ブログ 〔情報リテラシー研究会〕

パソコン操作に関する記事

<151> 個人情報保護法のポイント 〔その1〕

2008年05月27日 | ◆個人情報保護


カミーユ・ピサロ作「モンマルトル大通」・・・クリックすると大きく拡大されます


クリックすると拡大されます
モンマルトルの丘(写真)


■ 個人情報保護法とはどんな法律か

2005年に個人情報保護法が施工されて3年を経過しましたが、個人情報漏洩事件は後を絶ちません。私達の日常は情報流出の危険にさらされています。今回は危険がいっぱいの情報社会をより安全に生活していくために、今一度「個人情報保護法」とはどんな法律なのかを振り返ってみたいと思います。 特に日常パソコンを取り扱う人にとっては、セキュリティ対策の重要項目の一つとして意識しておかなければならない法律と言えるでしょう。 今回のブログが、企業並びに個人における個人情報保護意識の高揚のみならず、 <個人情報保護士認定試験> の受験対策の一助としてもご参考いただければ望外の喜びです。 ※ 個人情報保護士認定試験 http://www.joho-gakushu.or.jp/piip/piip.html (財団法人:全日本情報学習振興協会)





=概要=



近年、情報漏えい事件が後を絶ちません。情報処理技術の発達により、その蓄積、流通、加工などを簡単に行うことが出来るようになり、又インターネットの普及により、その情報が瞬時に世界中をも駆け巡るといった状況が現代社会であります。

コンピュータに蓄積された個人情報の大量漏えい事件の多発。ネットを介した個人情報の無断収集やそれらの公開による人権侵害などITの進化にともない、個人情報を取り巻く状況は、急速に変化しています。 

又、本人が予想しなかった目的のために個人情報が使用されるなどという事態も発生しています。 こうした状況を背景に2005年4月個人情報保護法の制定がなされました。

さらに個人情報保護法施行後、一般の人々の間にも個人情報に対して、強い関心が寄せられるようになりました。個人情報取扱事業者に該当しない小規模事業者でも、一旦情報漏えいが発生すると、社会的制裁を免れることは出来ない状況となっております。


■ 個人情報保護法とは

個人情報保護法とは、個人の権利と利益を保護する為に個人情報を取得し取り扱っている事業者に対し、様々な義務と対応を定めた法律です。2005年4月より全面施行されました。

この法は、本人である個人の権利を定める法律ではなく、企業が守らなければならない義務を定め、それに違反した場合には行政機関が処分を行なうという性格のものです。

事業者は、この法律により、 個人情報の利用目的の特定および制限、 個人情報の適切な取得ならびに取得に際しての利用目的の通知または公表、 個人情報の安全管理、 個人情報を第三者へ提供する際の制限など、各種の義務を果たさなければなりません。違反すると行政処分を下され、さらに主務大臣の命令に反した場合には罰則が科せられることになります。


■ 個人情報とは

個人情報とは、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別できる情報を言います。

(当該情報だけでは識別できないが、他の情報と容易に照合することが出来、それによって当該個人を識別できる情報も含みます。


〔個人情報の例〕

名前   住所   電話・ファクス番号   顔写真  音声  

銀行口座番号   クレジットカード情報   eメールアドレス   

会員ID・パスワード


■ 個人情報の所有者

言うまでも無く、個人が個人情報を所有しています個人情報を使用する組織に対しては、個人が同意した上で使用権を与えているに過ぎません。


■ 「個人情報保護法」の適用対象

個人情報保護法とは、営利・非営利を問わず、個人情報を継続的に取得し取扱っている個人情報取扱事業者に対して、様々な義務と対応を定めた法律です。 (又、過去6ヶ月以内に個人データを、一度でも5千件を超えて取り扱ったことのある事業者が対象となります。)

個人情報保護法の対象事業者の範疇に入らない場合でも、個人情報漏洩により他に損害を与えた場合は、損害賠償責任が発生することは云うまでもありません。その上、個人情報漏洩により企業としての事業継続に、多大な影響を及ぼすような事態に発展することも、あり得る事を認識しておかなければなりません。

