情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)改正個人情報保護法のガイドライン案
2)要配慮個人情報と
3)「要配慮個人情報」新設の背景
4)要配慮個人情報の取り扱い上の注意点
1.改正個人情報保護法の動向と今後の取り組みについて(2)
今回の「情報セキュリティトピックス」では、改正個人情報保護法の動向として、「要配慮個人情報」の定義や新設された背景について主に取り上げます。2015年、改正個人情報保護法が成立しましたが、事業者が押さえてくポイントとしては個人情報の定義の明確化、各種規定の整備、罰則の新設、個人情報保護委員会が新設され主務大臣の権限が一元化されることなどが挙げられます。また、「明確化」された個人情報の定義、「要配慮個人情報」や「匿名加工情報」など新設された各種規定についてはよく確認しておくべき項目だと言えます。
なお、改正法における「個人情報の定義」、「個人識別符号」については、情報セキュリティトピックス9月号の情報セキュリティトピックスをご参照ください。
1) 改正個人情報保護法のガイドライン案
まず、改正法の直近の動向として、2016年10月4日、個人情報保護委員会は改正個人情報保護法(以下、「改正法」という)のガイドライン案を公表し、11月2日までパブリックコメント(意見募集)を行いました。ガイドライン案は「通則編(個人情報保護法全体の解釈・事例)」「外国にある第三者への提供編」「第三者提供時の確認・記録義務編」「匿名加工情報編」の4つに分かれています。
改正法は2017年中に全面施行され、監督権限が個人情報保護委員会に一元化されることになります。本ガイドライン案は、これまで省庁や分野ごとにあったガイドラインのうち、全ての分野に共通に適用される汎用的なガイドラインを定めたものになります。
医療や金融、情報通信関連などの分野については、委員会のガイドラインを基礎として、個人情報の性質や利用方法、現行の規律の特殊性などを踏まえて、「さらに必要となる別途の規律を定める方向」としています。
また、ガイドライン案では「しなければならない」「してはならない」と記述している事項については、これらに従わなかった場合は法に違反すると判断される可能性があると説明しています。例えば、個人情報に関わる本人に対して、個人情報の利用目的を明示しなければならない事例として、「本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合」などを列挙しています。
このうち通則編では、個人情報の定義のうち「死者に関する情報」について、「同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報に該当する」と説明しています。また、新たに個人情報に位置づけられた「個人識別符号」については、DNAの塩基の配列や、顔の容貌、指紋などの特徴情報によって「本人を認証することができるようにしたもの」が、個人識別符号に該当するとしています。
2) 要配慮個人情報とは
要配慮個人情報とは、慎重な取り扱いを要する個人情報のことであり、従来、機微な情報とかセンシティブ情報などと呼ばれていたものですが、これまで、法令で必ずしも明確には定義されていなかった情報です。
現行法では、個人情報の取扱いに関するさまざまな規制が、その内容や性質に関係なく一律に取り決められています。改正法では、個人情報のうち本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに配慮を要するものを新たに「要配慮個人情報」として定めています。これらの情報を取得する際には、原則として本人の同意が義務化されるとともに、本人同意を得ない第三者提供の特例であるオプトアウトについても禁止とされました。
なお、要配慮個人情報の内容に関しては、「人種」「信条」「社会的身分」「病歴」「犯罪の経歴」「犯罪により害を被った事実」のほか、別途政令によって明確に定められる予定です。
【定義】
要配慮個人情報とは、本人にとって差別などの不利益を被るおそれがある個人情報であり、次のように3つに分類できます。
- 人の特性に関する情報(人種、信条、社会的身分など)
- 病歴や身体の状況に関する情報
- 犯罪・非行等に関する情報
| 改正個人情報保護法 | 施行令(案)・施行規則(案) |
|---|---|
| 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実 | |
| 本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの | (1)身体障害、知的障害、精神障害(発達障害を含む。)等、心身の機能の障害があること。 ・身体障害者福祉法における身体上の障害 ・知的障害者福祉法における知的障害 ・精神保健及び精神障害者福祉に関する法律における精神障害 ・治療方法が確立していない疾病等による障害の程度が厚生労働大臣が定める程度であるもの |
