情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)匿名加工情報
2)匿名加工情報の取り扱いルール
3)匿名加工情報の適正な活用に向けて
1.改正個人情報保護法の動向と今後の取り組みについて
昨年の12月20日、政府は改正個人情報保護法の全面施行を2017年5月30日とする政令を閣議決定しました。
これまで施行時期は「2017年春頃」と説明されていましたが、法令上設定できる中で最も遅い日としており、これは、これまで適用対象外だった全国の小規模事業者も含むため、広く周知する準備期間が必要だと判断したものとされています。
今回の「情報セキュリティトピックス」では、改正個人情報保護法における重要なキーワードとして「匿名加工情報」を主に取り上げます。
これは個人が特定されないようにデータを加工し、なおかつ復元もできないデータのことで、本人の同意がなくとも利用できるとされています。例えば、IoT(Internet of Things)における機器が収集したセンサーデータを匿名加工情報にすることで、その活用法は大きく広がると考えられます。企業は匿名加工データの活用によって、利用者の嗜好性をより詳細に、リアルタイムで把握し、良質なサービスやコンテンツを提供できるようになります。IoT機器のセンサーによって収集されたデータと連携すれば、「ある属性をもつ匿名の誰か」がどのような行動をとるのか、何を求めているのかを具体的に知ることが可能になります。ただし、匿名加工情報は個人情報保護委員会のルールにのっとってデータを加工する必要があるほか、他社提供時の公表義務、堅牢なセキュリティを確保しなければならないなどの制約・課題もあります。
IoTが収集するデータには、個人の行動履歴を中心としたパーソナルデータが多く存在します。これらのデータはそれ自体もプライバシー性が高いほか、外部情報との照合等により個人を特定する可能性が高いものです。IoTの進展により、身の回りのセンサーの数が飛躍的に増大し、本人が十分に認識しないままにセンシング(識別・測定)され、データを取得される可能性があり、個別にデータ取得を回避することも困難になるというリスクも持ち合わせています。IoTにはデータの対象者、所有者、分析者、分析結果の利用者、機器の設置者等、多くの利害関係者(マルチステークホルダー)が存在し、IoTのデータの特性や関係者の存在を考慮して、管理面の検討を進める必要があるということになります。
1) 匿名加工情報
今回の法改正では、データ利活用を促進することを目的に「匿名加工情報」についての規定が新設されました。匿名加工情報とは、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないような形にしたもので、これについては目的外利用や第三者提供の際の本人同意を不要とし、自由な利活用が可能となっており、これによりデータ利活用ビジネスの活性化が期待されるとされています。匿名加工方法の基準については、個人情報保護委員会が必要最低限の規則を定めており、多種多様な事業分野、多岐にわたる個人情報すべてに適用されるものを示しています。
今回の改正にあたって、匿名加工情報の取扱について参考にされたのが、米国連邦取引委員会(FTC)が報告書(Federal Trade Commission,”Protecting Consuer Privacy in an Era of Rapid Change”.March 2012)に記載した、匿名化に関する3要件です。これは、「FTC匿名化3要件」と呼ばれています。
- 要件1:企業はデータの匿名化を確保する合理的な手段を講じなければならない。
- 要件2:企業は、データを匿名化状態で管理・利用し、データの再識別化を試みないことを公的に約束しなければならない。
- 要件3:企業がそのような匿名化データを他の会社等に提供する場合には、それがサービスプロバイダであるか他の再識別化を試みることを、契約によって禁止すべきである。
この3要件では、再識別が完全に不可能になるような匿名加工ではなく、「匿名化を確保するための合理的な手段」(要件1)をとったうえで、その管理及び第三者提供にあたって再識別をせず(要件2)、提供先にもさせない(要件3)ことを求めています。
FTC匿名化3要件は、会社等が公的に宣言し、かつ提供先を契約で縛ることにより、再識別禁止の実効性を確保するものです。米国では、公的な宣言に反して再識別を行った場合には、FTC法第5条(不公正な競争方法及び不公正・欺瞞的な行為・慣行の禁止)に基づくFTCによる提訴の対象となります。これにより、公的な宣言等に実効性を持たせているわけですが、日本においてFTC法5条と同様の規定はありませんので、これに代えて、改正個人情報保護法が、法定の義務として再識別の禁止を規定したといえます。これは、FTC匿名化3要件の目的を別の方法で実現したものと評価でき、国際的な潮流にも合致したものだと考えられます。
