情報セキュリティ 関連コラム

カメラによる個人情報の取得や利活用について

2021.09.21

総合研究部 研究員 吉田 基

【もくじ】

■カメラによる個人情報の取得や利活用について

1.はじめに

2.カメラによる顔画像の取得

(1)取得に関するルール

(2)即時削除

3.利活用と権利侵害の可能性

(1)顔認証と不平等取扱い

(2)プライバシーの侵害

4.カメラの利活用

(1)利活用に向けて

(2)利活用に関するコミュニケーション

5.最後に

■最近の個人情報漏えい事故(2021年7月、8月)

カメラによる個人情報の取得や利活用について

監視カメラ

1.はじめに

商業施設等において防犯カメラや監視カメラ等により、顔写真を撮影されることは一般的になっているかと思います。また、「【独自】駅の防犯対策、「顔認識カメラ」で登録者を検知…JR東が一部出所者も対象に」によると、顔認識カメラを使って、刑務所からの出所者と仮出所者の一部を駅構内などで検知する防犯対策が行われています。検知の対象は、過去にJR東の駅構内などで重大犯罪を犯し、服役した人(出所者や仮出所者)、指名手配中の容疑者、うろつくなどの不審な行動をとった人とされています。このように場所の安全を確保するために用いられるケースがあります。また、顔認証を用いて「顔パス」、「決済手段」など様々なサービスの場面で利用できるようにする取組みもなされています(南紀白浜エリアでの顔認証技術を用いた「IoTおもてなしサービス実証」の期間延長~実証参加施設も12カ所に拡大、生体認証データによる共通IDで安全で快適な旅行体験を実現~)。このようにカメラで撮る顔画像は様々な目的で利活用されています。あらためて、本稿では、カメラによる顔画像の取得や利活用について検討していきます。

2.カメラによる顔画像の取得

(1)取得に関するルール

利活用の前提として、カメラにより撮影し顔画像を取得しなくてはなりません。したがって、取得に関するルールを遵守しなくてはなりません。撮影したカメラ画像が、特定の個人を識別できる場合には、個人情報(個人情報保護法を以下、「法という。」2条1項)に該当します。したがって、不正の手段による取得してはならないことになるので(法17条1項)、事業者は、カメラが作動中であることを掲示する等、カメラにより自身の個人情報が取得されていることを本人が容易に認識することが可能となる措置を講ずる必要があります(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aを以下、「QAという。」1-13-3)。

(2)即時削除

カメラ画像と取得に関し、最近の事例を1つ挙げておきます。タクシー車内にタブレットカメラを設置し、顔画像を撮影し、性別を判定して広告を配信していました。なお、顔画像は、サーバーに送信されることなく端末内で即時削除されており、端末・サーバーを問わず一切保存されないとされています(個人情報保護委員会からの指導について)。これに対して、個人情報保護委員会により、法41条に基づき指導がなされています(個人情報の保護に関する法律に基づく指導について)。この点、撮影した顔画像から属性情報を取得して、当該顔画像を直ちに廃棄したとしても、取得に該当するとしています(QA1-13-3)。したがって、個人情報の取得に際して、十分な告知がなかったものとして指導がなされたものと思われます。

3.利活用と権利侵害の可能性

(1)顔認証と不平等取扱い

アメリカでは公道上の監視カメラ、監視用ドローン等で収集された画像データを解析し犯罪捜査に役立てています。この点、アメリカ自由人権協会が、アメリカの警察で実際に活用している顔認証システムを用いて犯罪者の顔特徴量データと連邦議会議員の顔写真を照合したところ、28人の議員が犯罪者と誤認識されており、さらに、誤認識されたのは有色人種の議員が多かったという結果が得られています。現にデトロイト警察が、顔認識AIが誤って検出した無実の黒人男性を逮捕したり、あるいは無実の黒人男性が、窃盗の容疑で、ニューヨーク警察に誤認逮捕されています。このような認証の誤りは認証精度を高めるトレーニング(機械学習)に要因があると指摘がされており、すべての顔認証システムとはいえませんが、約8割のトレーニングデータのサンプルを白人から採用されていたといわれています。

各事業者が顔認証技術をどのような場面で用いるかは多種多様ですが、使い方によっては不平等な取扱をする可能性があります。したがって、顔認証技術を用いるとしても、誤認の可能性(認証技術の精度、前提となるトレーニングにおけるサンプルの偏り・不十分さ)を念頭に、認証結果の合理性を検証する必要があります。

(2)プライバシーの侵害

独立行政法人情報通信研究機構(NICT)が主体となり、西日本旅客鉄道株式会社及び大阪ターミナルビル株式会社の所有する大阪駅ビル内に92台のデジタルカメラを設置して、同所を通行する一般の人を撮影したうえ、災害発生時等の安全対策への実用に資する人流統計情報の作成が可能か否かを検証する実験が平成26年2月より実施が予定されていました。もっとも、実験への懸念が報道されたり、「監視社会を拒否する会」が、「JR大阪駅ビルでの顔認証システム実験の中止を求める」要請書を提出しています。平成26年3月11日、NICTは本実証実験の延期を公表し、平成26年4月1日に「映像センサー使用大規模実証実験検討委員会」(以下、「委員会」という)を設置しています。また、同実験ヘは、大阪弁護士会より、独立行政法人等個人情報保護法に違反し、大阪ステーションシティの利用者のプライバシー権を侵害するおそれがあると指摘がされています。なお、委員会の調査報告書によると、同実験はプライバシー権を侵害するものではないとしています。委員会と大阪弁護士会で見解に相違があり、実験自体は延期されているので、双方の見解の当否はわかりません。少なくとも、このようなプライバシーの侵害に関わりうるものである場合には、利用者の不安感を生じさせ、ひいては、社会的に批判を浴びる可能性があることを認識しておく必要があります。このような不安感を解消すべく、HPや施設の案内などにおいて、目的、実施場所、データの処理の方法を事前告知することが望ましいものと思われます。

