データプライバシーとコンプライアンスの動向(2)
2020.03.17総合研究部 上席研究員 佐藤栄俊
【もくじ】
概要
1)法改正の動向
2)Cookieの利用を制限
3)Cookie規制の背景
4)行動ターゲティングとプライバシー
5)独占的な個人データ利用制限の流れ
データプライバシーとコンプライアンスの動向(2)
【概要】
先日、政府は個人情報保護法の改正案を閣議決定しました。大量の個人情報の取得・活用に対する懸念や認識の深まりを受け、個人情報やプライバシー保護の強化が世界的な潮流となっており、また、日本における独占禁止法の新しい指針も公表されています。今回の「情報セキュリティトピックス」では、個人情報保護法の改正の動向や独占的な個人データ利用制限の流れとしてプラットフォーマーを取り巻く規制など、特に個人データの管理・利用に関わる制度の動向や論点についていくつか取り上げ、整理していきたいと思います。
1.法改正の動向
3月10日、政府は「個人情報の保護に関する法律等の一部を改正する法律案」(個人情報保護法の改正案)を閣議決定しました。改正案の主旨は、個人の権利保護や企業のデータ収集・分析のあり方などを定めたもので、開会中の通常国会に提出し成立を目指すとしています。
改正案の主な内容としてはまず、企業が実施する分析目的の個人データの収集を規制し、ウェブサイトを訪れた利用者の情報を記録・保存する仕組み「Cookie(クッキー)」を取得してデータベースに加える場合、本人の同意を取るよう義務付けることがあげられます。
また、「仮名加工情報」というデータ活用の枠組みを設定し、個人データから名前などを削除し、他の情報と照合しないと個人が特定できないように加工して使うことで、利用停止請求への対応義務を緩めています。当初、改正の目玉とみられた「使わせない権利(利用停止権)」の導入は、事業者に配慮する”条件付き”になっています。これは、個人が企業に望まないデータ利用をやめさせられる制度ですが、「本人の権利や正当な利益が害される恐れがある場合」など、使える場面を限っており、規制色が強まりすぎないよう、企業側の負担を減らし配慮したものとなっています。
そして、企業が一定規模で個人情報を漏えいした際、個人情報保護委員会への報告と本人への通知を義務付け、同委員会の命令への違反や、虚偽の報告をした場合の罰則が強化されています。
命令違反は、現行法の6カ月以下の懲役か30万円以下の罰金を1年以下の懲役か100万円以下の罰金で、法人の罰金の最高額は50万円から1億円となっています。
個人保護委員会は2021年をめどに、今回の改正法の運用に関する指針を示す見通しです。データ活用による事業の成長と個人情報の保護を両立するためには、規制の対象となるケースを具体的に示すなど、適正なデータ利用の萎縮を防ぐ工夫が重要になります。
個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」
2.Cookieの利用を制限
改正案の要点としては、まず、企業などが利用者の様々なデータから個人を分析する行為への規制があげられます。ネットの閲覧履歴などを集められるCookieの利用を制限するもので、現行法はCookieで収集するデータを原則「個人情報」とみなさないため、多くの企業が「規制対象外」として、広告やマーケティング向けの分析に多用しています。
改正案では、個人の分析をしようとする企業が、他社からCookie情報を集めてデータベースに加える場合、本人の同意を取るよう義務付けることになります。提供する企業も、データを集める企業に「本人の同意を得たか」を確認する必要があります。これは、個人データの扱い方の透明性を高め、本人が知らないうちに行動や嗜好を分析(プロファイリング)されることを防ぐ目的があります。現行法は個人情報を集める際に「販促活動のため」など利用目的のみを示せばよいことになっていますが、改正後は「データ処理方法」も明示しなければなりません。人工知能(AI)や機械学習で個人の好みを推測するなど、データをどう扱うかを利用者に説明する必要があるということです。
米Googleは、同社のブラウザChrome上で、閲覧履歴を記録するCookieの外部提供について、2022年に向けて段階的に廃止すると公表しました。プライバシー保護の観点から、欧米で強まるCookie規制に対応するものです。Cookieは、利用者が訪れたサイトの履歴が記録される情報で、消費者の好みや属性を知ることができます。それぞれの消費者にあった広告をネット上で出したい企業には重要な情報で、ターゲティング広告に活用されています。一方、他のデータと照合され特定・操作される可能性があり、追跡行為を受け入れるか否かを利用者に明確に確認する必要があります。今後、このような動向は、一般企業も、広告やマーケティング戦略の練り直しを迫られることになるでしょう。Cookieを利用した顧客分析に頼らず、自社で直接、消費者のニーズを探る健全な競争や取り組みが活性化することが期待されます。
3.Cookie規制の背景