企業活動のグローバル化に伴って、国境を越えた情報の流通が容易になり、世界的に個人情報やプライバシー保護に関する法整備が進んでおり(OECDプライバシーガイドラインの改正や米国プライバシー権利章典公表、EU個人データ保護規則改正案可決など)、日本でも、この動きに対応して制度の国際的調和を図る必要性が指摘されています。これまでEUは「EUデータ保護指令(95/46/EC)」を定めていましたが、その実態は国によって大きく異なっていたため、これを統一するとともに保護法の範囲を拡張、個人の権利の強化や企業への説明責任の導入、制裁と執行の増大を目的に一般データ保護規則(General Data Protection Regulation:GDPR)に移行するということになっています。(2018年から適用が開始される予定。)
ただ、改正個人情報保護法における匿名加工情報とEUのルールとの関係では、データ保護指令やGDPR規則案には匿名加工情報に該当する概念がありません。
改正法における匿名加工情報は、「匿名」とされていますが、その実態は「特定することを低減するもの」であり、厳密にはEUの匿名化情報と同一ではありません。規則案に照らし合わせると「仮名化データ(pseudonymous data)」が、それに該当するものであり、EUでは仮名化データは個人情報の一種とされています。これは、改正法における匿名加工情報の解釈や実態がEUからデータ移転のための十分性認定を受ける場合のネックになる可能性があることを指しています。例えば、匿名加工情報の第三者提供をする際には日本では不要な本人同意をEUでは取る必要がでてくるということであり、引き続き動向については各国のルールとあわせて注視が必要です。海外へのデータ移転については、次回の「情報セキュリティトピックス」で取り上げたいと思います。 以下の表は、改正個人情報保護法とEUデータ保護規則、米国消費者プライバシー権利章典法を比較したものです。
▼一般財団法人日本情報経済社会推進協会「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」
▼首相官邸「個人データ保護に関する最近の主な国際動向(1)」
【各国のルールの主な違い】
| 改正個人情報保護法 (2015年9月) |
EUデータ保護規則案欧州連合理事会案 (2015年6月) |
米国消費者プライバシー権利章典法案 (2015年2月) |
|
|---|---|---|---|
| 匿名加工情報(またはそれ相応のデータ)の定義 |
※「匿名加工情報」は個人情報ではない。 ●第2条(定義) 第9項 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。 一 第1項第一号に該当する個人情報: 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第1項第二号に該当する個人情報: 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 |
※「匿名データ」は個人データではなく、EUデータ保護規則が適用されない。 ※より匿名加工情報に近い「仮名化データ」は個人データとみなされ、EUデータ保護規則が適用される。 【匿名データ】 ●前文23・・データ保護の諸原則は、匿名データ(anonymous data)には適用されるべきでない。匿名データとは、識別された自然人若しくは識別可能な自然人とは関係しない情報のこと、又はデータ主体がもはや識別可能でない仕方で匿名化されたデータのことである。それ故、本規則は、統計・研究目的での処理を含め、このような匿名データの処理には関与しない。 【仮名化データ】 ●第4条(定義) (3b)「仮名化(pseudonymisation)」とは、以下のような条件において、追加情報の利用なくしては、特定のデータ主体に結び付ける(attribute)ことができないようにする個人データの処理を意味する。当該追加情報を識別された又は識別可能な人に結び付けないことを保証するために、当該追加情報が分離して保管され、技術的かつ組織的措置の下にあることである。 ●前文23 ・・・仮名化されたデータ(pseudonymised data)(それは追加情報の利用によって自然人に結び付けることが可能である)等のデータは、識別可能な自然人に関する情報としてみなされるべきである。 |
※「非識別化データ」は日本の匿名加工情報の元となった「FTC 3条件」の考え方に基づくものであり、個人データではない。 【非識別化データ】 ●第4条(定義) (a)個人データ (2)例外: (A)非識別化データ(De-identified data):対象エンティティが(直接的に又は委託先を通じて)以下の全ての措置を行っている場合、「個人データ」には以下のデータは含まないものとする。 (i)特定個人又は端末に実際にリンクすることができないと合理的に期待できる仕方でデータを加工する。 (ii)個人又は端末を識別しようとしないことに公けにコミットし、そのような識別を防止するための管理策を講じる。 (iii)契約上の禁止又はその他の法的に執行可能な禁止によって、対象エンティティが当該データを開示する全てのエンティティに対して当該データを特定個人又は端末にリンクしようとしないようにさせ、また同様なことを全てのさらなる開示に際して要求する。 (iv)当該データを開示する全てのエンティティに対して、特定個人又は端末にリンクしようとしないことに公けにコミットするように要求する。 |
