Pマーク担当向け教育更新コラム:ポイント連携

pmark-anchor 2013年6月14日 金曜日

7月1日よりYahoo!ポイントとTポイントの連携が始まるようだ。

いずれも4000万人以上の会員をかかえるビッグサイトだが

この連携により共同利用される個人情報の数はどれぐらいになるのだろうか。

Tサイトを見ると提携ブランド数158、利用店舗数57,977(2013年4月)とある。

 

ポイントプラグラム参加企業の顔ぶれは

 

TポイントとTカードの総合サイト[T-SITE]

http://tsite.jp/pc/r/al/list.pl

 

で確認できるが、ほとんどのライフシーンでポイント利用が可能な状況だ。

一企業にこれだけのライフログが集積され

かつ共同利用されることに少し抵抗があるというのが正直な印象である。

 

利用することでポイントが貯まり

貯まったポイントは様々な商品やサービスに適用される。

そのことが利用促進の原動力でもあり

裾野が広がるほど享受できるメリットも大きいため

今後も拡大路線は続くだろう。

 

企業ポイントは数の論理に基づく。

母数が多くなればすればターゲット抽出量は多くなり

利用履歴が多いほどマッチング精度は高くなる。

まさに最適化されたマーケティング手法の具現である。

となれば連携を増やし、利用を促進することが

収益アップにつながる課金ビジネスモデルともいえそうだが

提携する企業にとっても十分に魅力的である。

 

その昔、顧客の囲い込みという言葉が使われたことがあったが

すでにこれだけの母数を保有する企業があれば

新たに集めるより、お金を払ってデータ活用したほうが合理的との判断があって不思議はない。

今後もポイント連携がどう進んでいくのか目が離せない。

Pマーク担当向け教育更新コラム:脆弱性の存在

pmark-anchor 2013年6月11日 火曜日

5月は不正アクセスによる事件が多発した。

これほど短期間に集中したケースは筆者の記憶にはない。

6月に入っても玩具通販サイトで不正アクセスによる攻撃により

最大3,909人はクレジットカード情報が閲覧された可能性があるとの発表もあり

いつ収束に向かうのか余談を許さない状況が続いている。

ウェブサイトを運営する企業の責任を問われることは言うまでもないが

一方で、同一パスワードを使いまわしている利用者の多いことが

不正ログイン被害の一因となっているのが気がかりである。

 

2月にはTwitterで、3月にはEvernoteでの不正アクセス事件があったが

Twitter社はパスワードについて、アルファベットの大文字、小文字、数字、記号などを

混ぜた10文字以上のパスワードを利用し、使い回しは避けるよう求めたとある。

またEvernoteでは世界の全利用者約5,000万人のパスワードをリセットしたと発表した。

 

IPAの「2013年版10大脅威」によれば

7割の利用者が3種類以下のパスワードを使いまわしているとの統計もあり

複数のサイトで同時多発的に被害が発生する可能性も否めない。

前にも書いたが一度流出した情報は追跡も削除も困難であり

最終的にまだどこかで個人情報に紐付いて集約される可能性が高い。

できることはパスワードの変更と強度アップとなるが

すでに8桁程度では心もとないというのが実感で

パスワードによる対応もそろそろ限界なのかも知れない。

さらに更新頻度や文字列、桁数を上げることによる手間と効率低下は

多くの方が実感しているのではないかと思う。

 

ここ数年の動向として“脆弱性”が取り沙汰されることが多いが

その多くはクライアントソフトウェアやウェブアプリケーションである。

既知の脆弱性を悪用したものが多いとの報告もあり

脆弱性対策もかなり浸透してきているのでは思っていたが

今年の不正アクセス事件を見るとそうでもないようだ。

すでに脆弱性対策が必須項目となった昨今では

仮に未対策が原因だった場合は企業の大きな過失であり

損害賠償支払も止む無しというのが一般的ではないだろうか。

金銭的被害が発生していないから謝罪で済ませるというは

問題の本質を取り違えている印象がある。

 