さて、最初に紹介したように、JR東日本では、既に駅構内で顔認識機能つきのカメラを用い、重大犯罪の指名手配犯や仮釈放者、挙動不審な人物などの顔を対象に登録し照合が実施されています。NICTの実験は災害時の避難誘導のための情報収集であるのに対し、JR東日本の取組みは防犯目的と大きく異なります。したがって、NICTの実験における議論が直ちに妥当するとは言えませんし、詳細は明らかでない以上、JR東日本の取組みの当否は何とも言い難いところです。

この点、「【独自】駅の防犯対策、「顔認識カメラ」で登録者を検知…JR東が一部出所者も対象に」によると対象者を検知すれば、警備員が確認のうえ、警察への通報や手荷物検査を行うとされています。確かに、人の目でチェックが行われますが、カメラで撮影した人物が登録されている人物と同一かどうかを判定できるとは限りません。どの時点において(明らかに乗客等への危険が認められた時点か、あるいは、カメラが検知した時点か)、警察へ通報、手荷物検査の実施をするのか、運用に関しても慎重さが必要になるものと思います。

いずれにせよ、事後的に当該取組みが個人情報やプライバシーに対してどのような影響を与えたのか、悪影響がある場合には、これを防止したり、軽減するためにどのような対策を講じるべきかを検証していくことが必要になるものと思います。[1]

4.カメラの利活用

(1)利活用に向けて

事業者におけるカメラの利活用の目的は様々です。また、設置される施設が公共施設なのか、あるいは商業施設かにより想定される利活用方法も異なってきます。また、公共空間か、不特定多数人が出入りすることが予定されているのか、特定人しか出入りすることが予定されていないかにより、配慮を要する事項も異なってきます。事業者としては、カメラを利活用する目的や設置する施設の性質を考慮して、個人情報保護法等その他法令に抵触する可能性、プライバシーの侵害等を考慮し適切な対応をすることが必要となります。[2]

対応を考慮する上で、カメラ画像利活用ガイドブックver2.0が参考になるため、長いですが、基本原則を引用しておきます。

  • 取得・処理・保存・利活用の各過程におけるデータのライフサイクルを定めると共に、データが記録・保存される機器やサーバ群、及びネットワーク上の各所における責任主体を定め、リスク分析を適切に実施すること。
  • データの取得と利活用にあたっては、運用実施主体を明確に定め、相談や質問・苦情等を受け付けることのできる一元的な連絡先を設置すること。
  • データの取扱いや利活用については、一元的な連絡先の設置と対応のみならず、カメラ設置場所周辺で勤労する従業員等に対する教育を実施する等、生活者が一貫した説明を受けられるような施策を実施すること。
    運用実施主体は、生活者に、事前告知や取得時の通知等で、空間(店舗等)におけるカメラ画像利活用に対し適切なコミュニケーションを図ること。また、利用目的等についても、可能な限り生活者にわかりやすく伝えるとともに、カメラ画像利活用に係る生活者のメリットを説明し、丁寧に理解を得る努力をすることが望まれる。また必要に応じ、限られた空間(店舗等)から利活用を開始して、生活者の理解を醸成してから空間(店舗等)を拡大すること等、段階的に実施することも生活者の理解を得る手段として考えられる。
    更に、生活者がカメラ画像利活用のメリットを実感しているか、不満が無いかといった意見をくみ取り、利活用方法の改善を継続的に検討する等、生活者との対話の努力をすることが望ましい。
  • パブリック空間を撮影する場合、設置場所の自治体で定められる条例を遵守すること。
(2)利活用に関するコミュニケーション

引用した基本原則から一部抜粋しておきます。

  • 相談や質問・苦情等を受け付けることのできる一元的な連絡先を設置
  • 生活者が一貫した説明を受けられるような施策を実施すること
  • 利用目的等についても、可能な限り生活者にわかりやすく伝えるとともに、カメラ画像利活用に係る生活者のメリットを説明し、丁寧に理解を得る努力をすることが望まれる

抜粋した部分からもわかる通り、利用者への積極的な説明・コミュニケーションが重視されています。具体的には、各施設・店舗の入り口で目的や、何を取得しどのように処理されるか、直ちに廃棄することなどを掲示したり、HP上で公表する等が挙げられます。このように積極的な説明・コミュニケーションが重視されているのは、施設の構造上、カメラへの映り込みを避けることができないこと、カメラが設置されていることを確認できても、防犯目的なのか、行動分析目的なのか施設利用者からすれば当該カメラから明らかでないことなど、顔画像等を取得・利活用されることにつき、合意せざるを得ない状況にあるためと思われます。