2) 匿名加工情報の取り扱いルール
今後、匿名加工情報を作成するにあたっては、まず、加工対象がどのような個人情報であっても、特定の個人が識別できず、元の個人情報が復元できないよう、最低限の規律として、以下の(1)~(4)までの措置を講ずることが委員会規則で求められています。
個人情報保護委員会のガイドラインでは、匿名加工情報の作成方法に係る上記基準について例示されているとともに、「匿名加工情報」等の用語の定義や、作成時の公表等の義務の詳細について解説していますので、ご参照ください。
▼経済産業省「事業者が匿名加工情報の具体的な作成方法を検討するにあたっての参考資料(「匿名加工情報作成マニュアル」)Ver1.0」
▼個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」
(1)特定の個人を識別可能な記述等(氏名等)の全部または一部を削除(置換を含む。以下同じ。)すること。
(2)個人識別符号の全部を削除すること。
(3)個人情報と他の情報を連結する符号を削除すること。
(4)特異な記述等(例:日本最高齢者であることが判断可能な実年齢)を削除すること。
事業者は、匿名加工情報を作成する場合、第三者に提供する場合、第三者から受領する場合における各ルールを守る必要があります。改正法では、匿名加工情報の作成者に対し、(1)委員会規則に従った適正匿名加工義務(36条1項)、(2)加工方法情報の安全管理措置義務(36条2項)、(3)項目公表義務(36条3項)、第三者提供前の項目等公表義務(36条4項)、識別行為禁止義務(36条5項)、匿名加工情報の安全管理措置・公表義務(36条6項)が課せられている。また、匿名加工情報作成者以外の提供者(匿名加工情報取扱事業者)についても、項目公表義務(37条)、識別行為禁止義務(38条)、安全管理措置義務(39条)が課せられています。
改正前個人情報保護法では、利用目的を変更する場合には変更前の利用目的と相当の関連性を有すると合理的に認められた範囲内で実施しなければならないと定められていましたが、改正法ではこの「相当の」という文言が削除されました。これによって利用目的の変更が従来よりも柔軟に実施可能となり、企業にとってはすでに取得済みの顧客情報などを活用して新規の事業やサービスを機動的に展開できる可能性が広がります。
では、どこまでの変更が「利用目的と関連性を有すると合理的に認められた範囲」になるのでしょうか。その判断基準としては「本人が通常予期し得る限度内か否か」という観点で検討されることになります。すなわち、変更された目的が本人にとって想定外となるような事態は回避する必要があるため、企業としては現在通知または公表している利用目的を再確認の上、今後範囲を変更した場合に本人の誤解を招かない内容となっているかどうかについて、あらためて見直しを検討することが望ましいと言えます。
匿名加工情報の作成にはいくつかの方法がありますが、一例を挙げると以下の通りです。なお、通常程度の手法によって復元できてしまうレベルの加工情報は改正法で定める匿名加工情報には当たらず、依然として個人情報のままということになるので、どれか一つが実施されていれば直ちに匿名加工情報になるわけではない点に注意が必要です
- 本人識別情報の削除:氏名、住所、生年月日、性別等の全部または一部を削除すること(例:生年月日から月日を削除して生年だけにする)。
- グルーピング:詳細項目を一定のまとまりや区分に置き換えること(例:生年月日を年代に置換)。
- 識別子の削除・置換:個人識別符号(政令で定める)や患者ID等の識別子を削除・置換(例:保険証の記号番号をハッシュ値に置換)。
- データの交換:匿名加工データベース等に含まれる複数者間の分析対象データを入れ替える(例:疾患名を入れ替える)。
- 誤差を付加:分析対象のデータに一定のノイズを付加する(例:血糖値に20mg/dL以内の誤差を加える)。
- トップコーディング:分析対象のデータの平均から大きく乖離するデータ群をまとめる(例:血糖値が60mg/dL以下のデータをまとめて「60mg/dL以下」とする)
【個人情報と匿名加工情報の主な違い】
| 個人情報(個人データ) | 匿名加工情報 |
|---|---|
|
(情報の性質) ○特定の個人が識別できる (容易に照合できる場合も含む) ○個人識別符号を含む |
(情報の性質) ○特定の個人が識別できない ○元の個人情報を復元する |
|
(利用目的) ○利用目的を特定する必要 ○利用目的を変更する場合は本人の同意が必要 |
(利用目的) ○本来の利用目的外での利用が可能 |
|
(第三者提供) ○第三者提供時に原則として本人の同意が必要 ○オプトアウトによる提供(要配慮個人情報の場合は不可能) |
(第三者提供) ○第三者提供時に公表等を行うことで本人の同意なく提供が可能 |
|
(その他) ○個人データの安全管理措置が必要 ○開示等の請求への対応(保有個人データ)等 |