法改正の議論は、2019年はじめから本格化しており、当初は個人情報保護委員会などに「規制を強め過ぎてデータ活用を萎縮させてはならない」との懸念が根強く、個人分析の規制強化は前向きに検討されていませんでした。ところが2019年8月の就職情報サイト「リクナビ」を運営するリクルートキャリアによる、Cookieなどを利用した就活生の内定辞退率を割り出して企業に販売していたことが個人データの乱用への批判に繋がり、改正案にも行きすぎた個人の分析を防ぐ条文を盛り込むことになったという経緯があります。
リクナビの問題以外でも、広告の業界で特に多いのですが、アプリに紐づくIDや、ブラウザのCookieなどの個人に関わるパーソナルデータについては、法的に規制されている個人情報ではないという立て付けのもと、個人の同意なく収集されて企業間で共有、利用されています。
そもそもCookieとはインターネットを利用したときに、ウェブサーバから送られる、利用者のデータを保存しておくためのファイルのことです。たとえばそこにログインセッションIDやFacebookIDといった「個人情報を特定できる情報」が入っていることは決して珍しいことではありませんが、当たり前のようにビジネスで利用されています。ネットで企業のウェブサイトにアクセスした際には、閲覧履歴や端末情報がCookieを介して本人の知らない間に拡散されているのです。事業者はCookieに関する二次的三次的な提供先や共有範囲などを把握していないケースが多いようです。
膨大な履歴データを集め、個人の属性が分類されることは、確かに属性を細かく分析し、ピンポイントな広告を表示できれば、購買意欲の高い消費者にアピールすることができます。これが、適正な広告にとどまるならまだいいのですが、履歴データが利用されることで危惧される問題は非常に深刻なものもあります。
サービスを利用したり、ポイントカードを作る際には、約款が示されますが、しっかり読解できる人は多くないでしょう。たとえば、約款に利用目的として「ライフスタイルの分析に使う」と表示してあっても、具体的な利用方法やその結果は想像もつきません。
購買行動から似たような行動をする人をグループ化するクラスタリングや、本人の特性を推測して選別し自動決定するプロファイリング等の技術も進んでいますが、個人の購買行動ばかりか、病歴や思想信条までわかり選別されてしまう可能性があります。個人データを処理して本人の関与なく人を選別し、時に人権侵害に発展する恐れもあります。このように、個人情報の扱いで最もまずいのが、本人の知らないところで属性を推知され、特に、人が介在しないで自動的に不利益や差別を受けることになってしまうことです。
4.行動ターゲティングとプライバシー
インターネット上で提供されるさまざまな無料サービスは、われわれの生活にとって不可欠なものとなっています。Googleやヤフーの検索サービス、YouTubeなどの動画配信サービス、あるいはFacebookなどのSNSは、もはや現代社会の生活基盤ともいうべきサービスですが、これらはいずれも無料で提供されています。こうした無料サービスの提供は、膨大な利用者データを用いた行動ターゲティング広告から収益を上げることで実現しています。言うなれば、「無料」にみえるサービスの対価として、実は、利用者は自らに関するデータを提供し、また、そのデータを用いた行動ターゲティング広告を閲覧することにより、事業者の収益に貢献しています。
行動ターゲティング広告は、オンラインで利用者の行動履歴(ウェブサイトの訪問履歴、ECサイトでの購買履歴、広告閲覧履歴、検索エンジンでの検索履歴等)に基づいて、広告主が訴求したい属性の利用者に絞って、あるいは利用者の興味関心に応じて、広告を配信する技術です。行動ターゲティング広告の出現と発展は、広告単価を向上させ、広告媒体(パブリッシャー)であるオンラインサービスの事業者に利益をもたらしました。広告主の立場からみても、行動ターゲティング広告により、訴求したい利用者に絞って広告を配信することが可能になり、これと広告効果測定の技術が合わさることにより、効果的・効率的なマーケティングが可能となりました。他方で、行動ターゲティング広告があってこそ、各種のオンラインサービスが無料で提供されているのであり、また、行動ターゲティングの精度が高ければ、自分が興味のある新しい製品やサービスを知ることができる可能性があるから、行動ターゲティング広告は利用者にも利益をもたらしているといえます。
このように、行動ターゲティング広告の出現と発展は、パブリッシャー、広告主、利用者のいずれに対しても利益をもたらしてきました。しかしながら、その一方で、行動ターゲティング広告を可能とするための膨大な利用者データの蓄積・利用について、利用者のプライバシーの観点から、多くの問題が指摘されるようになり、世界的に規制を強化しようとする潮流があります。日本国内の企業でも今後この分野でビジネスを展開していくにあたっては、世界の潮流を踏まえて戦略を立てることが重要です。
米Googleや、Facebook、そして中国のアリババ集団などのプラットフォーマーは、検索サービスを無料で提供することで個人データの大規模な収集に成功し、得られる情報を広告に活用することで台頭しました。このようなビジネスモデルでは、データ収集量が増すことで広告の精度も向上することから、寡占化が進みました。