(又、小規模事業者と雖も、顧客情報・取引先情報など累積的には5千件を超えるケースはかなり多いと考えられます。)

罰則については違反行為をした従業員並びにその事業者が処罰(両罰規定)の対象となります。(例えば、ある社員が個人情報を持ち出し不正に利用した場合、その社員のみならず当該企業も処罰の対象になります。)



【次回は「個人情報保護法に定める主要な内容」について掲載いたします。】


<150> ファイル共有ソフトの危険性

2008年05月21日 | ◆セキュリティ

 当ページの最後段に、ファイル共有ソフト対策として「情報漏えい対策ツール」を紹介

 -------------------------------------------------------------------------

ファイル共有(交換)ソフトは便利なものであるため多くの人に利用されております。しかし、このソフトに感染するウイルスにより、ファイル共有ソフトをインストールしているパソコンでは、そこに格納されたデータのすべてが漏えいする危険性をはらんでおります。

数年前、「ウィニー(Winny)」と言う名称のファイル共有ソフトが原因で、企業が保管している個人情報が大量に漏えいする事件が多発しました。情報漏えいの経緯は、多くの場合(会社の仕事を持ち帰り「ウィニー(Winny)」をインストールした自宅のパソコンで作業を行った)ことによるものです。

今も、企業(団体)・個人を問わず情報漏えい事件は後を絶ちません。その原因の多くがこのファイル共有ソフトを介したものであります。今一度、このソフトの仕組みと危険性とを認識することが必要ではないでしょうか。
ファイル共有ソフトにはいろいろが種類がありますが、ここではその代表格でもあるウィニーについてその仕組みと情報流出の流れについて見て行きたいと思います。


■ ファイル共有ソフト「ウィニー(Winny)」とは

ウィニー「Winny」とは(P2Pファイル共有ソフト)と呼ばれる、知らない人同士でファイル交換が自由にできるソフトウェアです。「P2P」とは、 Peer to Peer(ピア・ツー・ピア)の略で「Peer」は「対等」の意味です。
通信する双方のパソコンが対等の立場で通信を行うことを意味しております。

『それでは、対等でない立場にあるコンピュータとはどのようなものを言うのでしょうか? これは「クライアント・サーバー方式」と呼ばれるものです。サービスを提供する「サーバー(例えばホームページを提供する側)」と、そのサービスを利用する「クライアント(ホームページを閲覧する側)」に分かれている方式のものを言います。』

(ピア・ツー・ピア)ネットワークは、どちらか一方だけがサービスを提供するのではなく、お互いにサービスを提供しお互いが利用しあう、いわば対等の関係にあります。 ファイル共有ソフト「ウィニー(Winny)」は(ピア・ツー・ピア)方式によりお互いにファイルを共有する仕組みのソフトです。

又共有の方法ですが、目的のファイルをダウンロードするパソコン (A) と、そのファイルを所持しているパソコン (B) との間で、直接ダウンロードが行われるわけではありません。 その間「Winny」をインストールしているいくつものコンピュータを経由しながらダウンロードが行われます。 そして中継したコンピュータにも「キャッシュ」という形で、ファイルが保存されます。

このように、ファイルの情報は利用者間をバケツリレー式に転送されるので、どのファイルがどこから送受信されているのか、ダウンロードした者にもわかりません。 ユーザーを指定してメッセージを送信したり、共有ファイルのリストを見たり、ダウンロード先を指定したりすることはできません。人気のあるファイルなどは、多くの人がダウンロードを行おうとしますので、このように次々にファイルがコピーされ拡散されていきます。

 
■ ウィニーによる情報共有の流れ


1.情報の公開
公開用のフォルダに、公開する(共有する)ファイルを置く。
 
2.情報の検索
欲しい情報のキーワードを設定して、ウィニーのネットワークから情報を探す。
 
3.情報のダウンロード
自分の欲しい情報を見つけたら、ダウンロードリストに加えておき、ダウンロードされてくるのを待つ。(ウィニーでは公開されているパソコンから直接ダウンロードしてくるのではなく、ウィニーのネットワークに参加している諸々のパソコンを経由してファイルがダウンロードさる。)