(その他) ○加工方法等情報の安全管理措置が必要(匿名加工情報の安全管理措置は努力義務) ○識別行為の禁止 |
3)匿名加工情報の適正な活用に向けて
改正前個人情報保護法では、個人情報の目的外利用及び個人データの第三者提供について本人の同意が要求されており、個人情報を含むパーソナルデータを利活用するためには本人全員から同意を得なければならない仕組みとなっていました。この個人情報の規制を避けるためには、「個人情報」の定義に該当しないように個人情報を加工して「非個人情報化(匿名化)」することが必要でしたが、改正前個人情報保護法下の「非個人情報化」は解釈上及び技術上、極めて困難なものであり、これがパーソナルデータの利活用の壁となっていました。
3年前のSuica乗降履歴販売問題では、特定個人を識別することが可能なデータであったと考えられる以上、本人の同意またはオプトアウト手続きをせずに第三者に提供したことは、法令違反ではないかという問題提起がなされました(また、一般消費者からは、「知らないうちに、勝手に・・・」「なんだか気持ち悪い・・・」との声が多く挙がりました)。実際には、JR 東日本はSuicaの乗降履歴データを個人が特定できないように氏名・電話番号・生年月日(日にちのみ削除)、物販情報を削除して日立製作所に提供しており、当該取引自体は法令上問題無いという解釈が一般的です。加えて、日立製作所との間で、特定の個人を識別する行為を禁じる契約も締結するなどの措置も講じていましたが、それでも、利用者からは「個人の情報を勝手に使っていいのか」「本当に個人を特定されないのか」という不安・反発を招き、結果的に販売契約の打ち切りを余儀なくされました。これは、個人情報に関する誤った解釈や無理解、プライバシーに対する過剰な反応、定義の不明確さ等が改めて問題視された事案と言えます。
今回の法改正では、事業者の独自の判断や手続きで匿名化された情報の活用から、匿名加工情報の適正な活用に必要な手続きが定められました。しかし、不完全な匿名化により個人情報に該当する情報であっても本人同意なしに第三者に提供されたり目的外で利用されたりする「裏活用」がなされることは今後否定することはできませんし、一般的にインターネット等に公開されている外部情報との突き合せによって個人を特定できることや、当初想定できなかった特定の個人の情報が抽出される可能性を排除することができません。一定の匿名化措置(個人情報をある定められた手順で加工)を行っても、必ず識別性または特定性を無くせるわけではなく、また、そうした匿名化の措置に対して一般的な基準はないとの前提に立つ必要があります。これは、パーソナルデータ検討会の唯一の作業部会である技術検討ワーキンググループの見解でもあり、個人に関わる情報に「汎用的な匿名化方法は存在しない」と結論づけられています。匿名加工情報は匿名データではなく、「個人を特定するリスクを低減したデータに過ぎない」ということです。とりわけ、IoTでは、カメラやセンサー機器などを通じて自動的にデータを収集して、ビジネスに役立てるという用途が急増するとみられています。こうした自動収集されたデータを利用する場合、企業がどのような対応をしなければならないかが今後の大きな課題と言えます。
匿名加工情報は、利用価値が高いパーソナルデータの流通・利用を図ることにより、新ビジネスや新サービスの創出、既存産業の活性化を促進することを目的とするものである以上、プライバシー保護と産業振興のための事業者にとっての利便性の確保とのバランスこそが大切になるものと考えられます。このバランス取りの難しさゆえ、改正個人情報保護法については、その施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況などを勘案し、改正個人情報保護法の施行状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとされており(改正法附則12(3))、当該見直しの際に、匿名加工情報の取扱について、どのような措置が講じられるのか、あるいは維持されないのかを今後も注視していく必要があります。
株式会社日立製作所と株式会社博報堂は2016年12月2日、「第三回 ビッグデータで取り扱う生活者情報に関する意識調査」の結果を発表しました。この結果、「パーソナルデータ」の利用について、不安が期待より大きいとする回答者が過半数を占めています。
▼日立製作所「第三回 ビッグデータで取り扱う生活者情報に関する意識調査」
なお、今回の調査で取り扱われたパーソナルデータとは、特定の個人を識別できる「個人情報」に加え、個人識別することなく商品購入履歴や位置情報を参照する行為が含まれています。
企業や公的機関によるパーソナルデータの利活用について、期待と不安のどちらが大きいかを聞いた設問では、「不安が大きい」「やや大きい」の合計が52.0%で、前回2014年調査の48.8%を上回っており、これに連動するかたちで、「期待が大きい」「やや大きい」「同じくらい」のいずれも前回調査からポイントを落としています。この背景には、情報漏えい事故の多発が影響していると、レポートは指摘しています。
