個人情報漏洩の事故について考える

失ったもの

pmark-anchor 2014年11月29日 土曜日

11月26日付でベネッセコーポレーションは
プライバシーマーク制度発足以来、2社目の取消事業者となった。
予想された結果だが、同社のウェブサイトには
「よくいただくご相談とその回答」として同日にアップされている。

 Q.プライバシーマークの取り消し措置とはどのようなものですか。
  また、どのように捉えているのでしょうか。

 回答

  この度のお客様情報の漏えいを受けて、一般財団法人日本情報経済社会推進
  協会(JIPDEC)プライバシーマーク推進センターより、「プライバシーマーク
  付与の取り消し措置」を決定した旨、通知がありました。
  この措置は、事故発生時の当社の管理状況に関する報告に基づくものです。
  弊社としては、既に提出が完了しております経済産業省への改善報告書に記載した
  情報セキュリティ対策を引き続き鋭意進めていくとともに、全グループをあげて
  再発防止に徹底して取り組み、信頼回復に努めてまいります。

JIPDECの「プライバシーマーク付与に関する規約」では
(プライバシーマーク付与の取消し)
 第15条 付与機関は、次のいずれかに該当するときは、付与事業者に対する
     プライバシーマーク付与の取消しを行うことができる。
   七 第12条の規定による調査に基づき、付与事業者が個人情報の取扱いにおいて
     発生させた事故等が、「プライバシーマーク制度における欠格事項及び判断
     基準」により付与の取消し相当と判断されたとき。

ベネッセの場合は、欠格事項の判断基準として
事故の類型は「漏えい」、事故原因としては運用の不備、委託先の監督責任が考えられる。
また、事故の影響はすでに報道の通り社会的な大問題となっている。
筆者が危惧するのはこれだけ大量の個人情報(就学児童含む)が漏えいした場合
実質的な収束はないということである。
同社の失った社会的信頼性と経済的損失も計り知れないが
真の被害者は漏えい事故に巻き込まれた多くの利用者であり
無限連鎖的に拡散してしまったと思われる個人情報は
今後もカタチを変え、名簿として販売され、利用される可能性は否めない。

ジャストシステムの場合は、10月10日付で「勧告措置」となった。
欠格レベルは10段階あり、取消しの場合はレベル10。
勧告の場合はレベル6~7となるため、同社はこれに該当する。
DMリストを販売したのは株式会社文献社という会社で
昭和30年設立の老舗のようであるがウェブサイトの情報には疑義がある。
 
 (情報リストの入手先)
  当社のリストの元になっている非公開情報は「住民基本台帳」の記録です。
  2006年(平成18年)10月までは、一定の条件の元で閲覧ができました。
  名前、住所、生年月日、性別といった情報をリストアップしていました。
  しかし、その後、「住民基本台帳法」の一部改正によって住民基本台帳の
  閲覧は「公開原則」ではなくりました。
  当社のリストは、全国各地の市町村役場で閲覧可能な時期に入手しました。
  そのため、情報の入手ルートや時期が明確です。100%自社が開発した
  独自のリストとなります。

と、今も書かれているが事実と異なる。

ジャストシステムは今年2月に東証一部に上場。
小学生向け通信教育「スマイルゼミ」という専用のタブレットで
インターネット接続して学ぶオンライン通信教育講座を展開中。
文献社より購入した257万3,068件のデータは
このサービス利用者の新規獲得を狙ったものと思われる。

7月12日に同社から送信されたお詫びメールには

 データベースを購入してダイレクトメールを発送する場合には、
 その外部事業者との間で当該個人情報は、適法かつ公正に入手
 したものであることを条件とした契約を締結しております。
 
 今回の文献社からの購入において、データの入手経路を確認しながら、
 最終的にはデータの出所が明らかになっていない状況で契約に至り、
 購入していたことが判明いたしました。

 当社は、文献社から取得したデータが、株式会社ベネッセコーポレーシ
 ョンから流出した情報であるか否かを確認する手段を有していないため、
 現時点においても、そのような事実を確認できているわけではありません。

と書かれおり、いろいろと思惑のある内容となっている。
結果的にはJIPDECの判断通り、出所が明らかでないリストを購入して
ダイレクトメールを送付することは目的外利用の可能性が高く
当然ながらJISQ15001に対する違反でもある。