 ■ ウィニーを利用した情報流出の流れ

1.Antinny (アンティニー)と言うウイルスがパソコンに感染する。

2.パソコンに「ウィニー」がインストールされていると、Antinny が「ウィニー」を利用して、非公開のはずの機密情報をこっそりと公開用フォルダに公開する。

3.「ウィニー」のネットワークに参加している他のパソコン上に、機密情報が流出する。


又「ウィニー」のネットワーク上に、ウイルスに感染したファイルが出回ることになり、それを知らずにダウンロードしてしまったユーザーも感染することになります。多くのユーザーは、このウイルスに感染したことに気づきません。そしてネットの特性から一度流出した情報は回収することは不可能です。
残念ながら、多くのユーザーは、自分の操作によりウイルスに感染したことを知らないままでいます。

もし、会社のパソコンでウィニーを使用していたら、会社の機密情報や顧客の情報が流出する危険性は非常に大きいと言えます。又、自宅のパソコンでウィニーを使用していたら、あなたの個人情報だけではなく、自宅で仕事をするために USB メモリや CD/DVD に入れて持ち帰った資料も流出することになります。




■ 対策

1.感染の確認および駆除

* マイクロソフトから無償で提供されている「悪意のあるソフトウェアの削除ツール」を利用して、Antinny(アンティニー)に感染していないか確認・駆除する。

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=ja

※ 検索に<悪意のあるソフトウェアの削除ツール ダウンロード>と入力すれば
上記のページが表示されます。

* トレンドマイクロ社のウイルス駆除プログラム「システムクリーナー」を利用して駆除を行なう。
http://www.trendmicro.co.jp/security/malwaremove/tsc/index.asp


2.ウイルス対策ソフトの活用

ウイルス対策ソフトを使ってすべてのファイルをスキャンする。

3.パソコンを最新の状態にする

Microsoft Update でパソコンを最新の状態にする。

4、「ウィニー」などファイル共有ソフトは使わない。

一度公開された情報の回収や削除は不可能である。情報が流出しないようにするには「ウィニー」の使用をやめること。「ウィニー」に限らず(ファイル共有を行うソフトウェア)の使用は危険が伴うことを認識する。

----------------------------------------------------------------------------

【参考】「情報漏えい対策ツール」 ・・・ダウンロードhttp://www.vector.co.jp/soft/winnt/util/se501912.html  

ファイル共有ソフト(Winny、Winnyp、Share)による情報漏えいを防ぐためのソフトウェアです。
例えば、家族で共有している自宅のパソコンや企業・組織のパソコンに情報漏えい対策ツールをインストールすることで、そのパソコン上におけるファイル共有ソフトの実行を禁止することができます。
また、企業や組織などの情報漏えい対策として、自宅のパソコンにファイル共有ソフトがインストールされていないことを証明することにも利用できます。



<149> 個人情報漏えいのセキュリティ対策に「クッキー(Cookie)」を知る

2008年05月02日 | ◆セキュリティ

2005年に個人情報保護法が施行されてかなりの年数を経過しましたが、未だに日々個人情報の漏洩事件が発生しております。下記サイトは、当該サイトを開く前日までに判明した「個人情報漏洩事件」の一覧です。(例えば本日このサイトを開くと、前日までの漏洩事件一覧が表示されます。)

http://www.security-next.com/cat_cat25.html 「Security NEXT」


パソコン操作上において、個人情報の流出に大きく係わるものとして 「Cookie」 の存在があります。?「Cookie」 とは、Webサイト(ホームページ)の提供者が、Webブラウザを通じて訪問者のコンピュータに一時的にデータを書き込んで保存させる仕組みのことを言います。。

Cookieには、ユーザに関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができます。Cookieはユーザの識別に使われ、認証システムや、WWWによるサービスをユーザごとにカスタマイズするパーソナライズシステムの要素技術として利用されております。現代のインターネット社会においては無くてなならない技術の一つであります。