また、パーソナルデータの利活用に関して「不安が期待より大きい」層が増加しています。全体の約半数の人が、パーソナルデータの利活用における不安の要因として「企業等による説明・公表不足」を挙げており、全体の約8割の人が、パーソナルデータの利活用における不安が適切な管理体制の情報公開や管理の仕方によって軽減するとしています。
本調査の結果、自身の生活者情報が利活用されることについて不安が期待よりも大きい生活者が前回調査と比べて増加したものの、企業に適切な情報の安全管理体制の構築を義務付けるなど、生活者のプライバシー保護に資する施策を講じることと、不安や抵抗感を軽減しうることが示唆されています。
一方、医療や災害対策など様々な分野で、企業がビッグデータの利活用に萎縮することのない状況を作れば、画期的なアイデアやサービスの創出が期待されます。これからは、個人情報やプライバシーの保護に配慮し、情報活用を促進する、時代に即した枠組み(保護と活用を相互に強化する仕組み)をさらに検討する必要があります。そもそも、個人情報保護法の理念は、プライバシー等を含む「個人情報」について、利用者側の悪用への不安を払しょくしたいという「保護」の要請と、一方で必要な範囲での共同利用等により利用者の社会生活が便利になるという個人情報の有用性(趣味・嗜好に関する情報に触れられ、ニーズが掴める等)との調和を図ろうとするものです。その根底にあるのは、消費者への説明義務を果たしながら、その信頼を損ねない範囲での個人情報の有効活用により、利用者の満足度の向上を図るための「信頼関係構築に向けた企業の真摯な姿勢」であるべきだと言えます。
次回の「情報セキュリティトピックス」では、改正法個人情報保護法における「個人情報の取り扱いのグローバル化」、「プライバシーリスク」について取り上げます。
2.最近のトピックス
◆経済産業省 「秘密情報の保護ハンドブックのてびき:情報管理も企業力」
経済産業省は平成28年12月5日、「営業秘密情報の保護ハンドブックのてびき:情報管理も企業力」を公表しました。営業秘密情報の漏えいを未然に防ぐための具体的な事例に応じた対策例が紹介されており、標的型攻撃メールや重要な情報へのアクセス権、LANの分離等の情報セキュリティ対策について記載されており、自社の現状と照らし合わせて参考にすべきことが多いと言えます。
<自社の秘密情報の漏えい対策>
- 保有する情報をどのように洗い出し、その情報をどのように評価するのか。
- 秘密として保持する情報と、そうでない情報を分ける際の考え方。
- 情報漏えい対策は、闇雲に実施するのでは非効率。犯罪心理学等を参考にして、誰を対象とし、何を目的とするかに整理して対策を紹介。
<5つの「対策の目的」>
- 秘密情報に「近寄りにくくする」
・・・アクセス権の限定、施錠管理等。 - 秘密情報の「持出しを困難にする」
・・・私物USBメモリ等の利用禁止等。 - 漏えいが「見つかりやすい環境づくり」
・・・レイアウトの工夫、防犯カメラの設置等。 - 「秘密情報と思わなかったという事態を避ける」
・・・マル秘表示、ルール周知等。 - 社員の「やる気を高める」
・・・ワークライフバランス、社内コミュニケーション等。
<他社から意図せず訴えられないために>
- 保有する情報は、自社の独自情報と立証できるようにしておく。
- 転職者の受入れ、共同研究開発など、他社とのトラブルが起きやすい場面ごとに対応策を紹介・・・前職での契約関係の確認、他社情報の分離保管など
<もしも情報漏えいが発生した時の対応>
- 情報漏えいの兆候をいち早く把握するための留意点。
- 情報漏えいが確認された時の初動対応…社内調査、証拠保全。
動画 サイバー空間の脅威 いま、アナタの会社が狙われている!
警視庁は、Webサイト上で、企業を狙うサイバー犯罪の手口やトラブル事例を紹介しています。経営者、システム管理者、一般社員それぞれが知っておくべき事前の予防策と、万一被害に遭った際の適切な対応策について解説するとともに、最新のサイバー犯罪の手口やトラブル事例を紹介するとともに、ネットやスマートフォンを利用する側の心理に踏み込んで、安易なアクセスに潜む危険を注意喚起しています。
サイバー犯罪と一口に言っても、なりすましによる不正アクセスに始まり、遠隔操作アプリの悪用や名誉毀損の書き込み、オンラインゲームでのチート行為、さらには殺人や爆破予告といった威力業務妨害に至るまでさまざまです。いずれにせよ、犯罪者にとってインターネットは欠かせないもの、犯行ツールとして欠かせないものになっています。
警察白書を見てもサイバー犯罪に関する検挙数の増加は明らかですが、サイバー犯罪に関する相談件数はこの5年で倍増しており、中でも、インターネットを用いた詐欺に関するものが半数以上を占めています。
その一例が、本物とそっくりに作られた偽ショッピングサイトや、不安をあおる文面や警告音を出してユーザーを驚かせる偽のセキュリティソフトです。偽のセキュリティソフトの中には、「サポート用の電話」に連絡するよう促し、電話越しに「検査が必要です」などと言葉巧みに不正なソフトウェアをインストールするよう勧め、金銭をだまし取る手口も報告されています。
組織を狙う攻撃はどんどん高度化しており、さまざまなセキュリティ対策をすり抜けてきます。この結果、最終的にはセキュリティが個人の判断に左右されることも多く、すり抜けてくる手口に引っ掛からないようにするには、相手の手口を知ることが大切だと言えます。