今回の裁定はこうした事態に対する今後への警鐘の意味を含め妥当なものと思われる。
プライバシーマークについてよく聞かれた質問に
「認証取得すればどんなメリットがあるのか」というものがある。
メリットは享受するものではなく
メリットが出るようにマネジメントしていくことが重要であると筆者は思う。
選択する消費者の目はいつも厳しい。
企業コンプライアンスも中身が伴わなければ絵に描いた餅である。
両者が納得できる接点を同マーク制度が担ってきたことは事実であり
企業間取引においても“信頼の証”となるよう期待するものである。

情報セキュリティコンサルタント 岸本

被害者と加害者

pmark-anchor 2014年9月22日 月曜日

ベネッセの“お詫び”の在り方について厳しい意見が多いようである。
筆者にもお詫びDMが届いたが
改めて文面を読んでみても違和感が残る。
詳細は「ベネッセお客様本部」サイトに掲載されているが
http://www.benesse.co.jp/customer/index.html
お詫びの品として、500円の金券が妥当かどうかは別として
新たに設立予定の「こども基金」について
お詫びの品で寄付を募るというのはどうだろうか。

記者会見において原田社長は
 「本来、やるべきことをやっていなかったことが原因で漏えい事故が
  起きたという意味では加害者である」
とコメントしており、同社に加害(過失)責任がある旨を表していた。
事件発覚当初、同社が被害者のような報道もあったが
真の被害者が顧客であることは言うまでもない。
これまでの漏えい事件でも同様の事象があり
まず経営者は被害者意識に囚われる傾向がある。
その後、時間の経過とともに真の被害者が誰かに気づき
どうすればこの窮地を挽回できるかということに思いが及ぶ。

こうした大規模漏えい事件について完全解決はない。
ひとたび流出すれば完全に回収又は削除することが不可能であることは
周知の事実であり、最終的には被害補償をどうするか…という問題に行き着く。
一方で、個人情報を流出された側にも「またか…」という
半ば諦めにも似た思いが過ぎるのも事実である。
しかし、今回は漏えいした個人情報の“質”と“量”が異なる。
今後も予想される2次被害について
因果関係を立証することは極めて困難になっていく。
結局、被害者自身が“自分で守る”しかないのである。

今回の場合は500円相当の金券となった。
漏えい件数を考えれば現実的な金額とも言えるが
同時にお詫びの品で「こども基金」の寄付を募るという
経営判断は賛同しかねるものがある。
極論すれば、加害者が被害者からお金を募るという構図である。
本来、「お詫び」と「こども基金」は別物であろう。
結果、お詫びになっていないという批判が巻き起こったのも
致し方ない面があると筆者も感じた。
危機管理は自社の事業継続ばかりに注意が払われるが
事業継続するためには“何が不可欠か?”
それは顧客からの信頼であり、再生への期待である。
今回は示唆に富んだ貴重な事案となることだけは確実なようである。

情報セキュリティコンサルタント 岸本

問題の本質

pmark-anchor 2014年8月22日 金曜日

内部不正による情報漏えいリスクについて
程度の差はあるが、事業者にとっては避けては通れない問題である。
ベネッセに限らず、これまでも多くの漏えい事件が発生したが
結果的には“他人事”として忘れ去られていった経緯がある。
法令改正による違法行為の明確化や罰則強化など
不正行為抑止に向けた取り組みは進められてきたが
残念ながら、この潜在的リスクがゼロになることはない。

とりわけ個人情報には換金性があること。
言い換えれば、不正行為の動機に直結していることが
こうした事件が後を絶たない大きな理由でもある。
すでに1億件近い個人情報データベースを保有する事業者も存在する。
名簿販売が目的ではないとしても
新たに取得した個人情報との突合・名寄せ、クレンジング等により
氏名、住所といった基本情報に紐付けられ
新たな価値を持ち得ることも事実である。

