goo blog サービス終了のお知らせ 

あれこれ備忘録

色々と関心のある記事をメモ。
元記事がすぐに削除されるケースも多いですからね。

「自分だけは個人情報を漏らさない」と思っていないか

2005年09月07日 10時53分41秒 | 個人情報
Link 個人情報保護法本格施行から約5カ月。多くの企業が昨年から、規約の策定や社員教育の強化、情報システムの見直しなどの保護法対策に取り組んできた。企業の個人情報管理はより徹底されているはずである。しかし、4月1日以降も多くの情報漏洩事件が毎日のように報道されている。

 そこに見え隠れするのは、「まさか自分が個人情報を漏らすことはないだろう」という油断だ。読者の中にも、そう思われている方は少なくないだろう。

 筆者は8月上旬、情報漏洩に関する特集記事を執筆するため、4月1日以降に起きた情報漏洩・紛失事件を洗い出した。するとその数は、報道されているだけでも250件を超えた。この件数には、金融庁の指示による一斉点検で判明した、銀行や信用金庫など287金融機関の顧客情報紛失は含めていない。判明したのは6月末以降だが、実際に紛失したのは数年前のことだと考えられるからだ。

 個人情報保護法が本格施行されたからといって、4月1日以降は情報漏洩事件が激減する、とは考えていなかった。しかし、これほどの数の事件が報告されるとは予想していなかった。保護法によって、個人情報が漏洩・紛失した場合は監督省庁への届け出が求められているので4月1日以前よりも事件が公になりやすくなった、という背景はある。それでも、単純計算で1日に約2件の漏洩・紛失事件が起きているというのは、驚きである。

 未対策の企業だけが事件を起こしているわけではない。「個人情報管理のための業務ルールの順守や教育を徹底していたつもりだった」という企業は少なくない。実際、インテグレータやコンサルティング企業といった個人情報保護法に精通し、対策についてアドバイスする立場の企業も、相次いで顧客情報を漏洩・紛失する事件を起こしている。つまり、個人情報保護の観点からはよくないとはわかっていても、つい個人情報を外部に持ち出してしまったり、管理が甘くなったりするケースが少なくないのである。

 十分に対策しているように思えても、事件は起きる。顧客情報を記録した携帯電話をひったくりに遭って盗まれたケース、社内に賊が侵入してパソコンごと顧客情報を盗まれたケース、顧客情報を記載した伝票が突風で吹き飛んでしまったケースなどがそうだ。パスワード認証や生体認証など複数の認証を組み合わせて個人情報の管理を徹底していた企業でも、正規ユーザーによって顧客情報が盗まれる事件が発生している。

 個人情報を暗号化するなどして悪用を防ぐ手だてを講じていたとしても、批判を浴びる点ではあまり変わらない。データを復号される可能性がまったくないとは言い切れないからだ。顧客情報を盗まれたある企業の担当者は、「悪用される恐れはほとんどないのに、漏洩件数が多いために批判される」と不満の声を上げる。

 対策の難しさに、多くの企業が苦しんでいる。どれだけ個人情報保護に努め、ルール作りやシステム面の対策を講じても、情報が漏れたり紛失したりする危険性がなくなることはない。

 しかしまずは、「自分が紛失することはない」、「まさか盗まれはしないだろう」という甘い意識を持たないようにする施策が必要ではないだろうか。このような油断を払拭しない限り、どんな対策も機能しない。

IT Pro 2005年9月5日


個人情報を聞く不審電話相次ぐ 保健所などかたり

2005年09月07日 10時46分10秒 | 個人情報
 東葛地域で、健康福祉センター(保健所)や県健康増進課の名をかたって、法人などから個人情報を聞き出そうとする不審な電話が相次ぎ、県は注意を呼びかけている。

 県健康福祉指導課によると、電話は「健康診断に補助金がつくことになったので、従業員の名簿を提出してほしい」「健康診断が半額になるので、既婚者の数や独身男性の氏名を教えてほしい」などと持ち掛け、個人情報を聞き出そうとする手口という。