また、どの程度、事前告知等で説明をしていくかは、目的や施設の性質など総合判断が必要になります。撮影場所を明らかにすることは、画像を取得されたくない方にとっては有用です。一方で、防犯を目的とする場合に撮影場所を明らかにすることは死角を明らかにするのと同一視でき、本来のカメラ設置の目的を失わせかねません。

ここまで、施設の利用者の撮影を念頭に検討してきました。若干、防犯カメラによる公道の撮影だけ触れておきます。例えば、防犯を目的として店舗に設置されたカメラが公道を撮影の範囲として含む場合を想定します。当該店舗の目の前の行動を往来する人は、おおよそ、当該店舗において防犯カメラが設置されていることを認識することは難しいものといえます。また、公道を行き来する人は、ある程度、人から見られることは許容しているとしても、カメラ等で記録をされることまでは許容していないものと思われます。

この場合、公道まで撮影することは防犯目的を達成するための手段として範囲を超えた(行き過ぎ)とみるか、防犯目的である程度、撮影されることは致し方がないとみるか議論の余地があります。現状、店舗運営者がプライバシーの侵害を念頭に撮影範囲に公道が含まれるか否かを検討の上、防犯カメラを設置していると言い切れないと思われます。今後、事業者においても議論が進展することに期待したいところです。

カメラの設置に際しては、様々な要素を総合的に考慮することが求められるため、どこにカメラを設置し、撮影する範囲をどのように設定するか、想定される被写体に対してどのように説明を尽くすか等は、専門家と相談の上、検討していくことが望まれます。

5.最後に

カメラによる顔認証・顔識別は事業活動において、様々な場面で利活用されています。今後、利活用場面は広がっていくと同時にカメラ自体の技術向上や取得したデータの分析技術が向上することが予測されます。したがって、事業者がカメラを利用することで、新たなリスクが生じる可能性があります。そのため、事業者がカメラ画像を利活用するに際しては(既に利活用している場合を含む。)、社会的要請に応じているか、総合的に判断していくことが望まれます。繰り返しになりますが、その際に、最も重視されるべきは、事前に知らされず、不意にプライバシーを侵害される被写体の人権であることは言うまでもないでしょう。

[1] 既に実施されているという報道内容でしたので、事後検証としました。私見としては、権利侵害の可能性が観念される場合、特にプライバシーのように漏洩してしまえば、金銭賠償によっても回復が困難な事態に陥る可能性がある場合には事前検証すべきです。

[2] 個人情報保護法は、プライバシーのすべてを保護するものではなく、また、必ずしもプライバシーとはいえない個人情報もその保護範囲に含まれています(宇賀克也『開設個人情報の保護に関する法律』(第一法規、2003年))。したがって、個人情報保護法を遵守したからといって、プライバシーの侵害がないとは言い切れません。そのため、個人情報保護法の抵触の可能性、プライバシーの侵害は別々で考える必要があります。

※本稿は、9月21日の12時までの情報をもとに作成しております。その後、一部報道において、JR東日本は社会的合意をまだ得られていないため、当面の間、顔認識技術を用いて刑務所からの出所者、仮出所者の一部を駅構内で検知することを取りやめると報じられています。

最近の個人情報漏えい事故(2021年7月、8月)

下記の表は、今年7月と8月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

No 原因 漏洩件数・原因
1 情報サイト 不正アクセス 氏名や住所、メールアドレス、性別にくわえて、2015年2月8日以前に登録した場合は、電話番号、生年月日、職業、雑誌や服飾の好みなどのほか、2015年2月8日以前に運営していた掲示板のニックネームやパスワードなどが流出した可能性がある
2 大学 不正アクセス 客員研究員1人のメールアカウントが不正アクセスを受けた。2020年11月9日から2021年2月24日にかけて、同アカントより出会い系サイトへ誘導する英文のスパムメール1万9830件が不特定多数の海外メールアドレスに対して送信されていた。

ただし、1万9292件については未達を知らせるメールがサーバより戻されており、送信に失敗したものと見られる。

3 海運会社 不正アクセス 海外の同社子会社が不正アクセスを受け、同子会社が保有する情報が外部へ流出した可能性がある。
4 サービス 不正アクセス 流出したデータには、氏名、住所、電話番号など個人情報が含まれる。
5 紛失・誤送信 確定申告書1件の紛失。氏名や住所、電話番号、生年月日、マイナンバー、収入金額、所得金額、所得控除額などが記載されている。

介護保険の高額介護合算療養費の支給決定通知書を、申請者以外に送付した。

6 製造業 サイバー攻撃 パソコンとサーバあわせて25台がランサムウェアに感染。

同社にあるサーバ18台のうち14台や、185台あるパソコンのうち11台がランサムウェア「Avaddon」に感染した。

7 情報通信 不正アクセス メールアカウントが外部より不正アクセスを受け、メールボックス内に保存されていた取引先に関する情報が外部に流出した可能性がある。メールボックス内には、取引先とのメールが保存されており、1万7625人分の氏名や勤務先の住所、電話番号、メールアドレス、会社名、部署名、メールの記載内容などが含まれる。
8 病院 紛失 入院患者の個人情報が保存されたUSBメモリが院内で所在不明。看護師スタッフルームに入室するにはICカードが必要で、関係者以外は立ち入りできない。同院は盗難の可能性もある。