一旦データが取得されると、その後のプロセスは外部から見えにくいため、個々の情報の取り扱いへの懸念が生じます。ただ、データを多量に保有していることが問題なのではなく、データを適切に扱い、競争を阻害しない形で、かつ透明性の高いプロセスで使用することが重要なのではないでしょうか。サイバー空間は規制が及びにくいだけに、プラットフォーマ及びデータを活用する事業者には、より高い信頼が求めれています。
5.独占的な個人データ利用制限の流れ
GAFA(Google 、Apple、Facebook、Amazon)と呼ばれる巨大IT企業がデジタル市場で独占的な力を強めていると指摘される中、政府は2月18日の閣議で、取り引きの透明性を確保するため、取引先との契約条件の開示を義務づけるなど新たな規制を設ける「デジタル取引透明化法案」を決定しました。閣議決定された「デジタル取引透明化法案」では、インターネットでサービスを提供する企業のうち、一定の規模があり国民生活や経済への影響が大きい企業を「特定デジタルプラットフォーム」と名付けて規制の対象とするとしています。
そのうえで、これらの企業に対し、取引先の業者が手数料の一方的な引き上げなどの不当な取り扱いを受けないよう、契約条件の開示や契約内容を変更する場合の事前の通知などを義務づけるとしています。
そして、従わない場合は経済産業大臣が勧告や命令を行えるほか、独占禁止法に違反する疑いが認められる場合は公正取引委員会に対処を要請できるようにするとしています。
公正取引委員会「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」
プラットフォーマーとは、検索や通信販売、会員制交流サイト、スマートフォンのアプリストアなど、インターネットサービスの基盤(プラットフォーム)を提供する企業を指します。代表格はGAFAと呼ばれる米国のGoogle、Apple、Facebook、Amazonで、日本では楽天やヤフー、LINEなどが該当します。世界中の誰でもが使え、利用者が増えるほど大量のデータが集まり、独占や寡占が起きやすく、巨大化するほど市場への影響力が強くなるのが特徴です。プラットフォーマーの巨大化で懸念されているのは、取引先に不利益になる契約変更を押し付ける可能性があるということです。さらに独占的に握った個人情報などのデータをどう扱っているのか見えにくくなります。新法案は、まずはネット通販やアプリストアを規制対象とし、出店者との取引条件の開示や運営状況を政府に定期的に報告するよう義務付けるとしています。透明性を高めて、弱い立場に置かれる取引先の中小企業を不当な契約から守る狙いがあります。
このようなプラットフォーマーが、消費者に対して優越的な地位にあり、消費者の個人情報等の取得または利用を不公正な手段により行う場合には、独占禁止上の不公正な取引方法の一つである「優越的地位の濫用」として、独占禁止法により規制され得ることを明確にするものです。
個人情報を取り扱う事業者は、これまでは個人情報保護法等に従った個人情報の取り扱いをすればよかったのですが、本法案に従えば、今後は独占禁止法の観点からの規制にも留意する必要があることが明確になったといえます。
【優越的地位の認定】
法案によると、消費者がプラットフォーマーから不利益な取り扱いを受けても、消費者が当該プラットフォーマーの提供するサービスを利用するためにはこれを受け入れざるを得ないような場合には、プラットフォーマーが個人情報等を提供する消費者に対して優越した地位に判断される可能性があります。以下の①から③のいずれかに該当する場合には、通常、優越的地位が認められるとされますが、特に③については、その運用次第では多くおプラットフォーマーが該当するように思われるため留意を要します。
- 消費者にとって、代替可能なサービスが存在しない場合
- 代替可能なサービスが存在してたとしても当該プラットフォーマの提供するサービスの利用を止めることが事実上困難な場合
- 当該プラットフォーマーが、その意思である程度自由に、価格、品質、数量、その他拡販の取引状況を左右することができる地位にある場合
プラットフォーマーをめぐる法規制の世界的な議論のなかで、今後も個人情報・プライバシーの保護は引き続き強化されることが予想されるため、事業者は国内外の動向を注視しておく必要があります。他方で、少し視野を広げると、個人情報を含むデータの流通・活用の重要性も強調されているところであり、また、独占禁止法・競争法等のその他法令との交錯した領域での問題も生じていることから、これらの調和を図りつつ実質的な権利保護を実現する適切なバランス感覚が、法令の制定・執行レベルでも、また各事業者による個別の事業計画・遂行レベルでもより一層求められています。
最近のトピックス
◆日本IBM「ネットワーク侵入の60%は「盗んだ認証情報」「ソフトウェアの脆弱性」をIBM X-Force脅威インテリジェンス・インデックス2020を発表、盗んだ認証情報と既知の脆弱性を武器に企業を攻撃」