 不審に思った法人などから問い合わせがあり、七月末から十四件の報告があった。同課は「健康福祉センター(保健所)からこのような照会や依頼をすることは一切ないので、注意してほしい」と話している。

東京新聞 2005年9月4日

Link

社会保険事務所が年金手帳や個人情報を大量紛失 京都

2005年09月02日 19時34分31秒 | 個人情報
 京都市北区の上京社会保険事務所が、管轄する共済組合から提出を受けた国民年金手帳や、事業所の従業員の氏名や月給などが記載された書類を大量に紛失していたことが1日、わかった。判明しているだけで767人分で、京都社会保険事務局は「誤って廃棄してしまった可能性が高い」としている。

 同事務局によると、紛失したのは、4共済組合が提出した国民年金手帳の異動届104人分と添付されていた手帳21冊、84事業所が提出した663人分の「被保険者報酬月額算定基礎届」。同届は保険料などを算定するための書類で、各事業所が従業員の氏名や生年月日、4~6月分の給与額などを記載している。

 異動届と手帳の紛失は、5月中旬に「手帳が戻ってこない」との問い合わせがあり発覚した。

 同事務局の西井徹・総務課主幹は「ほかにも紛失がないか調査を進め、再発防止につとめたい」と話している。

朝日新聞 2005年9月1日

Link

個人情報漏えい事件を斬る(8):「価格.comショック」不正アクセスの詳細

2005年09月02日 19時13分56秒 | 個人情報
 前回から引き続き「価格.com」事件を取り上げる。今回は、技術的対策の観点から検証してみたい。

 事件発覚後も、カカクコムは不正アクセスの詳細について情報を公開していない。しかしウイルス対策ソフトウエアベンダーの対応などをみると、不正アクセスの背景が浮かび上がってきた。


ウイルス対策ソフトとセキュリティパッチの隙間が狙われた

 「価格.com」は、5月16日から自社サイトで、ウイルス対策ソフトウエア「NOD32」(キヤノンシステムズソリューション)を配布し始めた。ここで「trojandownloader.small.AAO」、「PSW.Delf.FZ」というウイルス(普通のプログラムを装って不正侵入し被害を与えるトロイの木馬型に属する)の関与が判明した。

 前者は2004年11月に定義データ登録済の既知ウイルスであり、後者は発覚当時未知のウイルスだったが、「NOD32」以外のウイルス対策ソフトウエアでは両方とも検知できなかったのである。

 「PSW.Delf.FZ」は、修正プログラム未適用のMicrosoft Internet Explorerにある脆弱性を悪用して、Lineage(リネージュ)というオンラインゲームのパスワードを収集するほか、キーボード・マウスの入力情報、アプリケーションに割り当てられたメモリに関する情報を記録して、外部の Web サイトに送信する恐れがある。

 「Outlook Express用の累積的な修正プログラム(MS04-013)(837009)」を適用していたユーザーは、今回の被害を回避できた。このパッチは、「価格.com」事件発覚の1年以上前(2004年4月14日)に公開されたものである。パソコンや周辺機器を購入する際に会社から「価格.com」にアクセスするユーザーも多いが、日頃からこまめにセキュリティパッチを適用していれば、今回大慌てしなくて済んだのだ。


不正アクセスを助長する攻撃用ツールの拡大

 警視庁は7月6日、今年3月に旅行会社クラブツーリズムで発生したインターネット会員情報流出事件に関連して、東京都内在住の中国人留学生を容疑者として逮捕した。この容疑者には、クラブツーリズムだけでなく、「価格.com」など14社のサイトのWebサーバーに「SQLインジェクション」と呼ばれる手口を利用して不正アクセスした疑いがかかっている。

 ECサイトなどでは、Webアプリケーションとデータベースを連携させたシステムが使われているが、両者をつなぐプログラムの脆弱性を突いたのがSQLインジェクションである。この手法を悪用すれば、Webアプリケーションがアクセスするデータベースに記録されたデータを抜き出したり、書き込んだりすることが可能になる。

 例えば、ホームページでユーザー情報を登録・変更する場合、裏ではデータベースが連携している。管理者がSQLインジェクションを見逃していれば、データベースに収録された個人データを抜き出されても気付かない、という事態が起こり得るのだ。

「SQLインジェクション」で情報を盗んだ?