| (2)本人に対して医師その他医療に関連する職務に従事する者により行われた健康診断その他の検査の結果 (3)健康診断その他の検査の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師その他医療に関連する職務に従事する者により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。 (4)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。 (5)本人を非行少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。 |
3) 「要配慮個人情報」新設の背景
改正前個人情報保護法では、個人情報の定義として「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」とされていました。
特定の個人を識別できる要素となる「氏名」、「生年月日」、「性別」、「住所」の4情報(住民基本台帳ネットワークシステムで保有している情報)は基本的な情報であり、社会生活を送るに当たり自ら他人に開示することも多い情報といえるでしょう。
これに対して、例えば重篤な病気であることや、前科前歴などの情報は、4情報のような比較的他者に開示される情報とは異なり、本人も知られたくない情報と考え大切に扱いますし、その情報を得た他者に対しても大切に扱ってほしいと思うのが通常です。
改正前個人情報保護法下においては、「個人情報」という1つの概念しか設定されておらず、病歴や犯罪歴についても4情報と同様に扱われていました。制定当時の国会審議においても、要配慮個人情報について特別の規定を設けるべきではないかとの議論がありましたが、制定当時は、何が要配慮個人情報に該当するかについてのコンセンサスが得られていない状況であったことなどから、特別のカテゴリーを法として整備することはしなかったとされています。
その他、諸外国の状況としては、要配慮個人情報などについて特別の規定を設けることが一般的になっています。これは、日本において差別の原因となる一定の個人情報について特別に保護する規定が法律上設けられていないことによって、主にEUから個人情報を日本に移転することが制限されてしまい(EUデータ保護指令)、諸外国にある日本企業の支店や海外法人が困難に直面しているという現状があるために、要配慮個人情報の規定を設ける必要性があるということを指しています。このような目的の下、「要配慮個人情報」が憲法の規定や他の規律(外国法令、ガイドライン、条例等)を踏まえて、規定されました。
参考までに、EUから個人情報を域外の第三国に移転する場合、原則として、EUからみて個人情報保護のレベルが十分であると認められた国・地域以外に移転することを禁止しており、これが「十分性認定」と呼ばれています。この十分性認定を行うのは欧州委員会であり、現在、スイス、カナダ、イスラエル、ウルグアイ、ニュージーランド等の国・地域が認定を受けていますが、日本は認定を受けていません。
個人情報保護において、欧州では1995年に個人データの保護に関してEUデータ保護指令が制定され、EU各国がそれに準拠した保護法を制定して情報管理を行ってきました。しかし、時代の変化に応える形で、EUデータ保護指令から新たな法制度への移行させるEUデータ保護規則(GDPR: Generaral Date Protection Regulatin、EU一般データ保護規則とも表記される。 以下「GDPR」という)が2016年4月14日に欧州議会の最終承認を得ました。そしてこのGDPRは同年5月4日にEU官報に掲載され、5月24日より法律として効力を有しています。
GDPRと関連して、グローバル企業ではデータの保管場所や処理により、該当するルールに則っているかどうか確認しておく必要があります。EUから日本へデータを移転するとなると、現状でもGDPR適用後でも企業には重い負担が課せられており、これが解決できるかどうかの鍵となるのが十分性認定です。もし日本がEUから十分性認定を取得することができれば、企業の負担は軽くなりますが、しかし現時点では取得の見通しは立っていないのが現状です。十分性の要件としては、(1)目的制限原則、(2)データの質及び均衡の原則、(3)透明性の原則、(4)安全性の原則、(5)アクセス・訂正・異議申立の権利、(6)転送の制限、(7)センシティブ・データ、(8)ダイレクト・ マーケティング、(9)個人に関する自動的決定などの項目が挙げられます。つまり、法令順守の十分な水準の確保、データの本人に対する支援と援助の提供、適切な救済の実施(外部監督の制度)が基準として求められているということです。各要件の詳細については、別の機会にレポートしたいと思います。
2018年5月施行予定のEUデータ保護規則にも特別のカテゴリーに関する個人情報の取り扱いのルールが規定されており、以下の表の通り、「性生活」などについても、センシティブ情報であることを明記しています。例えば、性同一性障害は医療における診断・治療行為であり、「病歴や身体の状況に関する情報」です。一方、いわゆるLGBT(レズビアン:女性同性愛者、ゲイ:男性同性愛者、バイセクシュアル:両性愛者、トランスジェンダー:出生時に診断された性と自認する性の不一致、の4つのカテゴリーの頭文字をとった総称)に関する情報については、特段の法律もなく、現段階では法令上の要配慮情報には直接該当しないと考えられますが、両者の区別や、対象の方へのプライバシー配慮は必須であり、実務上の取り扱いには十分に注意する必要があります。
EUデータ保護規則 第9条( 特別な種類の個人データの取扱い)