2月18日、日本IBMは、IBMのセキュリティ研究機関「IBM X-Force」の脅威インテリジェンス指標の結果(「IBM X-Force脅威インテリジェンス・インデックス2020」)を発表しました。ネットワークへの不正な侵入について、最初の侵入の60%は、以前盗んだ認証情報や、ソフトウェアの既知の脆弱性を利用しており、相手を欺くことなく侵入が可能であったと指摘し、初期攻撃には、次の上位3つの傾向があるとしています。
- 攻撃の起点としてフィッシングが利用されたのは、インシデント全体の3分の1未満(31%)へと減少した。
- 脆弱性スキャンとその悪用は、2018年にはインシデント全体のわずか8%だったが、2019年は30%へと増加した。
- 以前盗んだ認証情報が攻撃の足がかりに利用されており、インシデント全体の29%において侵入口となっている。2019年には85億件を超えるレコードが侵害され、攻撃にさらされたデータが前年比で200%増加した。
これは、攻撃者は相手を欺くことなく侵入が可能であったという状態が多くの割合を占めているということを指しており、事業者は自ら都合の悪い状況を生み出していることになります。攻撃者にとってみれば、複雑に絡み合ったシステムの中からひとつでも脆弱な箇所を見つけ出し、内部に侵入することができれば、そこを起点に様々な情報資産を盗み出すことができます。攻撃者側にとって有利な状況(選択肢)をさらに拡げないために、守るべき情報に対する安全への十分な配慮と不備を放置・見過ごしていないかをあらためて確認する必要があります。
◆独立行政法人 情報処理推進機構(IPA)「コンピュータウイルス・不正アクセスの届出状況[2019 年(1 月~12 月)]」
独立行政法人 情報処理推進機構(IPA)は、2月7日、「コンピュータウイルス・不正アクセスの届出状況」(2019年1月~12月)を公開しました。2019年1月1日から12月31日までに受理した、コンピュータウイルスと不正アクセスに関する届出状況を報告したもので、ウイルスの多様化などを受け、2018年までの集計方法から変更され「届出1回につき1件」としています。
2019年に寄せられたウイルスの届出件数は259件で、そのうち、感染被害があった届出は18件だったとしています。また、主な被害は、Emotetが5件、ランサムウェアが5件です。月別にみると、届出件数は1月と12月が最も多く(ともに28件)、被害件数は12月が最多となっています。
また、2019年のウイルスなどの検出数は、746,206個で、2018年(632,375個)から約18.0%増加しています。一方、不正アクセスの届出状況については、年間件数で89件と、前年(54件)から約64.8%増となっており、このうち、被害のあった届出件数は56件で、全体の約62.9%を占めています。
手口別には、「侵入行為」(59件)、「なりすまし」(21件)、「サービス妨害攻撃」(12件)が上位を占め、この傾向は過去3年間で変わっていません。被害のあった届出件数 (56件)について、不正アクセスの原因を分類したところ、「設定不備」が15件で最多です。しかし、「不明」も同じく15件となっており、その原因としてIPAでは、「手口の巧妙化やログなどの保存が不十分であるといった理由で、原因の特定に至らなかったと考えられる。」と言及しています。
情報セキュリティの分野におけるインシデントとは、コンピュータやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。
そこで、インシデントが万が一発生した場合に迅速に対応し、被害の拡大を最小限にするための事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故を前提としたポリシー策定や手順を確立しておくことが重要となります。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。したがって、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要となります。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
サイバー攻撃などの被害を受けやすい企業の特徴として、IT環境の未整備、セキュリティアップデートの適用管理が不十分、ウィルス対策ソフトの利用が限定的、PC機器等の持ち出しや持ち込みの管理が未実施、事故対応体制が未整備などITガバナンスが十分ではない組織であると考えられます。
事業者は、取るべき対策を整理するとともに今回の攻撃を踏み台にした次なる攻撃を想定し、警戒レベルを上げて、システム面・オペレーション面双方での多層的な防御策の導入、役職員の意識高揚など早急な取り組みが求められます。
◆独立行政法人 情報処理推進機構(IPA)「宅配便業者をかたる偽ショートメッセージに引き続き注意!」
2月20日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開しました。宅配便業者をかたり、利用者のスマートフォンに荷物の不在通知を偽装したSMS(ショートメッセージサービス)を送りつけ、偽サイトで不正なアプリをインストールさせたり、フィッシングサイトに誘導したりする手口については、攻撃内容が変化し続けている点に注意が必要です。