 2002年2月、米国アパレル大手Guess社で、顧客のクレジットカード番号が閲覧可能となっていたことが発覚した時に話題となった手口だ。2004年秋に中国でSQLインジェクションを用いた攻撃用ツールが出回ってから、さらに被害が急増している。

 SQLインジェクションに関してカカクコムはコメントしていないが、同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している。具体的な対策については、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)サイトの「セキュア・プログラミング講座」 などが参考になる。

 ただし、次々と裏を突く攻撃手法が登場しており、「これで完璧」とはいかないのが現状だ。Webサイト運営者がこまめにアクセスログをチェックすることが、最善の対策となる。

 ちなみにカカクコムは、事件発覚直後の記者会見で「過失のない十二分なセキュリティが行われていた」と発言したという。「騒動を起こしておいてこんなことを言うのか」と違和感を抱く人も多いだろうが、実はこれはどの企業にとても大切なことだ。なぜなら同社は本来被害者であるはずが、情報管理に不備な点があると加害者になりかねない。従って、その点を明白にしておく必要があったのだ。

 次回は、企業経営への影響の観点から「価格.com」事件を検証してみたい。

IT Pro 2005年8月30日

Link

個人情報4万7千件を紛失/みずほ、ローン申込書など

2005年09月02日 18時58分09秒 | 個人情報
 みずほ銀行は30日、全国の拠点の9割に当たる計450の支店・出張所で、顧客の氏名や預金残高などの個人情報が書かれた記録約4万7000人分を紛失したと発表した。今年3月にも27万人分の紛失を公表しているが、その後の追加調査で新たに判明した。

 紛失した中には、勤務先や年収が書かれたカードローン申込書約9600人分も含まれていた。同行は「誤って廃棄した可能性が高く、外部への漏えいの懸念は極めて低い」としている。

 このほか紛失したのは、届け印が押された口座振り替え依頼書や、住所、生年月日が書かれた高齢者や身体障害者の非課税貯蓄申告書など。

 3月時点の調査は統廃合などで移転した店舗だけだったが、全店に調査を広げるなどした結果、新たな紛失の事実が明らかになった。

四国新聞 2005年8月30日

Link

ネット自殺予告、個人情報提供に指針 総務省や警察庁

2005年08月26日 19時35分04秒 | 個人情報
 インターネットを通じた集団自殺が相次いでいることを受け、ネット接続業者などが自殺予告者の個人情報を警察に提供できるよう、総務省や警察庁、業界団体などが25日、共同で指針をまとめた。警察と業者との連携を円滑にして自殺防止に役立てる狙いだ。

 電気通信事業法では、ネット接続業者は、通信の秘密を保護しなければならない。これに対し、指針は、自殺予告者についての情報提供は、人命救助が目的なら、法律に違反しても罪に問われない「緊急避難」にあたると明記。警察から、自殺をにおわせる投稿をした人を照会された場合は住所や名前などを開示できると規定した。

 ただし、照会には警察署長などの責任者名の書類が必要で、「自殺の予定日が近い」「書き込みが具体的」など、開示を求める理由も説明しなければならない。警察以外からの照会には「信頼性の判断が難しいので、警察に110番通報してもらう」とした。

朝日新聞 2005年8月25日

Link

戸籍など不正請求 福山でも10件

2005年08月26日 19時29分56秒 | 個人情報
 兵庫県や大阪府の行政書士三人が職務権限を悪用し戸籍謄本などを不正入手した事件で、この行政書士らが不正請求した恐れのある戸籍謄本など十件を、福山市が交付していたことが二十四日、分かった。市は個人情報保護審議会に諮り、該当する人への告知を決めた。

 広島法務局などが、六月三十日と七月四日付で不正請求した宝塚市の行政書士名と請求日と思われる年月日を福山市に連絡。市が調査したところ、問題の行政書士三人から、戸籍関係七件、住民票二件、付票一件の交付請求を受け、郵送していたことが判明した。