※ パーソナライズシステムとは、例えばネットショッピングなどにおいて、顧客やユーザ全員に同じサービスやコンテンツを提供するのではなく、一人一人の属性や購買・行動履歴に基づいて最適化されたものを提供する手法のことを言います。


● Cookie の動き


【1回目の接続】ユーザーがあるホームページに初めて接続した際、そのホームページのサーバーからユーザーのパソコンに対して、そのWebサーバー専用の Cookieファイルが送信され、ユーザーのパソコンに保存されます。

 


画像は総務省のセキュリティWebサイトより

【2回目の接続】次にユーザーのパソコンから同じホームページを閲覧した時、ユーザーのブラウザは保存されている Cookie をそのホームページのサーバーに送信します。このようにして毎回 Cookie がユーザーのパソコンに送信され格納されます。 この仕組みによって、Webサーバーは、個々のパソコンが前回までに使用していた情報を読み取ることができるようになっております。

Cookie には、Webサーバーによってどのような情報でも格納できますが、通常は会員登録の際のユーザー名等の接続情報や、ショッピングサイトなどで商品を購入する際の“買い物かご”の情報や、氏名・住所・電話番号と言った買い物に必要な情報などがユーザーのパソコンに格納されます。これらの情報を元にWebサーバーとクライアント(ユーザーのパソコン)との間でやり取りがなされることにより、一連のショッピングが成立します。

Cookieの存在が無いとネットショッピングなどは一斉不可能となります。

本来、Cookie はそれを最初にクライアント(ユーザーのパソコン)に発行させたWEBサイトによってしか、見たり利用したりすることはできませんが、WEBサイトのぜい弱性などによって、悪意を持つ第三者にクッキーを横取りされてしまう危険性も考えられます。

このような仕組みを持った Cookie の存在は、一面情報漏えいの怖さ持っておりますが、現代のインターネットでは必要不可欠な仕組みともなっております。ユーザーはこのことを良く認識した上で、インターネットの操作を行う必要があります。


● Cookie の保存場所

Cookie は次の場所に保存されます。

「Cドライブ」→「Dcuments and Settings」→「ユーザー名」→<Cookies>フォルダ


上記ファイルをダブルクリックすると、Webサーバーから送り込まれたCookieの中身が表示されますが、サイトのドメイン名などは分かりますが、ほとんど意味不明の文字の羅列です。

Cookie にクレジットカード番号やパスワードなどの重要なプライバシー情報を書き込むことは、御法度とされております。



● Cookie の設定

Webサーバーがユーザーのパソコンに Cookie を保存しようとする際、これを拒否することも出来ます。しかし、セキュリティ面だけから考えれば拒否することは妥当な行為と言えますが、インターネットを行う上においては著しく不便になってしまいます

『Cooki をどこまで受け入れるか? 拒否するか?』 は、なかなか難しいものです。それぞれ個人個人の考え方によって違ってきますが。通常は拒否する設定にしておき会員制サイトやショッピングサイトを利用する時にだけ受け入れるように設定することも出来ます。
 

Cookie初期設定(既定)では次のように【中】レベルに設定されております。

◎ ブラウザ(IE)の「ツール」→「インターネットオプション」→「プライバシー」タブ→<既定>ボタン(既定のボタンを押すと【中】に設定され、<既定>ボタンは薄く表示される)


既定のボタンを押すと【中】に設定され<既定>ボタンは薄く表示される)


上記のように設定レベルが6段階に切り替えられます。その段階に応じてブラウザが Cooki を自動的に制限します。当然レベルが「高」になればなるほど Cookie の制限が強くなります。 制限されたパソコンに Webサーバーが Cooki を送信してもそのパソコンには格納されません。格納できなかった場合、 IE 画面の右下にのアイコンが現れます。


● Cookie を個別に受け入れる設定

上記ののアイコンをダブルクリックして 「プライバシーレポート」 を開きます。そして、下記画面のようにWebサイトを個別に Cookie を受け入れる」 設定にすることが出来ます。


受け入れたいWebサイトのURLを右クリックして<このサイトの Cookie を常に受け入れる>をクリック
します。