たとえば、2020年2月には、「新型コロナウイルス」に便乗した内容の偽SMSが確認されています。IPAでは、こうした被害にあわないために、不正なアプリをインストールさせる手口や、フィッシングの手口の基本を知ることや、SMSやメール内のURLを安易にタップしない、提供元不明のアプリのインストールをするときは、細心の注意を払う、パスワードや認証コードなどの重要な情報は安易に入力しないといった対策を日頃から行うよう呼びかけています。
また、最近はインターネット・バンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金される被害が増えています。金融機関等が本人確認強化のため導入している二段階認証も絶対に安全とは言い切れません。新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインします。すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金するというものです。これまで、受け取ったことがない金融機関からSMSが、何のきっかけもなく突然来た場合は疑った方が良いでしょう。また、自衛の手段として、手口や危険性を知り日々閲覧するWebサイトには偽物やなりすましが多く存在し、騙される可能性があるということを客観的に理解しておく必要があります。
◆消費者庁「インターネットショップでのクレジットカード番号の漏えい・不正利用に注意しましょう」
消費者庁は、2月13日、ECサイトの脆弱性が狙われ、利用者のクレジットカード番号の漏えい被害が増加しているとして注意喚起しました。
これは、ECサイト構築システムの脆弱性が悪用され、利用者のクレジットカード番号が盗み取られる被害が多発していることを受けたもので、この脆弱性は昨年より注意喚起されています。
当該システムを利用するECサイトで、次のように決済画面を改ざんされ、利用者が入力したクレジットカード情報が盗み取られる手口が確認されています。
- 利用者がECサイトでクレジットカードでの支払を選択した際に、正規の決済画面に酷似した偽の決済画面が表示され、クレジットカード番号を入力してしまう。
- その後、「決済が失敗しました」などのエラーメッセージが表示された後、正規の決済画面に移動し、利用者が再度クレジットカード番号を入力する。
- 正常にクレジットカード決済が完了し、後日ECサイトから利用者の元へ商品が発送される。
偽の決済画面は、正規の決済画面との違いがわからないほど似ており、商品購入自体は、上記②の正規の決済画面で完了し、商品も届いていることから、利用者が被害に気づきにくい性質があります。経済産業省の注意喚起では、ECサイトの公表ベースで約14万件のクレジット番号などが漏えいしたことが確認されています。
消費者庁では、不正に窃取されたクレジットカード番号を悪用し、悪意ある第三者によって不正利用され、利用代金がクレジットカード会社から請求される可能性があるとし、利用者に次の点に注意するよう呼びかけています。
- オンラインでクレジットカードを利用したときは、クレジットカード会社から明細が送付されるまで売上票や電子メールなどを保存しておく。
- 利用明細が送付されてきたら、保存しておいた売上票などと突き合わせて内容を確認する。クレジットカード会社のWeb明細やアプリの利用明細を頻繁に確認することも有効。
- 利用明細や履歴に覚えのない利用の記載があったときは、すぐにクレジットカード会社や関係機関の消費者相談室に連絡する。
ECサイト内部へ直接不正アクセスを行う従来型の攻撃に加えて、ECサイトの利用者を偽の決済サイトへの誘導し、そこでクレジットカード情報を不正に窃取する攻撃による被害が、2018年下期から急増しています。このようなタイプの攻撃は、フィッシングサイトを利用していますが、従来のフィッシングと異なる点があります。それは、本物のサイトを改ざんし、利用者が意図しない内に偽サイトへ誘導している点です。しかも、決済画面への移行時にのみ誘導されるため、利用者が気付くことは難しいと言えます。手口は以下の手順をとり、利用者もWEB管理者も気が付きにくいというものです。
- 決済代行事業者サイトの画面を真似て利用者の入力を横取りする
- 失敗画面を出したあとに正規ルートへリダイレクトする
- 再度利用者が入力したら正常に進む
フィッシングサイトであれば、URLが変わるので気が付きそうなものですが、ECサイト自身で偽画面を出すため、利用者は、画面がうまくできていると本物だと勘違いしてしまいます。また、「自分の打ち込みミスかな?」と思って再入力すると問題なく次に遷移するので、まさか漏えいに直面しているとは気が付きません。
カード情報保護対策の一つに、カード情報を保存させない非保持化があることは確かですが、アプリケーションに脆弱性があれば、カード情報を盗まれてしまうことになります。カード情報の非保持化にも取り組むべきですが、まず、カード情報を盗まれないために、アプリケーションやOSに脆弱性を残さないという基本的なセキュリティ施策が求められます。