◆情報処理推進機構「サイバーセキュリティ経営ガイドライン解説書」
独立行政法人 情報処理推進機構(IPA)は、平成28年12月8日、「サイバーセキュリティ経営ガイドライン解説書」を公表しました。これは、兵絵師27年12月に経産省と共同で策定した「サイバーセキュリティ経営ガイドライン」の内容を補足し、実施方法を具体的に解説したものです。同ガイドラインでは、経営者が経営におけるサイバーリスクを理解し、リーダーシップをとってサイバーセキュリティ対策を講じるためのガイドラインを示したものであり、基本的な考え方を中心にとどまっていたため、より具体的な内容を補足する必要があったものとされています。
今回の「サイバーセキュリティ経営ガイドライン解説書」では、重要な対策の実施手順や検討のポイントなどが具体的に解説されています。
また、改定では、以下の「3原則」の中でITがビジネスにとって不可欠であり、サイバー攻撃がリスクとして避けられない状況だとし、「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と明記されています。初版では「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」とされていましたが、サイバーセキュリティがコストでなく投資に値するものと認識を促す表現に改められています。
これまでは、顧客や取引先、消費者に対して対外的に「この対策をしているから、うちの会社のセキュリティ対策は万全ですよ」と言えるような明確かつ客観的な基準がありませんでしたが、今後、企業や組織にとって同ガイドラインが定める基準が、今後情報セキュリティ対策実施の「最低基準」となるということです。
同ガイドラインでは、上記を踏まえた上で、” 経営者が “セキュリティリスクの脅威を認識し、” 経営者が “対策の実施を推進すべきだ、と明記しています。つまり、”セキュリティ対策は経営者が率先して取り組むべきリスク事項である”ということが明確にされているのです。
【3原則】
- セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
- 子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。
- ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。
◆情報処理推進機構「SNSで公開している誕生日などの情報を使ったパスワード設定は推測されやすくNG」
独立行政法人 情報処理推進機構(IPA)は、平成28年12月21日、「安心相談窓口だより」を公開し、パスワード文字列に「SNSで公開している誕生日などの情報を使うこと」の危険性について注意喚起しています。
これは、女性芸能人のクラウドサービスのアカウントなどに不正にログインをしたとして、男性が逮捕されたという事件があったということが発端となっています。我々が普段利用している誕生日やニックネームなど、ブログやSNSに公開されている情報からパスワードが推測されたということです。
パスワードが漏えいすると、誰でも本人になりすますことが可能となり、ネットショッピングで勝手に商品を購入されることや、インターネットバンキングを通じて別の口座に送金されるなどの金銭的な被害に遭う可能性があります。また、「なりすまし」によりSNSから悪意ある投稿をされたり、場合によっては犯罪行為に加担させられたりする可能性もあります。そのため、パスワードの文字列は、推測されにくい文字列にし、大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定することが推奨されます。また、利用するサイトやサービスごとに同じのパスワードを使い回さないことが大事です。
【対策】
- パスワードには「公開情報」を設定しない
ブログやSNSを利用している場合には、公開しているプロフィール情報により、誕生日などは不特定多数に知られているものと考えるべきです。誕生日や出身校、ペットの情報などはパスワードや「秘密の質問」などには使わないようにしましょう。 - 追加のセキュリティ対策を利用する
サービスによっては、追加のセキュリティ対策として、パスワード変更やログインしたことをメールなどで知らせるアラート機能や、2要素認証などを用意しているところがある。こうした機能を積極的に導入すること事故の未然防止の観点から望ましいと言えます。
3.最近の個人情報漏えい事故(2016年11月、12月)
下記の表は、昨年11月と12月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市立中学校 | USBメモリ紛失 | 在学生および卒業生1,054人分の氏名や住所、進路先など | 私物のUSBメモリを業務で利用 |
| 2 | 国立研究開発法人 | ノートパソコン紛失 | 業務に関連した氏名や住所など | 出張先からの帰宅途中に、電車の座席に置き忘れた後、所在不明 |
