など | |
66 | 郵便局 | 書類紛失 | 管轄する245世帯、881人分の氏名と住所 | |
67 | 市 | メール誤送信 | イベントの参加予定者32人の氏名とメールアドレス | メールアドレスを誤って宛先に入力したため |
68 | 国土交通省 | 不正アクセス | 保守、点検で使用する近畿地方整備局の設備関連資料6件が含まれている可能性 | 電気通信施設保守業務の委託先が標的型攻撃メールを開封し、不正アクセスを受けて設備関連の資料が外部に流出した可能性 |
69 | ECサイト | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコード2577件とログインに用いるメールアドレスおよびパスワード2325件 | |
70 | ECサイト | 不正アクセス | クレジットカード決済を利用した顧客のクレジットカード情報8109件でクレジットカードの名義や番号、有効期限などが含まれる | ウェブアプリケーションの脆弱性を突かれたものと見られている |
71 | 県立病院 | USBメモリ紛失 | 透析患者142人の氏名や病名、透析に関する情報のほか、入院患者110人の氏名や口腔ケアの実施記録、嚥下機能の重症度、転院先などの情報が保存されていた。また職員22人の氏名や電話番号など | |
72 | ECサイト | 不正アクセス | 一部顧客情報流出の可能性 | |
73 | 市 | 書類紛失 | 研修参加者200人の氏名や居住市町村、年齢、性別、調査員としての経験年数、統計調査に従事した回数など | |
74 | 市 | USBメモリ紛失 | 地域連絡協議会の名簿や、地域懇談会委員名簿、非常勤職員面接受付簿、衆議院選挙期日前投票所の投票管理者、投票立会人、ポスター掲示設置場所一覧表、災害待機班の市職員名簿などのファイルが保存されていた。関係者296人の氏名や住所、電話番号など | |
75 | 放送 | メール誤送信 | 顧客321人のメールアドレス | メールアドレスを誤って宛先に設定したため |
76 | 協会 | 不正アクセス | 各種検定試験のテキストや過去問の購入、通信教育の受講申込などを行った顧客2851件の氏名や住所、電話番号、メールアドレスなど | 攻撃者によるメッセージが残存。失われたデータベースの回復を条件に、約3万円相当にあたる0.03BTCのBitcoinを指定のアドレスへ送信するよう要求する内容だった |
77 | 国立大学 | USBメモリ紛失 | 受講生320人分の氏名や学籍番号、学部、出欠記録など |
2019年7月、8月で15件確認されているとおり、ECサイトが不正アクセスを受け、顧客情報やクレジットカード情報が漏えいする事故が相次いでいます。クレジットカードの不正利用というと、以前は、漏えいしたカード番号と有効期限で偽造カードを作り、家電量販店などで買い物をして商品を転売するという手法が主流でした。しかし、IC化により偽造カードの作成が難しくなり、不正利用の場が、カード番号と有効期限があれば利用できるECにシフトしているのが現状です。
1.クレジットカード情報の漏えい
2018年6月の改正割賦販売法施行に伴い、クレジット加盟店にもクレジットカード情報を適切に管理し、不正利用を防止することが義務化されました。カード情報をいかに管理し、不正利用を防止するかについての実務指針として「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」がクレジット取引セキュリティ対策協議会により策定され、これに基づき、対策が進められています。
セキュリティ対策に関する指針は、クレジット取引セキュリティ対策協議会によって作成される「実行計画」に示されており、クレジットカードを取り扱う加盟店は、PCI DSS(※1)準拠あるいはクレジットカード情報の非保持(※2)による対策が必要であるとされています。
実行計画では、まず、カード加盟店におけるカード情報の非保持化(もしくはPCI DSS準拠)が義務化しています。カード情報の非保持化とは、サーバ、PC、加盟店のネットワーク・機器でカード情報を「通過」「処理」「保存」しないことです。利用者の代理としてカード情報を業務PCに打ち込むこともNGとなります。
EC事業者は2018年3月末までに、実店舗の事業者は2020年3月末までにカード情報の非保持化を行うことが定められています。EC事業者については、ほとんどが対応済でしょう。ただし、これで完了ではありません。非保持化と合わせて義務化されているのが、複数の対策を組み合わせた「多面的・重層的な不正利用対策」です。カード情報の非保持化は、カード情報の漏えいを防ぐための対策ですが、それでもすべてにおいて100%漏えいが防げるわけではありません。万が一カード情報が漏えいした場合、あるいはすでに漏えいしているカード情報に対して、不正利用をさせないための対策も求められています。
▼クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2019-【公表版】
▼クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2019- 概要版
※1 PCI DSS (Payment Card Industry Data Security Standard)
加盟店やサービスプロバイダにおいて、クレジットカード情報を安全に取り扱う事を目的として策定された国際基準です。PCI SSCという団体によって運用、管理されています。国際カードブランド(American Express、Discover、JCB、MasterCard、VISA)は、クレジットカード取引に関わるすべての事業者がPCI DSSに準拠することを求めています。システムセキュリティや組織のセキュリティ管理体制だけでなく、ほぼ毎年追加される業界ベストプラクティスを反映しており、時代に合ったセキュリティ基準となっています。