第1項 人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格に関する個人データの取扱い、および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的嗜好に関するデータの取扱いは禁止する。
4) 要配慮個人情報の取り扱い上の注意点
改正法では、要配慮個人情報の取得は、特別に認められた場合を除いて原則禁止としています。また、事前に本人の同意が必要と規定しました。したがって、業務遂行上、最低限の要配慮個人情報のみ取り扱うようにすることがまず重要であり、取り扱う場合は本人の事前同意を得なければなりません。
しかし、「病歴や身体の状況に関する情報」に関しては、通常、行っている健康診断などにおいては、今までの取り扱いと実務上異なることはないため、それほど神経質になる必要はなく、これは、医療現場における無用な混乱等を招かないような配慮がなされたものだと考えられます。
2016年8月、個人情報保護委員会が公表した「個人情報の保護に関する法律施行令の一部を改正する政令(案)」(以下、「政令」という)では、要配慮個人情報は以下のように定義されました(政令案の骨子より)。
【政令(案)第2条(要配慮個人情報)】
- 要配慮個人情報に加えるものは、次に掲げる事項のいずれかを内容とする記述等を含む個人情報とする。
- ア)身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
- イ)本人に対して医師その他医療に関連する職務に従事する者により行われた健康診断その他の検査の結果
- ウ)健康診断その他の検査の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師その他医療に関連する職務に従事する者により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
- エ)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
- オ)本人を非行少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
- ア)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- イ)委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受けるとき
要配慮個人情報を本人の同意なく取得することができる場合に加えるものは、 次に掲げる場合とする。
改正法では、要配慮個人情報の1つとして病歴が上げられています。病歴に関係する規定は、(ア)~(ウ)ですが、(ア)は「個人情報保護委員会規則」第5条で関係する法令が明確にされました(身体障害者福祉法等)。(イ)は検査の結果、(ウ)は診療行為そのものです。政令が出る前は、検査結果は病歴に含まれないとう解釈も存在しましたが、要配慮個人情報に含まれることが明確になりました。
従って、医療機関等は、診療に当たって患者等から診療に係る情報の取得に際して同意を得る必要があると考えられます。ただし、政令第2条第2項(イ)で、委託や共同利用による提供は除外されましたので、地域包括ケアや健診機関が患者等から同意を得ることは必須ではないと言えます。
また、政令案では、要配慮個人情報に心身の障害、健康診断結果、医師の診療や投薬情報、逮捕や捜索などの刑事手続きが含まれるとしています。
また、2016年10月に公開された個人情報保護ガイドライン案(通則編)では、要配慮個人情報の収集や提供について、法令に基づく場合、人の生命・身体などの保護のためやむを得ないケースなど、本人同意が不要な例を規定しています。
▼個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」
- 会社で行う健康診断によって社員の身体状況や病状を取得する場合(根拠:労働安全衛生法に基づく)
- 急病などの事態が生じたとき、本人の病歴等を医療機関へ通知する場合(根拠:人の生命などの保護)
- 事業者間において、不正対策のため、暴力団等の犯罪履歴などの情報を共有する場合(根拠:法人の権利利益の保護)
以上のような例外も許容されていることから、実務において、本人同意を得て、要配慮個人情報を取得するケースは稀だと考えられます。ただ、例えば、企業における反社会的勢力チェックの実務では、詐欺等の一般事件の犯歴情報もあわせて収集されるケースもあります。近年、警察の判断で犯罪被害者の氏名などの公表を控える傾向が強まっていますが、事件の再発防止や真実の解明などのため、社会にとって必要な情報はあります。例えば、犯罪被害歴全般を、他の項目と同列に位置づける必要があるのか、さらに精査すべきだといえます。そもそも報道機関が報道目的で情報を取得する限り、法の適用が除外される「要配慮個人情報」であっても同様であり、その根底にあるのは、情報は社会の公共財という考え方もあるということです。
例えば、最近認められるような判例も増えてきた「忘れられる権利」は、利用目的を達成して用済みになった個人データや、本人が利用の許諾(同意)を撤回した個人データについて、その削除を管理者に求める権利、また児童がリスクを認識せずに提供した個人データについては、たとえ同意があったとしても、以後の拡散を管理者に停止させる権利をいいます。