入院患者56人分の個人情報を含み、同USBは、看護師の私物で、患者のID、氏名、年齢、性別、手術日などの情報が保存されていた。

9 教育 誤送信 送信先のメールアドレス225件を誤って「CC」に入力したため、受信者間にメールアドレスが流出。
10 電気工事業 不正アクセス 配送業務を委託している業者の物流システムが不正アクセスを受けた。個人情報最大800万件が外部に流出した可能性がある。
11 誤送信 1人の氏名が記載された案内メールを、無関係である約4万4000件の宛先に送信。なお、送信対象に対して個別にメールを送信するシステムであるため、メールアアドレスの流出などは発生していない。
12 法務省 不正アクセス 不正アクセスにより、同システムの構成機器に関する情報が流出した可能性があることが判明した。なお、システム内部に保存されていた登録者に関する情報の流出については否定している。
13 通販 不正アクセス オンラインショップを利用した顧客のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

期間中に同サイト上で入力されたクレジットカードの名義、番号、有効期限、セキュリティコードなど最大2365件が対象で、注文が完了していない場合も含まれる。あわせて同期間にログインのため入力されたメールアドレスおよびパスワード最大1740件についても流出したおそれがあることが判明している。

14 紛失 USBメモリの紛失。

2004年度から2006年度まで勤務した職員が、同大関係者の個人情報を保存した私物のUSBメモリを2010年5月ごろに紛失したもの。

15 大学 不正アクセス メールアカウントが不正アクセスを受け、迷惑メール送信の踏み台に悪用された。

約6000件の迷惑メールが送信された。

16 小売業 原因不明 ネットスーパーにおいて利用者とは関係ない別の会員情報が表示された。顧客2人からログイン後の画面に無関係の顧客に関する個人情報が表示されたと連絡があった。最大1084人の顧客に影響があった可能性があることが判明。
17 大学 不正アクセス 関係ない外部の無関係なサイトに遷移するよう改ざんされた。誘導先の詳細はわかっていないが、英語と日本語が混在する一見ショッピングサイトだったという。
18 誤送信 メールの送信作業を行った職員が、機能を十分理解しておらず、自動的にBCCにより設定されるものと勘違いしており、メールアドレスを宛先に記載して送信。受信者間にメールアドレスが流出した。
19 製造業 不正アクセス 複数従業員のメールアカウントが不正アクセスを受けたことを明らかにした。関連性は不明だが、同社従業員になりすましたフィッシングメールも出回っているという。メールボックス内の内容を取得された可能性があるという。対象となる取引先や個人情報の件数などは具体的に明らかにしていない。
20 通信業 不正アクセス 不正アクセスがあり、システムに登録されたメールアドレス約4万件がダウンロードされた。同システムよりクレジットカード会社を装う迷惑メールが送信されたという。
21 物流 不正アクセス 米国にある子会社が不正アクセスを受け、窃取された情報がダークウェブに掲載された。
22 医療機関 紛失 新型コロナウイルスワクチンの予診票を地下鉄車内に置き忘れ、一時紛失した。同医療機関で新型コロナウイルスのワクチン接種を行った76人に関する108件の予診票で、被接種者の氏名、住所、電話番号、生年月日、性別、予診に関する質問事項などが記載されている。
23 通信 不正アクセス 13社14アカウントが発行する予定だった未発表のプレスリリース230件に関連する画像ファイルを含んだ圧縮ファイル230件や、13社のうち4社のプレスリリース28件に関連するPDFファイル28件が、国内の無関係なIPアドレス1件よりアクセスされ、取得されていたことが判明した。対象ファイルは、下書きや未発表の状態でもアクセス制限がかかっておらず、URLを直接指定すればアクセスできる状態で、URLに一定の法則があったことから第三者によって推測されたものと見られる。
24 通販 システムの不具合 メールアドレス1件が304人に流出。
25 大学 誤送信 学生17人に対して全学生の個人情報など含むファイルを誤って送信した。同大の全学生9166人分の氏名、住所、電話番号、在籍学部と学科、メールアドレスが記載されていた。また学生236人に関しては、奨学金に関する情報や収入額および支出額、生活費の収支や内訳などの情報が含まれる。
26 出版 サイバー攻撃 スマートフォンやタブレット向けにセミナー動画などを配信していたが、同社によると、同アプリで利用するウェブサーバに対して不正アクセスがあり、サーバ内部に保存されていた利用登録者のメールアドレス7138件が外部に流出したおそれがある。
27 通販 不正アクセス 2019年12月16日から2020年12月7日にかけて、顧客2441人が決済に利用したクレジットカード情報が外部に流出した可能性があることが判明したもの。

システムにおける脆弱性が突かれて決済アプリケーションを改ざんされ、クレジットカードの名義、番号、有効期限、セキュリティコードなどの情報を窃取された可能性があるという。