 市は、身元調査に悪用されている恐れがあるうえ、市条例に定めた自己情報コントロール権を保障する目的で、対象者に知らせる方針を審議会に諮問。審議会は「告知」を答申した。

 今後、市は対象者を訪ね、行政書士名や請求内容などを伝える。被害があった場合は法務局への申告なども支援する。ただ、審議会で告知によるトラブルを懸念する声が相次いだため、告知は慎重に進める。同様の請求があった広島県内の広島、呉市など十三市町で該当者に告知するのは、瀬戸田町に次ぎ二自治体目となる。

 また福山市は、戸籍や住民基本台帳の公開時の事務手続きを定めた要領を十月一日をめどに改正。行政書士が職務上請求する場合は、免許証などでも可能だった本人確認を、行政書士会の会員証などに限定する。

中国新聞 2005年8月25日

Link

ピーシーエー生命、115件の個人情報を含む申込書を紛失

2005年08月26日 18時44分25秒 | 個人情報
ピーシーエー生命は、契約者から受領した申込書の一部を紛失したと発表した。

紛失した申込書は60件で115件の個人情報が含まれていた。契約者や被保険者の氏名、住所、生年月日、加入している保険の内容など。個人情報保護法に伴い、全社一斉点検を実施した結果、判明したという。紛失の理由について誤破棄した可能性が高いとしている。

同社では個別に連絡し、事情を説明した上で謝罪する予定。今後は再発防止に向け管理体制の見直しを図りたいとしている。

お客様情報の確認調査の結果について
http://www.pcalife.co.jp/c_info/press/20050809.html

ピーシーエー生命
http://www.pcalife.co.jp/

IT保険ドットコム 2005年8月19日

Link

トヨタレンタリース、個人情報漏洩

2005年08月26日 18時42分34秒 | 個人情報
トヨタ自動車は、同社が開発し全国トヨタレンタリース店のリースの顧客が使っているTCMサポート(車両管理WEBシステム)で、顧客が入力した車両データの一部が、他の顧客から閲覧可能となる不具合が発生していたと発表した。

この不具合は、再リースする顧客が入力した契約の運転者名、駐車場情報などのデータが、旧契約のデータから新契約のデータに引き継がれる際、プログラムの作成ミスが原因で、誤って他の契約データに引き継がれたことで発生した。

これによりTCMサポートを使っている顧客の従業員と見られる名前合計500件が、同WEBシステムを使った他の顧客に閲覧された可能性があるとしている。

同社では、今回の不具合で名前が閲覧されてしまった人に「大変なご迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます」とのお詫びをコメント。

閲覧可能となった名前は8月10日までに削除済みで、プログラムのミスについてもすでに修正済みであり、今後同様の不具合が発生する可能性は無いとしている。

また、これまでのところ、閲覧可能になった情報が悪用されるなどの被害の報告は無いとしている。

Responce 2005年8月19日

Link

メール誤送信で152名の個人情報を流出 - リスクコンサルティング会社

2005年08月26日 18時37分27秒 | 個人情報
東京海上日動リスクコンサルティングは、企業向けのメール情報発信サービスにおいて、顧客企業担当者の個人情報を含むファイルを誤って添付して送信したと発表した。

同社によれば、7月26日に顧客企業へメール配信を行う際、誤って個人情報を含んだファイルを添付し、送付してしまったという。誤って添付したファイルには、顧客である企業や団体43社103名と、同社および同社グループ内企業など49名、計152名の氏名や役職、メールアドレスなどが含まれていた。誤送信先は39社91アドレスだという。

同社では送信直後に、全送信先企業にに対して同メールの削除依頼を行い、事情説明、謝罪した。すでにメールアドレスの削除についても確認を完了したとしている。同社では、同情報サービスの発信手順について見直しを行い、再発防止のための対応をすでに実施済みだという。

弊社メール情報発信サービスに伴うお客様情報の流出について
http://www.tokiorisk.co.jp/announcement050805.html

東京海上日動リスクコンサルティング
http://www.tokiorisk.co.jp/

IT保険ドットコム 2005年8月18日

Link