この「忘れられる権利」のルーツは、「犯罪を犯した人物が罪を償ったあとにも犯罪歴を公開され続けることは社会復帰を困難にするため避けるべきである」という考えからフランス法で認められている「忘却の権利」にあるとされます。犯罪歴はもちろん、それ以外にも個人に関する過去の情報で公開され続けることを望まない情報はあるもので、インターネット上にアップロードされたこれらの情報が半永久的に公開され続けることは個人のプライバシー権を侵害するものとして、保障する必要性が主張されたのが「忘れられる権利」というわけです。
罪を犯し刑務所に入った人物が、その刑期を終え、出所する場合に、忘れられる権利が適用されるのか、また、その対象が公人の場合、国民の知る権利から忘れられる権利が認められるのかという適用範囲についても今後検討する必要があります。(犯罪行為は事実でも、既に償われた場合は削除すべきだとする考えもあれば、罪の重さや常習性を加味して判断は変わるとする考えもあります。)
以上のとおり、要配慮個人情報について、法令は改正されましたが、通常の取り扱いに関しては、これまで通り適切に管理していればそれほど相違すべき事項はないと考えます。要配慮個人情報の定義は、今後とも適宜見直しが行われる可能性がありますし、これまでのガイドラインは約3年で見直しが行われています。今後においても、改正された点、特に行ってはならないことについては事前の正しく理解したうえで、業務上の留意事項などを整理しておくことが重要です。
2.最近のトピックス
◆フィッシング対策協議会「2016/10 フィッシング報告状況」
11月1日、フィッシング対策協議会は、2016年10月の月次報告書を公開しました。
本報告書によると、フィッシング報告件数は126件で、前月の417件より291件減少しています。また、フィッシングサイトのURL件数は236件で、前月より348件減少しています。そして、フィッシングに悪用されたブランド件数は15件で、こちらも前月より10件減少した結果となっています。
10月にフィッシングの報告件数が大幅に減少した要因として、同協議会は、金融機関をかたるフィッシングの報告件数が8月に比べ約10分の1にまで減少していることと、報告件数の約半分を占めているオンラインゲームをかたるフィッシングについても、前月比で約半分に減少したことを挙げています。
一方で、10月はLINEをかたるフィッシングサイトが見つかっており、スマホアプリの利用者をターゲットにしたフィッシングが今後も発生する可能性が高いと同協議会では注意喚起しています。
1.フィッシング被害を防ぐためのポイント
フィッシング詐欺は、アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになりました。フィッシング(Phishing)とは、銀行やクレジットカード会社といった金融機関をはじめ、信用ある会社等を装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことです。「Phishing」は、そもそもの「釣り」(Fishing)の意に加え、「ユーザーを釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」に由来しています。
最近では、オンラインバンキングの暗証番号が盗まれ、第三者(犯罪者)の口座に不正送金される被害が多発しています。また、様々なインターネットサービスのアカウント情報が盗まれ、「なりすまし」によりインターネットへの不正な投稿やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。
典型的なフィッシングの手口は以下のようなものです。
メールが送られてきて、偽サイトへ誘導される
- 金融機関やカード会社など信用ある企業を名乗る偽装メール(フィッシングメール)が送られてくる。
- メールには、「ユーザーアカウントの有効期限が近づいています」「新規サービスへの移行のため、登録内容の再入力をお願いします」などといった、もっともらしい理由が書かれている。
- メールに記載されたURL等をクリックするように仕向け、ユーザーを偽サイト(フィッシングサイト)に誘導する。
ID・パスワードなどの個人情報を入力させられる
- リンク先のフィッシングサイトは本物そっくりに作られており、ログイン画面が表示されIDやパスワード等の個人情報を入力するよう促す仕組みになっている。
- ユーザーはフィッシングサイトの外見から偽物であることを見分けることは困難で、うっかりクレジットカード番号やID・パスワードなどを入力してしまう可能性がある。
フィッシングの中には、本物のWebサイトと類似するドメインを利用して、ユーザーを騙そうとする手口もあります。一文字違っていたり(例:「yahoo」→「yafoo」)、繰り返し出現する文字が異なったり(例:「google」→「gooogle」)するドメインを悪用します。この手のフィッシングは、ユーザーが直接URLを入力するときの「タイプミス」を狙ってフィッシングサイトへ誘導する手口から「タイポスクワッティング」と呼ばれています。メール以外でもフィッシングの被害に遭う可能性があるので注意が必要です。
2) 心構えと具体的な対策