28 通販 不正アクセス 2020年2月7日から2021年4月22日にかけて顧客が決済に利用したクレジットカード情報が外部へ流出し、不正に利用された可能性があることが判明したもの。対象となるクレジットカードは2万5484件で、名義、番号、有効期限、セキュリティコードなどを窃取されたおそれがある。
29 福祉施設 紛失 使用を中止し、施設内の施錠した倉庫で保管していた廃棄予定のノートパソコン13台のうち、1台の所在がわからなくなった。
30 通販 不正アクセス ウェブサイトの脆弱性を突かれて決済アプリケーションが改ざんされたもので、2019年12月18日から2021年1月6日までに同サイトでクレジットカード決済を利用した顧客のクレジットカード情報が外部に流出した可能性がある。顧客1074人が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなどが被害に遭った可能性がある。
31 通販 不正アクセス 不正アクセスにより同サイトの決済プログラムが改ざんされ、2020年10月24日から2021年3月2日までの間に、同サイトで顧客が決済のために入力したクレジットカード情報が外部に流出したもの。

1301人が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードが被害に遭った可能性がある。6月末の時点でこのうち58人に関しては、同期間中に少なくとも260件の不正利用による被害が発生した可能性があり、被害額はあわせて767万4605円にのぼるという。

32 誤送信 新型コロナウイルスの新規感染者の個人情報が記載された資料を、複数報道機関に対して誤ってファックスで送信するミス。誤って感染者165人の個人情報含む別の資料を送信した。問題の資料には、氏名や住民登録区、発症日、疑われる感染経路や集団名などの疫学情報が含まれる。
33 製造業 紛失 患者の個人情報含む書類を、子会社の従業員が紛失。所在がわからなくなっているのは、患者リストと保守点検作業報告書で、患者54人分の氏名、住所、電話番号、受診している医療機関、使用機器のカテゴリーなどが記載されていた。
34 不動産 誤送信 誤送信。送信先であるメールアドレス1048件が、受信者間に流出した。
35 製造業 誤送信 275件において受信者と異なる顧客の氏名が記載されたという。

送信リストの編集時に、顧客の氏名とメールアドレスにズレが生じたまま送信先を設定してしまった

36 製造業 誤送信 298人に対してメールを送信した際、宛先にメールアドレスを設定して送信したため、受信者間にメールアドレスが流出した。
37 大学 誤送信 公開講座の受講申込者に対し、アンケートを依頼するメールを送信したが、送信先のメールアドレスを誤って「CC」に設定したため、48人分のメールアドレスが受信者間で閲覧できる状態になった。
38 盗難 車両荒らしに遭い、個人情報含む工事関係書類が車内より盗まれた。

盗難被害に遭った書類は、工事3カ所分の関連書類で、顧客の水栓番号55件、給水管および水道メーターの位置、水道メーターの口径44件のほか、配水管施工士の氏名、住所、生年月日、顔写真など9件、下請負人の氏名、住所、生年月日、顔写真など1件が含まれる。

39 通販 不正アクセス 通信販売サイトが不正アクセスを受け、クレジットカード情報が流出し、不正利用された。

2020年2月5日から2021年2月8日にかけて、クレジットカードの名義、番号、有効期限、セキュリティコードなどを第三者に窃取された可能性がある。顧客618人分のクレジットカード情報が不正に利用された可能性があるとしている。

40 公益社団法人 誤送信 160人のメールアドレスを宛先として設定し、送信してしまったため、受信者間でメールアドレスが流出した。
41 情報通信 不正アクセス 不正アクセスを受け、顧客のメールアドレスやパスワードが流出。

個人顧客のメールアドレスおよびログインパスワード1652件のほか、企業のメールアドレス166件が外部に流出した。

42 製造 不具合・誤送信 オンラインショップの会員2万1588人に対して、移行手続きに関するメールを送信したが、メール内に本人とは異なる他会員の氏名とIDが記載され、本文URLの誘導先からログインすると、前日と同様に他会員の個人情報が画面上で閲覧できる状態が1423件で発生した。

また会員3700人を5グループにわけ、メールの削除を依頼するメールを送信したところ、メールアドレスを誤って「CC」に設定。同一グループ内にメールアドレスが流出した。

43 通販 不正アクセス 不正アクセスを受け、クレジットカード情報が流出し、不正に利用された可能性がある。3357人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどが流出した可能性がある。
44 通販 不正アクセス 2019年6月28日から2020年10月9日にかけてショッピングサイトを利用した顧客283人分のクレジットカード情報が流出し、不正に利用された可能性があることが判明したもの。

脆弱性を突く不正アクセスにより、決済アプリケーションが改ざんされ、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された。

45 消費者庁 誤送信 オンラインイベントへの参加予定者36人に対して案内メールを送信した際、送信先のメールアドレスを宛先に入力したため、メールアドレスが流出したもの。
46 大学 誤送信 「オープンキャンパス2021」の参加申込者237人に送信したアンケートの依頼メールにおいて、誤送信が発生した。
47 情報通信 設定不備 サービスの利用が開始された2020年9月12日から同年10月28日にかけて、同サービスで配信された全47イベントの動画ファイル1647件が外部に流出した可能性があることが判明したもの。動画には、配信者最大135人、参加ユーザー最大4415人に関する映像や音声が含まれる。

APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN(コンテンツデリバリーネットワーク)」のキャッシュサーバから動画ファイルを取得できる状態だった。イベントを主催した事業者や通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