ファイアウォールやIDS/IPSやWAF、脆弱性検査など、いろいろ外壁を守る手段は充実してきているものの、実際にシステムの中に入られたら無力なケースが多いといえます。入られた後にも何らかの仕掛け(改ざん検知システムなど)を用意しておき、痕跡を残す技術の重要性を突き付けられた一連の事故です。
「クレジットカード情報は弊社システムでは保持していないので、安全です」とはいえないということであり、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであることの認識を持つ必要があります。
◆JPCERTコーディネーションセンター(JPCERT/CC)「マルウエアEmotetへの対応FAQ」
JPCERT/CCは2月3日、国内の複数の組織で相次いで注意喚起が発表されているEmotetの感染有無を確認することができるツール「EmoCheck」を公開しました。
Emotetは、「感染端末内のメール情報や資格情報の流出」「流出情報の悪用と外部拡散」「感染端末を起点とした内部拡散」など、組織に深刻な被害をもたらす可能性があるマルウェアです。実在する組織や人物になりすまし、過去にやり取りしたメール内容などの一部が流用された攻撃メールを送りつけるため、開封した人がだまされやすい(感染しやすい)特性があります。
EmoCheckの利用方法は、GitHub上で公開されている同ツールをダウンロードし、感染が疑われる端末へコピーします。そして、コマンドプロンプトまたはPowerShellによってツールを実行すると、感染の有無がチェックできます。「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しており、「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していないことが確認できます。
なお、JPCERT/CCでは、同ツールはコードサイニングを行っていないため、ツール実行時にダブルクリックすると、Windows Defender SmartScreen(Windows10に搭載されるセキュリティ機能)によりブロックされるとのことです。そのため、コマンドプロンプトまたはPowerShellによって実行する必要があり、この問題は次リリース以降修正予定だといいます。
Emotetは昨年から国内外の組織で被害が度々確認されています。添付のWord文書のマクロを利用して端末へ侵入し、Outlookのメール情報が窃取されます。やり取りされたメールに「RE:」をつけて実際の返信を装い、元のメールに割り込む形でEmotetのダウンロードへ誘導し、また、「請求書」「賞与支払届」といった日本語のファイル名が使われた事例も確認されています。社内における注意喚起と、メールや添付ファイルを開いた場合のネットワークからの遮断、しかるべき部門への報告・連絡体制を確認しておく必要があります。また、Emotetの活動は“種まき”の段階という場合もあり、今後他のマルウェアへの連鎖や真の攻撃が開始される可能性があります。単発の対策で終わらせず、感染経路と拡散手法の確認、自社の状況の継続した監視が求められます。
最近の個人情報漏えい事故(2020年1月、2月)
下記の表は、昨年11月と12月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 | 発生原因 | 対象 | 備考 | |
1 | 労災病院 | ノートPC紛失 | 患者の個人情報 | 職員が帰宅していた際、タクシーの車中に置き忘れ、紛失 |
2 | 市 | メール誤送信 | メールアドレス119件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
3 | 市立小学校 | 書類紛失 | 児童7名の氏名、学年、アレルゲンなどが記載された名簿 | |
4 | 大学病院 | ノートPC紛失 | 最大1,300件の患者の氏名、性別、病名、手術内容等が記録されたノートパソコンと外付けハードディスク | |
5 | 府立高校 | 書類紛失 | 2年生1クラス39名分と3年生1クラス30名分の氏名、学年、出席番号等が記載された出欠記録簿 | |
6 | 市立病院 | 誤送付 | 死亡診断書1枚 | 診療情報提供書を入れた封筒に、誤って別の診断書を封入し、介護施設担当者に渡した |
7 | 福祉センター | 書類紛失 | 1名分の名前、マイナンバー、障害名などが記載された身体障害者手帳の交付申請に関する書類で顔写真も含む | 「Bcc」で送信すべきところを誤って「To」で送信したため |
8 | 国立大学 | メール誤送信 | メールアドレス304件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
9 | 市 | USBメモリ紛失 | 支援を必要とする高齢者や障害者等合わせて1万795名分の氏名、住所など | |
10 | 市立小学校 | USBメモリ紛失 | 児童47名分の氏名、住所、4名の通知表の下書等 | |