フィッシングの被害を未然に防ぐためのポイントは以下の4点です。
▼フィッシング対策協議会「利用者向けフィッシング詐欺対策ガイドライン」
メールの取扱いに注意
- まず、個人情報の入力を求めるメールは疑ってかかることです。特に、金融機関がメールでパスワード等の入力を促すことはないため、十分注意する必要があります。
- また、リンク先で個人情報の入力を求められた場合には、電話等でサービス事業者に真偽を確認しましょう。この際、電話番号は当該メールに記載されたものではなく、例えば、金融機関であればキャッシュカード等の券面に記載されたものを使うようにしてください。
- メールに記載される差出人名称は簡単に偽装できるので安易に信用しないにしましょう。
- メールに記載されたURLは安易にクリックしないしましょう。
Webサイトの目視確認
- アクセスしたサイトが本物かどうか「アドレスバー」のドメイン名を目視確認しましょう。
- 重要な情報の入力を促すサイトは、「SSL」を用いていることが多いため、Webブラウザーに表示される「錠前」マークの確認と、エラーが表示されていないことを目視確認しましょう。
- EV SSLに対応しているサイトはアドレスバー上で組織名が緑色で表示されるため、サイト運営者が組織名として表示されていることを目視確認しましょう。
パソコンを安全に保つ
- OSやアプリケーションソフトは最新の状態を保ち、セキュリティパッチを確実に適用して脆弱性を解消することが重要です。
- また、最新版のセキュリティソフトを利用し、ウィルス定義ファイルを最新の状態に保つことが重要です。
- その他、最新のWebブラウザーの中には、フィッシング詐欺やマルウェアが埋め込まれた攻撃サイトとして報告されているサイトを開いてしまった場合に警告を表示する機能が組み込まれているため、こうした機能を活用しましょう。
- セキュリティソフトなどに備わる「URLフィルタリング」(好ましくないWebサイトのアクセスを制限したり、特定のWebサイトのみ閲覧できるようにするソフトウェアや機能のこと)を活用しましょう。
アカウント情報の管理
- IDやパスワードの設定、管理は厳重に行いましょう。パスワードの文字列は大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定するようにしましょう。
- サービス事業者が2要素認証などのアカウント認証を強化する機能を提供しているときは、これを利用しましょう。
- 複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できる「パスワード管理ソフト」を利用する方法もあります。
以上のポイントを踏まえ、継続的にフィッシング対策を行うことが大切です。また、不審なメールを受け取った、あるいは正規サイトに重要情報を入力した際に、期待した手続き画面に進まなかったなど、不審な現象が起きた場合には、被害を最小限に抑え、二次被害を防止するために、すみやかにサービス事業者や警察、各地の消費生活センターといった関係機関等に報告・相談を行うことが推奨されます。
◆金融庁「金融業界横断的なサイバーセキュリティ演習(Delta Wall)」
金融庁は10月20日、巧妙化する金融分野のサイバー攻撃に備え、金融業界の横断的な演習を実施しています。大手行や地銀、保険、証券など全国77の民間金融機関、中小の地域金融機関も多数参加し、業界全体でセキュリティーの底上げを図ることが目的とされています。金融機関同士がサイバー攻撃の情報や手口を共有する民間団体「金融ISAC(アイザック)」が横断的な演習を行っていますが、金融庁が主催するのは初めてで、今後も継続的に実施するとしています。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。そのためには、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
演習の特徴
- 民間コンサル等の演習を利用しにくい中小地域金融機関が多数参加
- 多くの関係部署(経営層、システム部門、広報、企画部門等)が参加できるよう、自職場参加方式で実施(⇔会場集合方式)
- 民間の専門家の知見や攻撃の実例分析等を参考にしつつ、金融機関が陥りやすい弱点が浮き彫りとなり、参加者に「気づき」を与えることが可能な内容
- 参加金融機関が「つつがなく演習をクリア」したことで良しとしないよう、「とり得た他の選択肢」等を提示するなど事後評価に力点
- 本演習の結果は、参加金融機関以外にも業界全体にフィードバック
シナリオの一例
- 自社ウェブサイトを閲覧した者からウィルスに感染したとの苦情
- 自社ウェブサイトに、ウィルスが仕込まれていることが発覚
- 顧客・マスコミからの問合せ
- ウェブサイトの復旧の準備が完了
◆警察庁「平成28年上半期におけるコミュニティサイト等に起因する事犯の現状と対策について」
警察庁は10月20日、「平成28年上半期におけるコミュニティサイト等に起因する事犯の現状と対策について」を公表しました。コミュニティサイトによる事件の被害児童は889人で、過去最多の被害児童数となった。統計を開始した平成20年以降、増加傾向が続いています。
出会い系サイトによる事件の被害児童数は22人で、平成20年に出会い系サイト規制法の改正が行われ被害児童数が減少傾向にある中で、事業者による年齢確認や書き込み内容の確認強化などの取組みによりさらに減少しています。