※2 クレジットカード情報の非保持化
「実行計画」において提唱されている、日本独自のクレジットカード情報のセキュリティ対策の考え方です。システムにおけるクレジットカード情報の取扱い(保存、処理および通過)を一切無くすことにより、システムからクレジットカード情報が漏えいするリスクをゼロにすることが可能になるという考えに基く対策です。あくまで自主的な対策の1つであるため、PCI DSSのような、第三者による認定は無く、事業者自身の判断で非保持化を表明します。
2.最近の事故の傾向
ECサイト内部へ直接不正アクセスを行う従来型の攻撃に加えて、ECサイトの利用者を偽の決済サイトへの誘導し、そこでクレジットカード情報を不正に窃取する攻撃による被害が、2018年下期から急増しています。
このようなタイプの攻撃は、フィッシングサイトを利用していますが、従来のフィッシングと異なる点があります。それは、本物のサイトを改ざんし、利用者が意図しない内に偽サイトへ誘導している点です。しかも、決済画面への移行時にのみ誘導されるため、利用者が気付くことは難しいと言えます。手口は以下の手順をとり、利用者もWEB管理者も気が付きにくいというものです。
- 決済代行事業者サイトの画面を真似て利用者の入力を横取りする
- 失敗画面を出したあとに正規ルートへリダイレクトする
- 再度利用者が入力したら正常に進む
フィッシングサイトであれば、URLが変わるので気が付きそうなものですが、ECサイト自身で偽画面を出すため、利用者は、画面がうまくできていると本物だと勘違いしてしまいます。また、「自分の打ち込みミスかな?」と思って再入力すると問題なく次に遷移するので、まさか漏えいに直面しているとは気が付きません。
カード情報保護対策の一つに、カード情報を保存させない非保持化があることは確かですが、アプリケーションに脆弱性があれば、カード情報を盗まれてしまうことになります。カード情報の非保持化にも取り組むべきですが、まず、カード情報を盗まれないために、アプリケーションやOSに脆弱性を残さないという基本的なセキュリティ施策が求められます。
ファイアウォールやIDS/IPSやWAF、脆弱性検査など、いろいろ外壁を守る手段は充実してきているものの、実際にシステムの中に入られたら無力なケースが多いといえます。入られた後にも何らかの仕掛け(改ざん検知システムなど)を用意しておき、痕跡を残す技術の重要性を突き付けられた一連の事故です。
「クレジットカード情報は弊社システムでは保持していないので、安全です」とはいえないということであり、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであることの認識を持つ必要があります。
3.対策の検討
上記のように、クレジットカード情報の非保持化対策では対応出来ない攻撃手法が多く確認されています。システム内部から窃取するのではなく、誘導先の偽サイトで窃取するため、システム内部で非保持化するだけでは、効果がありません。
つまり、カード情報のシステム内部の非保持化だけではなく、ECサイトを含めた全体的なセキュリティ対策が必要ということが分かります。
特にECサイトの改ざんや偽画面への誘導などの新たな攻撃手口への対策としては、新しい攻撃手法の情報を継続的に入手し、その攻撃手法への対策が取られているか、リスクアセスメントを実施し、必要に応じて対応することが求められます。 例えば、ECサイトの改ざんに対しては、改ざん検知システムによる確認を定期的に行い、改ざんに備えることが考えられます。ウェブアプリケーションを構成するスクリプトが書き換えられていないか、覚えのないスクリプトが追加されていないか、といった観点に加え、OSのバイナリファイル、設定ファイルのような頻繁に変更の行われないファイルが変更されていないか、バックドアが設置されていないか、という観点でも確認することが重要です。 なお、DMZのウェブサーバーや、ウェブアプリケーションの確認頻度を高くし、保護された内部ネットワーク内のシステムの、対象ファイルの確認頻度は前者よりも抑える(週次程度)など、改ざん検知の対象ファイルのリスクに応じて確認頻度を変えることも、運用コストを抑える上で有効な場合があります。
EC加盟店がカード情報を漏えいした場合、カード会社や決済代行会社からの指摘を受けて、対応を検討することがほとんどです。一方、外部からの通報による対応と、内部での発見による対応では、その後の対応を進めやすいのはどちらか明白です。
異常な兆候、不正アクセスの兆候を迅速に把握し、情報漏えい被害の影響を最小限にするための第一歩は、適切にログを取得し、そのレビューをリアルタイム(自動化による)、もしくは短い間隔で実施することです。
異常な兆候、不正アクセスの兆候を把握でき、情報漏えいが発生した可能性があると判断された場合は、あらかじめ準備したインシデント対応計画に基づき、対応することが求められます。インシデント対応計画として、カード会社(アクワイアラ)および/もしくは決済代行事業者、監督官庁への報告とそれらからの指示に基づく対応、フォレンジックへの対応、原因究明後の対策、公表、事後対応と事業再開などの手順を定めておくことが望まれます。また、最近では、不正なクレジットカード使用による実害が出る前にビッグデータ解析により不正行動パターンを分析し、ECサイトを狙う不正者からの注文を検知できるサービスもあります。このような対策も「多面的、重層的な不正対策」の取り組みの有効な一つの手段として検討できるでしょう。
以上のように、「非保持化」を実現した事業者であっても、セキュアな状態で事業を継続するためには、自社の環境におけるリスクを考慮し、運用のPDCAを維持し続けることが必要となります。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556