11 | ホテル | メール誤送信 | 27,763件分の利用代表者名、会員名等が記録されたファイル | メールを送信した際、1つの誤ったメールアドレスに送信 |
12 | 市立小学校 | タブレット紛失 | 小学校3~6年生の172名の氏名、学校名等 | |
13 | 図書館 | メール誤送信 | 231名分のメールアドレス | 「Bcc」で送信すべきところを誤って「To」で送信したため |
14 | 市 | 書類紛失 | 調査対象者22名の所属、氏名、電話番号等が記載された一覧表 | |
15 | 市 | メール誤送信 | メールアドレス230件 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
16 | 公益財団法人 | メール誤送信 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため | |
17 | 国立大学 | USBメモリ紛失 | 在校生と卒業生約4,000件の氏名、住所等 | JR山手線に乗車中に、同USBメモリが入った鞄を網棚に置いて居眠りをし、なくなっていることに気付いた |
18 | 市 | メール誤送信 | メールアドレス26件 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
19 | 市 | 書類紛失 | 38名の氏名、電話番号等 | |
20 | 市立高校 | 書類紛失 | 2・3年生あわせて128名分の氏名、出欠状況等 | |
21 | 市 | メール誤送信 | メールアドレス270件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
22 | 技術専門校 | メール誤送信 | 98件のメールアドレス | 「Bcc」で送信すべきところを誤って「To」で送信したため |
23 | 看護大学 | USBメモリ紛失 | 学生92名の氏名、学籍番号のほか、実習病院の指導者5名の氏名など | |
24 | 市 | メール誤送信 | メールアドレス200件 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため |
25 | 国立大学 | メール誤送信 | メールアドレス71件 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
26 | 市立中学校 | USBメモリ紛失 | 1年生249名の氏名、その内125名の成績など | |
27 | 学会 | メール誤送信 | メールアドレス58件 | 送信先を誤って「CC」に設定したため |
28 | 私立大学 | 不正アクセス | 個人情報など含む送受信したメールの内容が外部へ流出した可能性 | 職員のメールアカウントが不正アクセスj |
29 | 市 | 書類紛失 | 70人分の氏名や住所、年齢、性別、世帯区分、支援が必要な理由など | |
30 | イベント | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなど顧客133人分の個人情報 | |
31 | 特別支援学校 | SDカード紛失 | 小学部の児童8人の写真データ28件 | |
32 | 通販 | 不正アクセス | 顧客520人のクレジットカード情報 | |
33 | 市 | 誤送付 | 送付対象者の氏名と住所がずれた宛名リスト | |
34 | 通販 | 不正アクセス | クレジットの名義や番号、有効期限、セキュリティコードが含まれるクレジットカード情報 | |
35 | 市 | メール誤送信 | 193団体255人分の氏名や住所、電話番号、メールアドレスなど | 誤って関係ない住民へメール送信していた |
36 | 通販 | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなどの情報4011件 | |
37 | 製造 | 不正アクセス | 新卒や経験者の採用応募者最大1987人分のほか、同社従業員による人事処遇制度運営に関するアンケート調査結果最大4566人分、同社関係会社退職者最大1569人分の情報 | 検知から発表まで半年以上要したことについては、監視や検知をすり抜ける高度な手法が用いられたとし、一部端末では送信されたファイルを特定するためのログが攻撃者によって消去されたことから調査に時間を要したと説明 |
38 | 通販 | 不正アクセス | メールアドレス153件 | |
39 | 調査 | 不正アクセス | 従業員を装う迷惑メールが、取引先に対して送信され他顧客のメールアドレスも流出 | |
40 | 市 | 書類紛失 | 27人分の氏名と住所、電話番号など | |
41 | ソフトウェア | 無断持ち出し | 持ち出された文書の機密性は低く、顧客や取引先の関連情報、通信の秘密に関する情報は含まれていないとの認識 | 元従業員が、作業文書などを無断で社外へ持ち出したとして不正競争防止法違反の容疑で逮捕された |