「青少年保護育成条例違反」39.1%や「児童ポルノ」30.1%の被害児童が多く、面識のない利用者同士がチャットにより交流する「チャット系」や、広く情報発信や同時に複数の友人などと交流する際に利用する「複数交流系」、LINEやカカオトーク、スカイプなどで、IDなどを交換することにより交流する「ID、QRコード交換系」のサイトでの被害が多い結果となっています。
被害児童が被疑者と会った理由は「金品目的」が32.9%、「性的関係目的」10.3%と援助交際に関連する理由が4割以上を占めた。また「交遊目的」17.0%や、「優しかった、相談にのってくれた」19.7%も多い結果となっています。
警察庁は今後の対策として、「コミュニティサイト対策」「出会い系サイト対策」「補導活動および取締りの推進」の3つを掲げ、事業者による自主的な児童被害防止対策の強化や、悪質な出会い系サイト事業者に対する取締りの徹底、サイバー補導および福祉犯事件の取締りのさらなる推進などを行うとしています。
◆国民生活センター「60歳以上の消費者トラブル110番」実施結果
国民生活センターは10月8日、60歳代を中心としたシニア層から、インターネットを利用したコンテンツの料金請求に関するトラブルやインターネット通販に関する相談が多く寄せられているとして注意を呼びかけました。
国民生活センターによると、全国の消費生活センター等に寄せられる相談のうち、契約当事者が60歳以上である相談の割合は2011年度以降、毎年3割を超過しており、2015年度(約34%)は、5年前の2010年度(約29%)の約1.2倍となっています。
【事例1】
無料だと思いアダルトサイト動画を見たら登録になってしまい支払ったが、さらに請求されそうだ
【事例2】
パソコンの修理を依頼したら不要な会員サービスやスマートフォンの契約をさせられた。違約金に納得できない
【事例3】
大手電話会社を名乗り、光回線を転用するよう電話で勧誘を受けて契約したが、説明が虚偽であったことが分かった。解約できるか
【事例4】
チラシを見て、足裏サポーターを電話で申し込んだ。効果がないので返品したいと申し出たら、断られた。返品できないのか
【事例5】
1年前に新聞広告を見て、クリニックで目の下のふくらみを取る治療を受けたが、1年待ったのに全く効果がない。返金してほしい
【消費者へのアドバイス】
同センターは、60歳以上の消費者に対し、インターネットのトラブルについて対処法などの情報収集を積極的にすることや、自分だけで判断せず、すぐに周囲の人や最寄りの消費生活センターに相談することをアドバイスしています。
また、シニアの消費生活や通信利用状況には大きな個人差があるとして、60歳以上の消費者の周囲の人に向け、生活や言動、態度等の変化に気付いたら本人に声をかけることや、トラブルや被害にあっているとわかったらすぐに消費生活センター等に相談することを呼び掛けています。
相談したいときは、消費者ホットライン:局番なしの188(いやや)に電話すると、住んでいる市区町村や都道府県の消費生活センター等を案内してもらえます。
また、同センターでは「今、どんな手口で勧誘が行われているのか」「どんな製品事故が発生したのか」などを知らせる、高齢者と障がい者を対象にしたメールマガジン「見守り新鮮情報」を配信しています。同じ内容のリーフレット版もあり、こちらはイラスト入りで大きな活字が使われているため、小さな字を読むのがおっくうになった方でも目を通しやすくなっています。
◆警察庁「平成28年上半期におけるインターネットバンキングに係る不正送金事犯の発生状況等について」
2016年9月8日、警察庁は、「平成28年上半期におけるインターネットバンキングに係る 不正送金事犯の発生状況等について」を公開しました。この報告によると、今年の上半期は昨年の下半期と比較して、被害の発生件数は上回ったものの被害額は減少しており、都市銀行等の被害額は、法人口座で減少、個人口座で増加しているとのことです。また、電子証明書を使用している法人口座での被害はなかったとのことです。
フィッシング詐欺もネットバンキングを狙うウィルスも、攻撃の起点としてメールが悪用されることが多くあります。「利用中の金融機関から届いたメールだから」「普段利用している配達業者からの不在通知メールだから」といった理由で安易に信用するのではなく、常に詐欺の可能性を疑ってメールの内容を慎重に確認するようにしましょう。特にメールの中に書かれたURLを辿った結果、パスワードや個人情報の入力を求められる場合や添付ファイルの付いたメールには要注意です。真偽が確認できない場合は、情報を入力したり、添付ファイルを開いたりする前に電話など別の手段で確認を取るようにしましょう。
意識をしていても、判断に迷ったり、気付けなかったりする場合もあります。パソコンには必ずセキュリティソフトを入れて最新の状態で利用しましょう。迷惑メールや、詐欺サイト、ウイルスを検知・ブロックしてくれます。
多くの機関でこのようなサイバー犯罪の脅威に対し、常に最新の注意喚起が行なわれており、個別の対策を提供している機関もあります。ご利用の銀行口座などの取引状況をこまめに確認し、不正送金が行われていないかを確認することも被害を最小化する上で重要なポイントです。いたずらに心配する必要はありませんが、日常での金銭のやりとり同様に、ネット上での金銭にかかわる情報のやりとりは、常に慎重に行うよう心がけることが重要です。