今回の事件でも数多くの名簿会社に転売されたことが確認されている。
情報の出所がどこかということよりも
名簿として仕入れるだけの価値があるかどうかが購入基準であり
就学児童を含む子供や親の情報には継続的な需要が見込まれたことは想像に難くない。
また名簿利用者にとってはターゲットを効率的に絞り込み
DM投下による費用対効果を考えれば名簿ビジネスの存在は好都合な一面もあるだろう。
個人情報保護法においては名簿販売というビジネスモデルの是非について
賛否両論さまざまな意見があったが、結果的にグレーゾーンを残しての施行となった。
9年経過した現在もその状況は変わっていない。

次に問題となっているのがUSBポートの利用制限である。
すでに多くの事業者においてUSBメモリの利用については
内部規程により制限、若しくは禁止されていると思われるが
USB接続デバイス(MTP接続等)については制限できていない状況もあるようだ。
導入実績の多い監視アプリでも、現時点で未対応のものもある。
今後、速やかに改修されると予想されるが
それまでの期間についてはリスクが残存することとなるため
早急に検討が必要と思われる。

また経済産業省は「経済産業省分野における個人情報保護法ガイドライン」について
9月中に改訂する旨を公表した。
主に委託先の監督や個人情報の適切な取得等について見直しがされるようだが
顧客情報の取扱いに関する再委託については制限される可能性もある。
今回の事件の影響もありパーソナルデータに関する報道が少なくなったが
CCCは2014年11月1日からの改訂内容を公表している。
従来の個人情報の利用形態について「共同利用」から「第三者提供」に変更すること。
個人情報の提供停止(オプトアウト)をTサイトで受け付ける予定とのことである。
いずれも保護法改正を見据えての取り組みだが
パーソナルデータの利活用について着々と準備が進められている。

情報セキュリティコンサルタント 岸本

データクレンジング

pmark-anchor 2014年7月22日 火曜日

ベネッセの顧客情報漏えい事件も犯人逮捕となって
事件の全容が明らかになってきたが
同社が失った信頼と経済的損失は計り知れない。
改めて情報漏えいリスクの大きさを実感する一方で
半年間も検知できなかった顛末には驚きを隠せない。

JIPDECのサイトには
ベネッセコーポレーション及びジャストシステムについて
問題点は異なるが厳正に対処すると書かれている。
いずれもプライバシーマーク制度における
企業信頼性の根幹に係わる事件であり
極めて残念な結果も予想される。

すでに事件詳細の多くは報道もされているので
筆者が感じる危惧について書き留めておきたい。
現法制化で名簿ビジネスが存在する限り
個人情報の不正取得及び売却という潜在リスクが消えることはない。
今回の場合はわかっているだけで複数の名簿会社に
転売されたと報道されているが
約半年の間にどれほど拡散したかを完全に追跡することは困難だろう。
過去の漏えい事件と同様に
これらの個人情報は他のデータベースに取り込まれ
新しいデータとして生まれ変わっている可能性がある。
マネーロンダリングならぬ、個人データロンダリングにより
精度の高い、価値ある個人情報としてクレンジングされた可能性もある。
結果的に長きに亘り不利益を被る可能性も否定できない。
最初の記者会見でお金に係わる機微な情報は含まれていないので
補償する考えはないとした社長のコメントは
結果的に認識の甘さを露呈する結果となった。
同社のサービスを利用している顧客のひとりとして
その程度の認識だったのかと失望したことも事実である。

さらに顧客データベースの管理をしていたシンフォームは
ISMSの認証組織であり審査機関のBSIが
今回の事件とマネジメントシステムの関連を調査中と公表している。
ファーストサーバの事故もそうだったが
認証するためにいくら厳格なルールを定めても
運用確認が甘ければ今回のような事件は避けられない。
USBポートのリスクについては今更感もあるが
不正接続についてモニタリングをしても
検知したログを発見できなければまったく意味がない。
さらに大量のコピーについては
正規のアクセス権限があったとしても
操作ログを厳格にチェックするルールが履行されていれば
もっと早い段階で検知できた可能性もあった。
いずれも情報セキュリティ対策においては
極めて基本的な事項である。
こうした事件を見るたびに感じるのは
“ルールの形骸化”が根本原因ではないかということである。