| 3 | 出版 | メール誤送信 | メールアドレス263件 | 「Bcc」で送信すべきところを、誤って「Cc」に設定して送信 |
| 4 | 市 | 名簿紛失 | 対象世帯15件の氏名や住所、電話番号など | |
| 5 | 市立中学校 | 書類紛失 | 生徒34名の氏名や住所、緊急連絡先が記載された家庭連絡票 | |
| 6 | 県立大学 | 調査票紛失 | 卒業生の就職先企業から返送されたアンケート調査票35件分で、同票には、雇用した卒業生の評価や就職支援活動の評価が記載 | 誤廃棄の可能性 |
| 7 | 教育委員会 | 書類紛失 | 生徒23名の氏名に加え、ボランティア等の関係者11名の氏名、住所、印影など | 誤廃棄の可能性 |
| 8 | 府 | 書類紛失 | 59世帯分の世帯主氏名や部屋番号など | |
| 9 | 児童クラブ | USBメモリ紛失 | 児童約210人分の氏名や生年月日、保護者の氏名など | 児童約210人分の氏名や生年月日、保護者の氏名など |
| 10 | 信用金庫 | 書類紛失 | 顧客134名分の氏名、口座番号、取引の種類など | 誤廃棄の可能性 |
| 11 | 市立保育園 | 書類紛失 | 児童155人分の氏名、生年月日、性別、クラス名など | 帰宅途中に自転車のカゴに置き忘れた名簿を盗まれた |
| 12 | 私立大学 | 書類紛失 | 学生230人分の氏名、学籍番号、内定先など | 盗難された可能性 |
| 13 | 県立高校 | 書類紛失 | 生徒40人分の氏名や住所、顔写真などを含む「家庭状況調査票」を綴じたファイル1冊 | |
| 14 | 教育 | メール誤送信 | メールアドレス328件 |
「Bcc」で送信すべきところを、 誤って「Cc」に設定して送信 |
| 15 | 都立病院 | メール誤送信 | メールアドレス23件 |
「Bcc」で送信すべきところを、 誤って「宛先」に設定して送信 |
| 16 | 警察署 | 書類紛失 | 住民13人分の氏名や住所を含む「巡回連絡カード」 | カードは住民により交番に届けられ、回収された |
| 17 | 人材派遣 | メール誤送信 | メールアドレス69件 |
「Bcc」で送信すべきところを、 誤って「宛先」に設定して送信 |
| 18 | 労働局 | 書類誤交付 | 利用者の氏名や生年月日、口座番号1名分 | |
| 19 | イベント | メール誤送信 | メールアドレス55件 |
「Bcc」で送信すべきところを、 誤って「宛先」に設定して送信 |
| 20 | 市立中学校 | USBメモリ紛失 | 全校生徒430人の健康診断記録などが入ったUSBメモリ1本 | ペンケースに入れて机の引き出しに保管していた |
| 21 | 健康保険団体連合会 | 光磁気ディスク紛失 | 約13万人分の保険者名、被保険者氏名、被保険者証番号 | |
| 22 | 総務省 | メール誤送信 | メールアドレス11件 |
「Bcc」で送信すべきところを、 誤って「宛先」に設定して送信 |
| 23 | 市立中学校 | 手帳紛失 | 生徒240人分の氏名、出欠記録、試験の点数が記載 | 職員が自家用車で帰宅途中、店舗の駐車場で車上荒らしに遭い、手帳が入った鞄を盗まれた |
| 24 | プロ野球OBクラブ | メール誤送信 | メールアドレス125件 | 「Bcc」で送信すべきところを、誤って「宛先」に設定して送信 |
| 25 | 市立中学校 | USBメモリ紛失 | 生徒266人分の生年月日、住所、成績などが記載されたUSBメモリ1本 | |
| 26 | 市 | メール誤送信 | メールアドレス219件 | 食品事業者に送信したノロウイルス食中毒の警報メール 「Bcc」で送信すべきところを誤って「宛先」に設定して送信 |
| 27 | 国立大学 | ノートパソコン紛失 | 学生の氏名、連絡先など個人情報約1,100件が記載 | 職員が学外で紛失 |
| 28 | 市立中学校 | USBメモリ紛失 | 生徒の氏名、成績などの個人情報約140件を含むUSBメモリなどが入ったハンドバック | 同校教諭が帰宅途中にバックごとひったくられた |
| 29 | 県立高校 | ノートパソコン紛失 | 生徒約600人分の氏名やテスト結果などが保存されたパソコン | パソコンを助手席に置いたまま車を駐車し、車上荒らしに遭った |
| 30 | 地方銀行 | 書類紛失 | 「取引時確認記録書」で、顧客の氏名、住所、生年月日など約1000件の個人情報 | 誤廃棄の可能性 |
| 31 | 市立中学校 | 連絡表紛失 | 1クラス34人分の氏名、住所、緊急連絡先、家族構成、卒業小学校名、配慮事項などが記載 | |
| 32 | 市 | 書類紛失 | 介護保険システム内に保存されている情報を印刷しており、35人分の氏名や生年月日、性別、年齢のほか、介護保険被保険者番号、一次判定結果、身体機能の状況、主治医意見書の内容などが記載 | 介護保険の関連資料が未着のまま、所在不明 |
| 33 | ネット通販、書籍 | 誤廃棄 | 氏名や住所、電話番号、年齢、職業など、同店舗が取り扱った3708件の取引情報 | |