また脆弱性はソフトウェアやハードウェアだけの問題ではない。

“人”にも脆弱性が存在する。

操作ミスやヒューマンエラーという言葉が適切かどうかは別としても

人はミスやエラーをするもので、かつ忘れやすい。

一過性のインプットだけでスキルやリテラシーを維持することは困難である。

反復継続することが最低限の脆弱性対策ではないかと考える。

Pマーク担当向け教育更新コラム:個人番号カード

pmark-anchor 2013年5月30日 木曜日

マイナンバー法案の成立に伴い

今後はより具体的な個人情報保護の施策に注目が集まる。

基本的に個人情報の利活用という点においては

その利便性に比例してリスクが存在することも事実である。

問題はこうした安全性と利便性がトレードオフの関係のある情報に対して

いかに取り組み社会的コンセンサスを得るかである。

 

2015年10月から運用が始まるとなれば残り時間は少ない。

さらに2017年からはマイポータルの利用も計画されており

IT業界の動向に株価が影響されるという事態が目に付くだけで

具体的な安全対策についての情報はまだ見えてこない。

 

ところで、すでに我々のまわりには多数の個人番号が存在し

個人番号カードとして膨大な量になっている。

交通カードや銀行カード、クレジットカードをはじめ

企業ポイントカード含めると一人当たり相当数になるだろう。

正直なところ発行する側の利便性が優先されているため

利用者は受動的にならざるをえないもの実情である。

 

また本人確認手段としても多くカードが利用されている。

運転免許証や健康保険証、住民基本台帳カードなど

マイナンバーが導入されて軽減されるものもあるが

多くの個人番号カードは今までどおり個人で管理するしかない。

 

特に共通ポイントカードでは加入者が5000万人越えたとの発表もあり

ライフログの利活用には目を見張るものがある。

どんなものが売れたではなく、誰が何を買ったか

その人のライフスタイルから需要予測できる商品やサービスは何かまで

実に詳細なマーケティングデータが蓄積され、利用されている。

 

個人情報は集約、紐付けされることで有用性は飛躍的に向上するが

一方で、流出した場合は取り返しがつかない。

一度出た情報は無限連鎖により複製され、またどこかで集約されていく。

また運用する側においても不正利用や人的ミスも大きな脅威となる。

今年に入ってからも個人情報に係る事件・事故をはじめ

不正アクセスによる情報搾取や金銭的被害など

情報セキュリティに関する脅威は存在感を増している感がある。

 

個人番号カードをいかに管理していくか。

このテーマは行政機関だけで解決できる問題ではない。

利用者である我々の意識改革も含め

自分の個人情報やプライバシー情報の使われ方について

これまで以上に注視していく必要があるだろう。

Pマーク担当向け教育更新コラム:憲法改正と個人情報

pmark-anchor 2013年5月17日 金曜日

4月27日に発表された自民党の「憲法改正草案」において

個人情報の不当取得の禁止が明文化された。

 

第19条の2

何人も、個人に関する情報を不当に取得し、保有し、又は利用してはならない。

 

草案のQ&Aでは個人情報の不当取得の禁止等について

プライバシー権の保障に資するため、個人情報の不当取得を禁止したとある。

 

すでに個人情報保護法において

法第17条

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

 

とあるが、同法の対象が個人情報取扱事業であるため

国民の権利保障をより一層充実させることが目的のようである。

 

この案については賛否両論あるようだが

不正・不当な方法による個人情報の取得が問題であることは言うまでもないが

取得した個人情報の目的外利用の結果として

本人のプライバシーが著しく侵害されたり

経済的な不利益を被る事件が数多く報告されている。

残念ながら現行の個人情報保護法では抑止力しての効果が薄い。

そういった意味では憲法に明文化されることは望ましいのではと考えるが

一方で、国家による言論弾圧につながると懸念する声もあるようだ。

 

すでにマイナンバー法案も成立の見通しとなり個人情報の保護に注目が集まるが

今後、自分の個人情報がどう扱われようとしているか。

どう扱われれば納得できるのか、あるいは安心できるのか。

個人情報とプライバシーの保護はどうあるべきか。

「憲法改正草案」をきっかけとして、さらに議論が深まることを期待したい。

情報セキュリティ普及啓発 映像コンテンツ(IPA)

pmark-anchor 2013年4月6日 土曜日

【プライバシーマーク教育にオススメ資料】

 