48 通販 不正アクセス 2019年11月29日から2020年11月10日にかけて、クレジットカード情報を第三者に窃取され、不正に利用された可能性があることが判明したもの。同サイトでクレジットカードによる決済を行った顧客584人が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。
49 誤送信 セミナーの参加者や情報提供希望者に対して送信したイベントの案内メールにおいてメールアドレスが流出した。参加者197人に対し、7月14日11時前にイベントを案内するメールを送信したところ、担当者が送信先メールアドレスを誤って宛先に設定したため、受信者間にメールアドレスが流出した。

また同メール送信の2分後、同セミナーの情報提供希望者30人に対し送信したメールにおいても同様のミスがあった。

50 情報通信 不正アクセス ウェブサイトの更新に用いるアプリケーションに対して外部より不正にログインされ、フィッシングサイトが設置された。
51 組合 誤送信 新着物件に関する情報をメールで送信した際、送信先のメールアドレスを誤って宛先に設定したもの。メールアドレス77件が、受信者間に流出した。
52 医療関係 誤操作 メール送信した「アンケートのお願い」に回答した21人の個人情報が、アンケートのURLにアクセスすると閲覧できる状態となっていたもの。回答者の氏名、電話番号、メールアドレス、アンケート内容が含まれる。
53 メーカー 誤送信 カスタマーサポートデスクから顧客150人へ送信したメールにおいて、誤送信が発生したもの。送信先のメールアドレスが受信者間に表示される状態で送信した。
54 不動産 従業員による持ち出し 管理業務を受託するマンションにおいて、同マンションの管理員を務めていた元従業員が、過去に実施した修繕工事の関係資料のデータを知人の事業者へ提供したもの。

提供した資料には、マンション居住者に対して実施したアンケートの結果が含まれており、居住者の氏名、部屋番号、連絡先など個人情報が含まれていた。

55 大学 口頭での漏洩 大学生に対してセクシャルハラスメントを行うとともに、個人情報を漏洩していたもの。

同学生に対して、2020年度の他学生10人分に関する答案用紙一覧を2回、1教科の採点および評価を1回漏洩していたほか、22人分の中間成績についても漏洩していたという。

56 大学 不具合 データベースをもとに複数組織へメールを送信するシステムに不具合があり、受信者とは無関係のメールアドレスが「CC」に設定され、送信された。システムの不具合により、658人に対するメールの「CC」欄に、1件から最大で16件の関係ない他企業のメールアドレスが設定された。
57 製造 サイバー攻撃 国内外の同社拠点がサイバー攻撃を受けた問題で、国内外拠点のサーバ36台が攻撃者によってアクセスされた可能性がある。海外拠点より外部サーバに対してデータ送信が行われており、情報が流出した可能性がある。通信ログについて調査を行ったところ、米国、タイ、インドネシアの拠点より外部サーバに対してデータ送信を行っていたことを確認。またマルウェアの感染やサーバへのアクセスなどの痕跡も見つかっており、情報が流出した可能性がある。

マルウェアに関しては、国内の主要拠点や不正アクセスを確認した海外拠点のパソコン、サーバなどあわせて約2万9000台を対象に感染状況を調査。国内拠点からマルウェアは見つからなかったが、海外拠点では感染が明らかとなり、駆除が行われた。

58 製薬会社 不明 ユーザー情報は約5万件。氏名またはニックネーム、居住する都道府県または住所、メールアドレス、パスワードのほか、任意で登録した電話番号、写真、ソーシャルログインを利用した場合は、AppleやLINEの連携用ID、LINEの登録名なども含まれる。獣医師に関しては、氏名、動物病院の名称、住所、電話番号、メールアドレス、任意で登録した写真など約1万件が流出した。なお、ログは残っておらず、流出原因は不明。運用当時に不正アクセスを受けた可能性が高い。
59 保育園 誤送信 ウェブサイトに掲載された資料を他職員にメールで送信した際、誤って同園の保護者に関するメールアドレス24件を宛先に入力した。
60 サイバー攻撃 不動産 パソコンがマルウェアに感染したことを明らかにした。外部との通信が行われていた形跡があり、個人情報流出の可能性もある。管理するマンションおよび賃貸住宅の居住者の氏名と部屋番号、連帯保証人の氏名など最大8000件の個人情報が保存されていた。
61 高校 誤送信 見学会への参加を希望していた中学生と保護者178人に、中止を通知するメールを送信したところ、誤送信が発生したもの。
62 誤送信 研修申込者30人に送信した開催中止を通知するメールにおいて、誤送信が発生した
63 商業施設 不正アクセス ウェブサイトが不正アクセスを受けて改ざんされ、アクセスするとスマートフォンアプリの導入を迫る外部サイトに誘導されるおそれがあった。
64 製造業 従業員の持ち出し 取引先情報や従業員情報を含むプロジェクト管理データを、再委託先である中国企業の従業員が無許可でパソコンにダウンロードし、外部クラウド上へアップロードしていた。対象となるデータには、日本や中国、フィリピン、マレーシア、シンガポール、米国、EUなどの取引先関係者の氏名、会社名、住所、電話番号、メールアドレス、銀行口座など3万555件のほか、同社従業員の氏名、メールアドレス、所属する会社名、銀行口座など関連情報4万1905件が含まれる。
65 誤送信 がん診療拠点病院の担当者に対し、診療体制の現況について照会するメール100件を送信したところ、誤送信するミスがあった。メールアドレスの63件は個人が識別できるメールアドレスだった
66 製薬会社 サイバー攻撃 台湾の子会社がサイバー攻撃を受けた問題で、従業員に関する情報が外部に流出した。サーバやパソコンにおいて、ランサムウェアと見られるマルウェアの痕跡を確認した。
67 紛失 水道利用者の個人情報含む図面が所在不明となった。