ルールは厳密に履行されてこそ有効性がある。
逆説的に考えれば、何故履行されなかったのかを検証すべきであろう。
情報資産に対する脅威レベルを冷静に判断すれば
顧客データベースこそ最大限に保護すべき対象である。
そのために運用ルールがあり、手順がある。
つまり、形骸化がミスや油断を誘発させ
不正行為を助長するというスパイラルダウンを引き起こす。
予見可能なリスクに対して
本来やるべきことをやっていなかったとなれば
まさに“加害者”である。

ジャストシステムについては
事件の報道後、ユーザのひとりである筆者にもメールが届いた。
主旨は、ベネッセの顧客情報とは知らなかったというものである。
この言い訳メールは論旨がずれている。
そもそも出所が明らかでない、若しくは確認が取れていない
個人情報を購入してDMを送付するということ自体が問題なのである。
正直な感想を言えば、こんなメールこそ不愉快である。

今回は不正競争防止法の営業秘密侵害容疑での逮捕となった。
事件の社会的影響を考えれば実刑の可能性もある。
犯人がこの法律を知っていれば
犯行が割に合わないことを事前に認識できたのではと思った次第である。

情報セキュリティコンサルタント 岸本

ルール(内部規程)は存在するが、徹底できていない顕著な例

pmark-anchor 2012年7月25日 水曜日

個人情報の事故から学ぶ

ルール(内部規程)は存在するが、徹底できていない顕著な例です。

 

【事故の概要】

兵庫医科大学の研究生がひったくりに遭い、患者141人の個人情報が保存されたUSBメモリが盗まれたことがわかった。

被害に遭ったUSBメモリには、患者141人の氏名、年齢、性別、患者ID、調剤薬名、主治医の氏名などが保存されていた。7月18日20時ごろ、同大内科学リウマチ・膠原病科の研究生が帰宅途中の路上で、バイクに乗っていた男に鞄ごとひったくられたという。

翌19日に警察から連絡があり、財布は発見されたが、現金やUSBメモリは見つかっていない。同大学では、患者情報の外部持ち出しを禁止しているが、周知徹底されていなかったとして、対策を強化。対象となる患者への報告と謝罪を進めるとしている。

(Security NEXT – 2012/07/23 )

http://www.security-next.com/032531

健康情報の漏えいは1件からでも公表

pmark-anchor 2012年7月20日 金曜日

個人情報紛失のお詫びとご報告

この度、当社従業員の定期健康診断個人結果票を各個人へ配布した際、1名分の定期健康診断個人結果票が本人へ届かず、配送途中で紛失する事故が発生いたしました。当社の管理体制の不備からこのような事態を招き、心から深くお詫び申し上げます。

なお、紛失した個人情報の詳細は下記の通りです。

◆ 従業員1名の個人情報(定期健康診断結果票)

定期健康診断結果票を紛失した従業員ご本人に対して、謝罪と報告を行うとともに、関係省庁への報告を行いました。現在のところ、紛失した個人情報(定期健康診断結果票)が不正に利用された形跡は確認されておりません。

当社では、個人情報の取り扱いについて、社内における教育、および管理体制の強化に努めて参りましたが、今回このような事態を招いたことを重く受け止め、再発防止に真摯に取り組むとともに、さらなる情報セキュリティの強化に取り組んで参ります。

2012年7月18日

パナソニック株式会社 デバイス社

事前同意は必要。同意の無い場合のリスク事例

pmark-anchor 2012年7月6日 金曜日

 

事前同意は必要です!

今回の内容は、個人情報の取り扱いについて同意の無い場合の典型的なリスクです。

 

さんようタウンナビより

http://town.sanyo.oni.co.jp/news_s/d/2012070221470766

弁護士会が岡山大に勧告

岡山弁護士会は2日、人権侵犯救済の申し立てに基づき、岡山大(岡山市北区津島中)に

個人情報の拡散防止など適正な措置に努めるよう勧告したと発表した。

 

同会によると、岡山大は2008年12月、障害者雇用枠で採用した元職員の同意を得ないまま、

発達障害であることや接する際に配慮を求めるメールを、女性職員に指示して配属予定だった職場の約60人に送信した。

元職員が昨年3月、事前に同意を得ることなく公表されたとして、同会に人権侵犯救済を申し立て。

個人情報の適正な取り扱いを求めた独立行政法人等保有個人情報保護法に反する人権侵犯が生じたと判断した。

勧告は6月25日付。

岡山大人事課は「本人の同意を得ることが必要とまで認識していなかった。

勧告を真摯(しんし)に受け止め、職員の個人情報の取り扱いには十分留意したい」としている。

 