IPAでは情報セキュリティに関する啓発用の映像コンテンツを公開しています。

情報セキュリティに関する様々な脅威と対策をドラマやドキュメンタリーを通じて分かりやすく解説しています。

 

 

 

 

 

 

 

 

 

 

 

プライバシーマーク取得助成金(東京港区)

pmark-anchor 2013年4月6日 土曜日

港区産業観光ネットワークMINATOあらかると

産業・地域振興支援部産業振興課

補助金額:対象経費の1/2 上限500,000円

受付:平成25年4月1日~平成26年1月31日

http://www.minato-ala.net/guide/shien_c/iso.html

プライバシーマーク取得助成金(東京都 江戸川区)

pmark-anchor 2013年4月2日 火曜日

生活振興部 産業振興課 計画係

補助金額:50万円 

受付:随時

http://www.city.edogawa.tokyo.jp/sangyo_shigoto/yushi_josei/iso_eco_p/index.html

Pマーク担当向け教育更新コラム:予防措置

pmark-anchor 2013年3月26日 火曜日

2012年7月の「組織内部者の不正行為によるインシデント調査報告書」に続き

3月25日に「組織における内部不正防止ガイドライン」がIPAより公表された。

 

昨年の報告書では

インシデント発生による被害が深刻化する中、犯罪目的がこれまでの愉快犯的な行為から、経済的利得や組織活動の妨害へと変化・多様化している。

内部者による不正行為の対策を検討する上で、犯罪として立件に至らない事例やヒヤリ・ハットに関する事例について情報収集が不可欠であるが、「風評被害が発生する恐れ」や「利害関係者との調整がつかない」等の理由から公開されることが稀であり情報共有も困難である。

したがって、実態が把握されておらず、これまで内部者による不正行為の発生しやすい環境や効果的な対策等の検討が難しい。

 

として、不正行為の誘発要因やどのような抑止・防止策が不正行為への気持ちを低減させるかについて Webアンケートをもとに取りまとめたものである。

 

その中で、内部犯行調査で明らかになったポイントとして以下の7点をあげている。

 

多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している

多くの内部犯行者の不満は期待が裏切られたことに端を発する

処罰や(従業員にとって)好ましくない出来事が破壊行為の発生確率を上げる

多くの場合、犯行の兆候を示す振る舞いが確認されている。しかしそれらは看過される

内部犯行者は侵入するため、そして痕跡を隠すために組織の経営層に気づかれぬように裏口を設ける。大半の行為は退職後にその裏口を用いて行われる

組織は技術的な前兆を見落としている

物理的、技術的アクセス制御の欠如が破壊行為を容易にする

 

また、状況的犯罪予防における予防策として

 

犯行を難しくする:技術的な対策を強化することで犯罪行為を難しくする

捕まるリスクを高める:管理や監視を強化することで捕まるリスクを高める

犯行の見返りを減らす:犯行を難しくするための技術的対策によって、犯行者から適切な目標物を遠ざけることや隠すことが困難な場合に適用

犯行の挑発を減らす:外部からの挑発による犯罪行為を抑止

犯罪を容認する言い訳を許さない:犯行者による自らの行為の正当化理由を排除する

 

さらに25項目の状況的犯罪予防策(セキュリティ対策の例)が示されている。

いわゆる“不正のトライアングル”が成立する状況的な要因を排除することが

有効な手段となることについて事例をもとに検証した報告書となっている。

 

「組織における内部不正防止ガイドライン」ではこうした調査結果も踏まえ

不正行為の防止や、早期発見と被害の拡大防止も視野に入れた指針となっている。

関連する法令としては、個人情報保護法、不正競争防止法、労働契約法、労働者派遣法

刑法(窃盗罪、横領罪、背任罪等)、民法(契約責任、不法行為責任等)

労働法理(秘密保持義務違反、競業避止義務契約違反)、公益通報者保護法があげられている。

 