3.最近の個人情報漏えい事故(2016年9月、10月)
下記の表は、今年9月と10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | 書類紛失 | 自転車の防犯登録者111人分の住所や氏名などが記載 | |
| 2 | 地方銀行 | 書類紛失 | 5支店で約47000件の紛失が判明したもので、書類には、顧客の氏名や住所など | 誤廃棄の可能性 |
| 3 | 医療事業団 | 盗難 | 医師約750人の氏名や携帯番号などが含まれた名簿 | 職員が打合せのために持ち出したところ、バイクに乗った2人組に鞄ごと盗まれた |
| 4 | 県立高校 | 書類紛失 | 答案用紙14枚 | 誤廃棄の可能性 |
| 5 | 市立中学校 | 書類紛失 | 期末テストの答案用紙51枚 | 誤廃棄の可能性 |
| 6 | 生活共同組合 | メール誤送信 | メールアドレス475件 | 誤ってToに設定 |
| 7 | ドラッグストア | 書類紛失 | 顧客205人の氏名や住所などを含む化粧品台帳 | 誤廃棄の可能性 |
| 8 | 人材派遣事業 | メール誤送信 | 派遣サービスに登録している約1200人の氏名やメールアドレス | 添付ファイルの誤添付 |
| 9 | メーカー | パソコン紛失 | 顧客約370人の氏名や勤務先、メールアドレスなど | 帰宅途中の電車内に置き忘れ |
| 10 | 家具 | メール誤送信 | メールアドレス106件 | 誤ってToに設定 |
| 11 | 市立小学校 | ノート紛失 | 児童37人の氏名や学年、クラス、成績などを含むノート | 教諭が帰宅途中に美容室に立ち寄った際、自転車のかごに入れていたバッグを持ち去られた |
| 12 | 電力会社 | 携帯電話紛失 | 顧客50人の氏名や会社名など | 会社から貸与されていた携帯電話1台で、同従業員が業務終了後に鞄に入れて帰宅し、その後の所在がわからなくなった |
| 13 | 医療法人 | 携帯電話紛失 | 取引先企業の担当者約200人の氏名と電話番号 | 職員が営業活動中に業務用の携帯電話を紛失 |
| 14 | 市立図書館 | ノートパソコン紛失 | 図書館利用者約19万人の氏名や電話番号など | 館内の作業室で保管していたノートパソコンで、盗難の可能性があるとして警察にも被害届を提出 |
| 15 | 区 | メール誤送信 | メールアドレス77件 | メールマガジンを誤ってToで送信 |
| 16 | 市 | ハードディスク紛失 | 市民や契約した工事関係者ら約1万7千件の氏名や住所など | 職員が帰宅途中に飲食店で飲酒後、駅のベンチで約2時間居眠りをし、鞄に入っていたハードディスクと財布を盗まれた |
| 17 | 特別支援学校 | USBメモリ紛失 | 小学部児童5人分の氏名や通知表などの情報 | 教諭が帰宅中に寄ったスーパーの駐車場にて、車上荒らしに合い、USBメモリが入ったカバンを盗まれた |
| 18 | 私立大学 | メール誤送信 | 学生の氏名や学籍番号、所属研究室など | ファイルの誤添付 |
| 19 | 新聞社 | 書類紛失 | 顧客約4900人の氏名や住所、電話番号など | 誤廃棄の可能性 |
| 20 | 国立大学 | 書類紛失 | 学生の氏名や学籍番号など | 教授が自宅で作業するため、試験の答案用紙と出欠表をバックに入れて持ち帰り、途中立ち寄りなどをしたところ、翌日にバックの紛失に気付いた |
| 21 | 市 | メール誤送信 | メールアドレス7500件 | 誤ってToで送信 |
| 22 | 運輸局 | 誤廃棄 | 自動車検査に関わる行政文書約500件 | |
| 23 | 信用金庫 | 書類紛失 | 振込依頼人および振込受取人合わせて464人分の氏名や住所、電話番号、口座番号など | 誤廃棄の可能性 |
| 24 | 市立小学校 | ノート紛失 | 児童の氏名や成績、学級活動など | |
| 25 | 市 | 書類紛失 | 要援護者199人分の氏名や住所、生年月日、性別のほか、身体状態等 | 誤廃棄の可能性 |
| 26 | 府立高校 | 書類紛失 | 氏名や住所、電話番号、健康上の留意事項のほか、パスポートの写しやEsta認証書の写しなど | |
| 27 | ECサイト | 不正アクセス | 顧客の個人情報。クレジットカードの名義、カード番号、有効期限のほか、住所、電話番号、メールアドレスなど | |
| 28 | 政府 | メール誤送信 | メールアドレス35件 | 誤ってToに設定 |
| 29 | 市 | 誤表示 | 指定管理施設に関わる個人情報907件と、スキー大会やイベントに関わる個人情報519件のあわせて1426件 | サーバーの不備 |
| 30 | 人材協会 | 誤表示 | セミナーへ申し込みを行ったのべ17件の情報が誤表示された可能性があるという。氏名や住所、電話番号など | 申し込みフォームの設定不備 |
| 31 | ガス | メール誤送信 | メールアドレス143件 | 誤ってToに設定 |
| 32 | 印刷通販 | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードのほか、住所や電話番号、メールアドレス1万4627件 | |