手提げカバンの紛失事故。リスク事例

pmark-anchor 2012年7月5日 木曜日

手提げカバンの紛失事故です。リスクを認識することが個人情報保護です。

 

 

個人情報を含む書類の紛失について

滋賀県 県政eしんぶんより

http://www.pref.shiga.jp/hodo/e-shinbun/ha04/20120629_2.html

 

1.概要

滋賀県高島土木事務所が治水対策検討業務を委託している(株)建設技術研究所の社員が、

個人情報を含む24件の「水源カルテ」の入った手提げカバンをJR湖西線の電車に置き忘れ紛失した。

2.経過

平成24年6月26日、同社社員が土木事務所との協議後、JR湖西線(上り)にて帰社途上、

17時過ぎにJR山科駅で下車した際、手提げカバンを電車の棚に置き忘れたことに気が付いた。

カバンの中には、「水源カルテ」やその他協議用資料が入っており、

JRに忘れ物の問い合わせるとともに到着駅での確認をお願いした。

その後、幾度となくJRに問い合わせたが、該当カバンは見当たらないとのことであった。

6月28日13時30分に同社から連絡を受けた土木事務所は、

同社と共に15時30分から紛失情報に該当する方々に、この事実をお知らせするとともに謝罪した。

 

3.紛失した情報

「水源カルテ」は、安曇川の改修を実施するにあたり、

今後の地下水調査個所を抽出するために県が貸与したもので、

井戸の所有者氏名、住所、電話番号および井戸の位置、用途、構造、使用状況、水質・水位が記載されていた。

医療機関による漏えい事故、報告遅れる、レピュテーション・リスク

pmark-anchor 2012年5月18日 金曜日

(事故の内容)

鹿児島県の川内医師会立市民病院は、患者908人の個人情報や治療情報が保存されたUSBメモリを紛失していたことを明らかにした。

紛失したUSBメモリには、同院のカルテ情報のほか、ほかの病院や施設から返却されたデータが保存されていた。

脳卒中を発症した患者908人の氏名、住所、電話番号、生年月日、発症日、病名のほか、

担当医師や看護師の指名、治療内容、障害の程度などが含まれる。

職員がバックアップのためUSBメモリにデータを保存し、規定の保管場所である引き出しに入れていたが、

施錠していなかった。職員は1月初旬に紛失へ気付いていたが、上長への報告は3月初旬、病院長への報告は

4月18日になったという。同院では警察へ届け出るとともに、対象となる患者への報告と謝罪を行っている。

セキュリティニュースより

http://www.security-next.com/030515

 

(コメント)

USBの紛失事故。職員は1月初旬に紛失へ気付く、

上長への報告は3月初旬、病院長への報告は4月18日。

個人情報の漏えい事故の他、レピュテーション・リスク(顧客の信頼を失うリスク)の顕著な事例です。

保育園職員による個人情報の紛失について考える

pmark-anchor 2012年4月14日 土曜日
事故の内容(荒川区のホームページより)
平成24年4月9日(月曜日)、綾瀬警察署より、荒川区立保育園3園(第二東日暮里保育園、第二南千住保育園、荒川さつき保育園)に通う園児32名の個人情報が記載された新入園児名簿などを、4月6日(金曜日)の拾得物として保管しているため、受け取りにくるよう連絡がありました。
受け取り後、調査した結果、第二東日暮里保育園の担当保育士(派遣職員・女性)が平成24年4月5日(木曜日)夜に新入園児の名簿等を鞄に入れて自宅に持ち帰ったものと判明しました。
この新入園児名簿は、本年7月に開園予定の南千住七丁目保育園に入園する園児32名の名簿でした。(なお、この32名は、4~6月の間、上記3園で保育している園児です。
当該職員は、書類の紛失について、警察署から連絡があるまで気がつきませんでした。
新入園児名簿には、保育園名、氏名、性別、生年月日、アレルギーの有無等が記載されていました。住所及び電話番号、連絡先の記載はありません。

 

事故について考える

書類の持ち出し管理について、実施できていなかったことが最大のポイントであると考える。