図面には、水道利用者761人分の氏名と水道番号、水道メーター番号が記載されている。

68 情報通信 不正アクセス プロジェクト情報共有ツールが不正アクセスを受け、129組織において情報が流出した。
69 大学 誤送信 開室状況を案内するメールにおいて誤送信が発生し、メールアドレスが流出した。

送信先のメールアドレス47件が表示された状態で送信された。

70 誤送付 高校等就学支援金の一部認定通知書が、本来の送付先とは異なる生徒に対して誤送付。約100件の通知書において誤送付が発生している可能性がある。
71 不適切投稿 Twitterへ投稿した写真に個人情報が写り込んでいた。写真に映りこんでいたのは、イベント応募者の氏名と住所が記載されたハガキ1枚。
72 福祉 不正アクセス 委託先に不正アクセスがされた。対象件数を含めて影響の範囲を調べていたが、流出したデータに同区事業に関する個人情報14件が含まれていた。

具体的には、氏名のみが9人分、氏名と住所が4人分、氏名と生活保護情報1人分が含まれる。

73 誤送付 ボランティア1人に物品を配送した際、ボランティア187人分の氏名や住所、服のサイズなどが記載された名簿を誤って一緒に送付したもの。委託業者が8月6日に配送準備作業を行った際に、名簿が混入した。
74 公法人 誤送信 後期高齢医療被保険者8903人分の氏名および健診結果などの医療、健診、介護情報など238項目を、佐呂間町と豊頃町へ専用回線の通信システムで誤って送信した
75 通販 不正アクセス 偽のクレジットカード入力フォームが設置され顧客1779人が決済に利用したクレジットカード情報が窃取された可能性がある。

クレジットカードの名義、番号、有効期限、セキュリティコードが対象だが、顧客の個人情報が保存されたデータベースも外部よりアクセスが可能な状態にあり、アクセスされた可能性もある。

76 誤送信 個人情報を含むメールが外部メールアドレスに自動転送されていた。業務用メールアドレス宛に送信されたメールが、意図しないメールアドレスへ自動的に転送される設定となっていた。
77 建設 誤送信 メールマガジンにおいて誤送信が発生し、登録者のメールアドレスが流出した。
78 通販 不正アクセス サイトを運営するギャップインターナショナルによれば、脆弱性を突かれてシステムを改ざんされ、決済のために入力されたクレジットカード情報4538件を窃取された可能性がある。クレジットカードの名義、番号、有効期限、セキュリティコードなどが対象となる。
79 誤送信 子宮頸がん予防ワクチンの定期接種対象者1万8967人に案内ハガキを送付した際、誤った宛名で送付するミスがあった。
80 国交省 誤送信 公にしない条件で提供された情報を含んだ資料を誤って業務メールに添付して送信した。
81 旅行会社 サイバー攻撃 海外の複数グループ会社が利用する米国内のサーバがサイバー攻撃に遭い、一部顧客情報が流出した可能性がある
82 通販 誤送信 オンラインショップから注文した顧客へ送信したメールで誤送信が発生したもの。従業員が送信先を誤って宛先に設定したため、メールアドレス100件が受信者間に表示された状態となった。
83 暗号資産交換事業 不正アクセス シンガポールの関係会社が不正アクセスを受け、約108億円相当の暗号資産が被害に遭った。国内法人に関しては、「Bitcoin」「Ripple」「Ethereum」など約7億5400万円相当の暗号資産が被害に遭った。
84 製造 不正アクセス 従業員のメールアカウントが乗っ取られ、フィッシングメールが送信された。
85 病院 紛失 患者情報含む個人所有のUSBメモリを一時紛失したもの。2015年から2016年に扱った患者1114人分の氏名や傷病名などが保存されていた。
86 通販 不正アクセス 不正アクセスを受け、同年3月以前に登録された2万4228件の会員情報が外部に流出した可能性がある。

氏名、住所、電話番号、生年月日、性別、メールアドレス、ID、パスワードなどが対象で、クレジットカードは含まれていない。

87 誤送信 インターンシップ受講予定者に送信した案内メールにおいて誤送信が発生し、メールアドレスが流出した。
88 通販 不正アクセス サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正利用された可能性がある。顧客1513人により利用されたクレジットカード情報1667件が流出し、一部が不正利用された可能性がある。
89 誤送信 教育支援ツールを使って生徒に一斉配信を行った際、誤って個人情報含むファイルを添付するミスが発生した。
90 情報通信 誤送信 契約先企業に請求明細をメールで送信する際、請求明細のチェックに使用していた顧客情報5259件を誤って送信するミスがあったという。氏名、住所、電話番号、請求金額などが含まれる。
91 病院 持ち出し 看護師が同院の入院患者14人分の氏名や病名、病棟ケア内容などが記載された業務用の書類を無断で自宅に持ち帰り、個人売買の商品を発送する際の緩衝材として利用していた。
92 誤送信 送信先を誤って宛先に入力して送信したため、受講予定者のメールアドレス186件が受信者間で閲覧できる状態となった。
93 厚労省 厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だった。

氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

94 誤交付 宿泊療養施設の管理運営を委託している事業者が、施設の入所予定者13人の個人情報が記載されたリストを、施設の退所者1人に誤って交付したもの。リストには、氏名や年齢、性別、携帯電話番号、同意書の有無、アレルギー情報が含まれていた。
95 誤送信 新型コロナウイルス感染症の患者に関する個人情報含む資料を、保健所より誤って関係ない施設に送信するミスがあった。誤送信した資料には、患者10人に関する氏名、住所、年齢、性別などの個人情報が含まれていた。
96 大学 不正アクセス メールアカウント1件が不正アクセスを受け、迷惑メールが学内外に送信された。ログを確認したところ送信されたメール3万9088件のうち、1万9743件が送信に成功していた。メールは「当選通知」を装うものやレジャーに関する内容を記載したものと見られ、URLなども含まれるという。

不正アクセスを契機に顧客情報やクレジットカード情報が漏洩したケースは依然として多く見受けられます。また、メールアカウントが、不正アクセスを受けたことを契機に乗っ取られて、同メールアカウントになりすまし、フィッシングメールが出回ったというケースも散見されました。この点、令和3年警察白書の特集2サイバー空間の安全確保で、「サイバー攻撃はその手口を深刻化・巧妙化させつつ多数発生しており、サイバー空間における脅威は極めて深刻な情勢となっている。」としています。したがって、守る側の企業もまたより高度な対応が必要となります。さて、上記84のインシデントを確認しておきます。16時45分ごろ、海外の現地従業員が使用するウェブメールのアカウント1件が不正アクセスを受けたため、メールアカウントが乗っ取られました。メールアカウントが乗っ取られた結果、17時過ぎに社外194件を含む、国内外の620件の宛先にBCCで、フィッシングメールが1件送信されています。同メール本文内のURLにアクセスを求める内容が記載されており、誘導先でアカウント情報をだまし取るフィッシングサイトとされています。また、この不正アクセスに伴い、アカウントを停止するまでの約45分間で、送受信したメール最大1053件、最大3130件のメールアドレス(社外987件)が攻撃者によりアクセス可能な状態でした。このインシデントでは、乗っ取られたアカウントが停止されるまで45分であり、早急な対応がなされています。報道によると、「社内で標的型攻撃メール訓練を実施しており、攻撃と見られるメールを受信した際に情報システム部門へ連絡を取るよう体制を構築していた」(「従業員メルアカが乗っ取り被害、訓練効果で早期に把握 – EIZO」より)とされています。また、報道によると「17時過ぎのフィッシングメールが送信された直後より、不審なメールを受信した旨の報告が、従業員より続々と情報システム担当者に寄せられた」とされています。もちろん、高度な技術を用いたり、あるいはシステムを構築して対応することも必要ですが、費用・時間の関係で難しい企業もあるのが現状かと思います。今回、取りあげたインシデントのように、研修等を通じ、フィッシングメールはどのようなものかといった基本的な教育により、十分に被害の拡大を防ぐことが可能です。また、2021年1月号のハーバード・ビジネス・レビュー「フィッシング攻撃から組織を守る方法」より、基本的なセキュリティ研修を行った後、基準に則った追加研修を行ったグループと何も追加研修を行わなかったグループに、模擬的なフィッシング攻撃を行った場合の比較に関する研究を紹介しておきます。これによると、追加研修を行ったグループは13%、何も追加研修を行わなかったグループは23%の人がフィッシング攻撃に引っかかっています。[3]したがって、1回研修を行うだけではなく、企業としては、継続して研修を行っていく必要があるものと思われます。このように、日常的に研修を行い、訓練を行って各従業員の情報セキュリティに関する意識を高めておくことは非常に有効となります。

[3] ちなみに、メールがアクションを求めてきたら一旦立ち止まり、その内容、タイミング、目的、適切性を検証し疑わしい点があれば相談するということを教え込まれたグループは、フィッシング攻撃に引っかかった割合は7%です。

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

セミナー・研修系サービスの紹介
SPリスク・ラーニング

新型コロナウイルスの影響により、多くの企業で在宅勤務を前提にしたWeb研修や会議が行われている状況を受け、「コンプライアンス」「ハラスメント」「クレーム対応」「情報セキュリティ」「防災・BCP」など、新入社員から入社2~3年目の若手社員に必須の危機管理に関する知識を詰め込んだ9種類の研修用動画を提供しています。

危機管理会社の新入社員・若手社員研修

社会人に求められる常識や、業務の習得に必要な視点・モチベーション、仕事場におけるコミュニケーションスキル等を「リスクマネジメント」の観点から学び、企業と新入社員本人の双方からのアプローチで、早期離職や問題社員化等の「人財ロス」低減を目指します。数々のリスク対応で培った、危機管理会社ならではのオリジナルメニューで、他社ではできない領域の研修が可能です。理論と実践が結びついた早期の危機管理教育が、「人財」を育てます。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
Back to Top