42 | 市 | 書類紛失 | 名と住所、水道番号、メーター番号など | |
43 | 町 | 書類紛失 | 氏名や住所、水道料金などが記載された水道料金納入通知書8人分と、氏名、金融機関名、口座番号、引落金額などが記載された口座振替対象者リスト3人分 | 個人情報含む水道料金納入通知書などが風にあおられて飛散し、一部未回収となっている |
44 | 電力 | 誤送付 | 個人顧客3218件含む顧客3522件の需要者名、住所、供給地点特定番号、契約電力、1月分電力量など | |
45 | スポーツ | メール誤送信 | 同問題を受け同法人では、理事長、事務局長、担当職員について、3カ月減給とする懲戒処分を実施。誤送信の防止機能を備えたソフトウェアの導入やチェック体制の整備など再発防止に取り組むとしている | |
46 | 国立大学 | ハードディスク紛失 | 学生の成績に関する情報など919人分の個人情報 | |
47 | 県 | メール誤送信 | 講師の行程や宿泊先、事業者の従業員氏名、受託事業者の個人メールアドレスなど、4件の個人情報 | 受託事業者とやりとりする業務連絡メールを、約5カ月にわたり無関係のメールアドレスにも同報送信していた |
48 | ソフトウェア | 不正アクセス | 護者2939人の氏名や一部電話番号、園児3754人の氏名、一部住所や生年月日、性別、入退園日など | |
49 | 市 | 書類紛失 | 38人分の氏名や電話番号のほか、満65歳以上、ひとり親家庭世帯、身体障害者などの減額情報 | |
50 | 県立高校 | 書類紛失 | 氏名や学年、学級、出席番号、出欠状況、考査素点、課題の評価などが記載された5クラス128人分の教務手帳 | |
51 | 通販 | 不正アクセス | 顧客のカード情報303件で、カード名義やカード番号、有効期限、セキュリティコードなど | |
52 | 大学病院 | SDカード紛失 | 患者約50人分の氏名やID番号、口腔内写真 | |
53 | 保育園 | 誤配布 | 20件分の入園児に関する情報 | |
54 | 通販 | 不正アクセス | 名義や番号、有効期限、セキュリティコードなど658件 | |
55 | 市立大学 | メール誤送信 | 症例3411件。患者の氏名や生年月日、性別、初回手術実施日、腫瘍の状況、手術後の治療、再発の有無など | 当事者である医師1人を14日間の停職処分とした。また研究責任者の医師1人についても、事態を見過ごしたとして減給処分としたほか、管理監督者に対して文書による訓戒を行った |
56 | 通販 | 不正アクセス | 顧客286人が利用したクレジットカードの名義、番号、有効期限、セキュリティコードなど | |
57 | 通販 | 不正アクセス | 「ID」「平文のパスワード」「メールアドレス」と氏名や送り先住所、電話番号など | |
58 | 財団 | メール誤送信 | メールアドレス131件 | イベント申込者131人へ中止を案内するメールを送信したが、送信先を宛先に入力したため、受信者間でメールアドレスが表示される状態となった |
「47」は、佐賀県がメールの誤送信によって個人情報を流出させたと2月7日に発表した事案です。送信先に誤ったメールアドレスを含めていたということで、かつ、このミスが最初に発生したのは、2019年8月で、約半年もの間、誤送信に気づかなかったとのことです。
佐賀県の誤送信は、業務委託業者の担当者が県の職員に送っていたもので、同報(CC)の宛先に含まれていた送信者の同僚のメールアドレスを間違えていました。県と業務委託業者は間違えたメールアドレスを含めたまま、互いにメーラーの「全員に返信」を選んで約40回もやりとりしており、この間に、県が開催するイベントの参加者名簿といった個人情報を送り続けていました。送信時に送信エラーにならず、受信者からも連絡がなかったため、間違いに長い間気づかなかったということです。県としては、存在するものの使われていないメールアドレスであり、もう使われていないか、県からのメールが迷惑メールフォルダーに仕分けされているのではないかと推測しています。ただ、このアドレスが使われていようが、使われていまいが、赤の他人に半年間も重要な情報を送り続けていたという事実に変わりはありません。送付先が正しいかどうかをしっかり確認するという基本的な事項ですが、それを怠るとこのような事態になってしまうことを思い知らされる事案です。
メール誤送信の要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。その他よくありがちなパターンとしては、メールの転送と返信を間違えてしまったり、オートコンプリート(候補表示)で宛先を間違えてしまうこともあります。また、電子メール送信時は、誤送信しても送信者自身がその事態に気づかないことが多いことも大きな特徴です。
メールアドレス一つだけでも、それは個人情報に該当しますし、誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。
電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556