| 33 | データセンター | 不正アクセス | ||
| 34 | 歯科医院経営 | 不正アクセス | クレジットカードで購入した顧客の個人情報で最大705件。クレジットカードの名義や番号、有効期限のほか、住所とメールアドレス705件 | |
| 35 | ネット | 不正アクセス | 5億件のアカウント情報 | |
| 36 | 健康食品 | 申込書紛失 | 顧客145人分の氏名や住所、電話番号、生年月日、メールアドレスなど | |
| 37 | サッカークラブ | メール誤送信 | メールアドレス1214件 | 誤ってToに設定 |
| 38 | 総合医療センター | デジタルカメラ紛失 | 患者52人分の顔や患部のほか、一部患者に関する電子カルテなどの情報など | |
| 39 | 大学付属病院 | SDカード紛失 | カードの使用期間中に入院していた患者41人をはじめ、最大で138人分の情報が保存されており、患者の氏名のほか、顔や口腔内、手術中の写真が含まれる | |
| 40 | 通販サイト | 不正アクセス | 商品を購入した顧客の個人情報861件が外部へ流出した可能性がある。氏名や住所、電話番号、購入履歴、届け先のほか、529人に関しては番号や有効期限などクレジットカード情報 | |
| 41 | ネット通販 | 不正アクセス | 利用した顧客の個人情報3万8313件で、流出した個人情報には、氏名や住所、電話番号、メールアドレスにくわえ、番号や有効期限、名義といったクレジットカード情報が含まれる | |
| 42 | JA | 書類紛失 | 「入金、払戻伝票」と「振込、口座開設依頼書」などの伝票2万2732件。顧客によって記載の内容は異なるが、氏名や住所、口座番号、取引金額、印影などが含まれる | 誤廃棄の可能性 |
| 43 | 水道局 | 書類紛失 | 水道メーター取替伝票45件で、顧客の氏名と住所 | 委託先が紛失 |
| 44 | 支援学校 | 書類紛失 | 修学旅行の教員用資料で、生徒44人の氏名のほか、教員が担当する生徒6人の保護者の緊急連絡先、3人の服薬情報など | |
| 45 | 私立大学 | フィッシング詐欺 | 学生や卒業生の個人情報1466人分 | |
| 46 | 住宅ローン | 不正アクセス | 顧客の個人情報を含むメール | |
| 47 | 市 | メール誤送信 | メールアドレス156件 | 誤ってToで送信 |
| 48 | 財団 | メール誤送信 | 189人のメールアドレス | 誤ってToで送信 |
| 49 | 大学病院 | 医療機器紛失 | 病棟に入院していた患者104人分の個人情報が保存されており、氏名やIDのほか、77人に関しては測定日時、血糖値など | 誤ってToで送信 |
| 50 | 県 | 不正アクセス | 第三者委員会による検証結果を公表 |
「50」は、今年6月に発生した、佐賀県の県立学校教育ネットワークに対する不正アクセスの事案です。本件、流出したファイルは約15万3000ファイルで、1万4355人分の個人情報が含まれていたとしています。本件、当時17歳の少年が、不正アクセス禁止法違反容疑で逮捕されています。佐賀県教育委員会では、同事件を受けて情報セキュリティの観点から検証を実施するとともに、再発防止に向けて第三者委員会「佐賀県学校教育ネットワークセキュリティ対策検討委員会」を8月に設置し、同委員会では、3回の会合を経て、事件の検証結果とともに提言を公表しました。
▼佐賀県教育委員会「佐賀県学校教育ネットワークセキュリティ対策検討委員会 提言書」
なお、今回まとめられた提言では、同事件は、高度な技術を使用した攻撃ではなく、人間の心理的弱さや行動におけるミスに起因したものと分析しています。また、県教委などの組織体制に対し、セキュリティの情報を共有したり人為的ミスを報告するルールを確立したりする「セキュリティ文化」の醸成が必要不可欠と指摘しています。
その他、運用面では、昨年6月に不正アクセスを受けたにもかかわらず、限られた関係者だけで対応したことを特に問題視しており、「セキュリティ侵害に対する知見不足が事案を矮小(わいしょう)化させ、情報共有がなされなかった」としています。その他、管理者権限のIDやパスワードが生徒もアクセスできる領域に保存されていた状況も「重要情報に関するリスクへの知見不足」としています。
要点としては、被疑者の少年はハッカーとしての技術的・知識的レベルは決して高くないものだったということです。(いまどきの一般的な情報を持っていれば可能、誰もができた)
一方、佐賀県の管理体制はかなり杜撰であり、OSやアプリのアップデートもせずに放置していたという実態が明らかになっています。
皮肉にも佐賀県は早くから県全体でICT教育に取り組んできており、先進的な取組みに注目が集まっていました。情報化だけを急ぎすぎて、リスクをどう認識していたのかが問われます。教育や事務処理の効率性を追求することも重要ですが、教員や事務職員の知識や技術が欠けていたことも問題となります。
また、本事案の被疑者は17歳の少年です。子どもたちへの技術的な教育も推進すべき項目ですが、それとあわせモラルやリテラシー、倫理や法制度の教育、危機管理やリスクセンスの醸成といった教育も不可欠であると言えます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