中身としては、情報セキュリティマネジメントシステム(JISQ27001)や

営業秘密管理指針と共通するものも多いが

個々の項目について想定されるリスクや対策のポイントがわかりやすく示されている。

中でも、4-8.職場環境のマネジメントについて触れているところは新しい視点である。

これまで事後対応に関する情報は数多く見てきたが

やはり未然に防ぐことが最善手であることに違いはない。

併せて読むことで共感できる部分も多いのではないかと思う。

プライバシーマーク取得助成金(東京江東区)

pmark-anchor 2013年3月25日 月曜日

江東区地域振興部経済課産業振興係

補助金額:20万円

受付:随時

http://www.city.koto.lg.jp/seikatsu/sangyo/10200/25384.html

Pマーク担当向け教育更新コラム:競業避止

pmark-anchor 2013年3月22日 金曜日

経済産業省が委託調査研究でとりまとめた報告書のうち、広く公開するにふさわしいものとして

「人材を通じた技術流出に関する調査研究報告書」が3月に公表された。

 

調査をしたのは三菱UFJリサーチ&コンサルティング。

雇用形態の多様化や人材の流動化等の影響により、営業秘密を争点とした裁判例は増加傾向にあり、

特に退職者等の人材が絡んだ営業秘密の流出が深刻な問題となっている。 

そこで、人材を通じた営業秘密の流出実態等を把握すべく、我が国企業1万社に対し、

アンケート調査等を実施するとともに、人材を通じた営業秘密の流出を防止するための対応策として、

競業避止義務契約等の在り方について、裁判例調査や有識者による分析・検討を行ったものとあり

興味深い報告書となっている。

 

平成24年度 人材を通じた技術流出に関する調査研究

http://www.meti.go.jp/policy/economy/chizai/chiteki/hokoku.html

 

序章として以下のように書かれている。

 

グローバル化や情報化、人材の流動化等が進展する中で、我が国企業の競争力の源泉となる

技術情報、中でも秘密情報の適切な管理がより一層重要となっている。技術情報の適切な管

理を促し、その保護を図ることは、継続的にイノベーションを生み出し、我が国における生

産性向上に向けた取組が継続的かつ発展的になされる基盤を確保する鍵となるものである。

 

その一方で、雇用形態の多様化や人材の流動化等の影響から、営業秘密を争点とした判例は

増加傾向にあり、その主な漏えい経路として退職者等が絡んだ営業秘密侵害が深刻となっている。

 

しかし「営業秘密」に該当する情報と言えるためには、不正競争防止法が定める、

①秘密として管理されていること(秘密管理性)、②有用な情報であること(有用性)、③公然と知られていないこと(非公知性)という3つの要件を満たしている必要があり、企業が守りたいと考えている情報が常に「営業秘密」に該当する訳ではない。

 

 

このような退職者等の人を通じた企業秘密の流出を防止するための策としては、不正競争防止法に基づく請求の他、競業企業への転職そのものを禁止する競業避止義務契約を締結することも考えられるが、必ずしも競業避止義務契約の活用実態や、その有効性については明らかにされているとは言えない。

 

筆者の知る限り営業秘密を保護する措置として

競業避止義務契約を締結しているケースは極めて稀である。

多くの場合は就業規則や入社時の非開示契約で足るとの判断に基づくと思われるが

やはり雇用関係が解除されれば契約の有効性には限界がある。

 

競業避止義務契約は退職者にとって職業選択の自由を制限する可能性もあり

躊躇しているといったケースもあるようだが問題の本質はそれではない。

企業の競争優位性を維持するために重要な情報資産や営業秘密を厳格に管理することは

国際競争が激化する中では不可欠な要件であることは多くの事件が示唆している。

 

また競業避止義務契約について、企業の守るべき利益は

不正競争防止法の「営業秘密」に限定されるものではなく

営業秘密に準じるほどの価値を有する営業方法や指導方法等に係る

独自のノウハウについては営業秘密として管理することが難しいものの

競業避止によって守るべき企業側の利益があると判断されやすい傾向があると分析されており

知的資産(知的財産を含む)も該当するものと思われる。

 

中小企業に対する知的資産経営が叫ばれて久しいが

企業競争力の源泉となる知的資産の保護と活用を推進するためにも

競業避止義務契約もその一環として検討する余地があるだろう。

難しいテーマではあるが守るべき手段を知ることの重要性が再認識できる報告書である。