| 34 | 金融 | マルウェア感染 | 債務者の商号または氏名、債権の状況、返済の実績、回収の予定など27件 | |
| 35 | 看護協会 | 不正アクセス |
クレジットカード決済を利用した会員の個人情報最大763件。 クレジットカードの名義、番号、有効期間のほか、住所や電話番号、メールアドレスなど |
窃取された可能性 |
| 36 | 私立大学 | 誤添付 | 患者158人の氏名や住所、性別、年齢、病名、検査結果、治療内容など 論文に添付するデータについて個人を特定できないよう処理したが、処理前のデータも同じ文書ファイルに含まれた状態 | 誤って投稿 |
| 37 | 製造 | スマホ紛失 | 取引先約200人の氏名や電話番号、メールアドレス、および業務情報など | 従業員が帰宅途中の電車内で紛失 |
| 38 | 市 | 伝票紛失 | メーター交換対象者81人分の氏名や住所、電話番号 | 車両ごと盗難 |
| 39 | ホスティング事業 | 不正アクセス | 個人情報4万8685件が流出し、氏名や住所、電話番号、メールアドレス、アカウント名、パスワードが含まれる。またクレジットカードの名義、番号、有効期間など2万809件が流出した可能性あり。 | |
| 40 | 府立高校 | 書類紛失 | 1クラス38人分の出席簿と5人分の修学旅行参加承諾書で、出席簿には生徒の氏名と性別、出欠状況などが記載されており、修学旅行参加承諾書には、生徒と保護者の氏名、および緊急連絡先が含まれる | |
| 41 | 信用金庫 | 帳票紛失 | 「年金振込明細推移表」で、顧客130人分の氏名や住所、生年月日、口座番号、取引日、取引金額など | 従業員が営業活動で移動中に紛失 |
| 42 | 機械メーカー | 不正アクセス | 会員6万4742人分の氏名、メールアドレス、アカウント名、パスワードなど | |
| 43 | 製造メーカー | メール誤送信 | 9929人分の氏名や学校名、学部名などが記載されており、そのうち1575人については、面接の合否結果 | 本来送信すべきファイルと、誤送信したファイルが同一のフォルダ内に保存されていたことや、個人情報を含むファイルを識別するために定めていたファイル名のルールが遵守されていなかったことが、ミスの原因と説明 |
| 44 | 私立大学 | 名簿紛失 | 名簿には学生98人分の個人情報が記載 | 配送を委託した在学生名簿を、配送会社が運搬中に紛失 |
| 45 | 化粧品通販サイト | 不正アクセス | クレジットカード情報6159件が流出し、名義や番号、有効期限などのクレジットカード情報のほか、住所や電話番号、メールアドレスなども含まれる | |
| 46 | 技師会 | ノートパソコン紛失 | 講習会の受講者や委員会の委員など1022人分の個人情報が保存されており、氏名や携帯電話番号、メールアドレス、会員番号のほか、所属する施設などの名称や住所、電話番号が含まれる | |
| 47 | 県 | 誤公開 | イベントに応募した小学校5年生と6年生の保護者に関する氏名や住所、電話番号など、あわせて293件の個人情報 | 応募作品をウェブサイトに公開した際、データをアップロードした委託業者が、個人情報が削除されていることを十分確認しなかったことが原因 |
| 48 | 市 | メール誤送信 | メールアドレス13件 |
「Bcc」で送信すべきところを、 誤って「Cc」に設定して送信 |
| 49 | システム開発 | メール誤送信 | 顧客1万3011人分のメールアドレスリストを本文として誤って送信 | 操作ミス |
| 50 | 化粧品販売 | 不正アクセス | オンラインショップへ登録している顧客の個人情報42万1313件や、クレジットカード情報5万6121件で、顧客の氏名や住所、配送先住所、電話番号、性別、生年月日、職業、メールアドレス、ログインパスワード、購入履歴などが含まれる。 | |
| 51 | 出版 | 不正アクセス | 主催の会合の出席者リストや関係者の連絡先、従業員の住所録など約1200件 | 主催の会合の出席者リストや関係者の連絡先、従業員の住所録など約1200件 |
| 52 | ネット通販 | 不正アクセス | サイトにおいて新規でクレジットカード決済を利用した顧客の個人情報最大1066件で、クレジットカードの番号や有効期限のほか、氏名、住所、電話番号、メールアドレスなどが窃取された可能性 | |
| 53 | 県 | メール誤送信 | メールアドレス69件 | |
| 54 | 市立中学校 | 書類紛失 | 3年生50人分の氏名と社会科の成績が記載 | |
| 55 | ネット通販 | 不正アクセス | クレジットカード決済を利用した顧客のクレジットカード情報など | |
| 56 | 市立小学校 | USBメモリ紛失 | 全児童729人分の氏名とクラスが保存 | |
| 57 | ネット通販 | 誤表示 | 通販サイトを利用した顧客54人の個人情報が、同じ時間帯に利用した関係ない他顧客のページに表示される不具合が生じ、顧客の氏名や住所、会員番号、購入した商品の情報などが誤って表示された。 | 通販サイトを利用した顧客54人の個人情報が、同じ時間帯に利用した関係ない他顧客のページに表示される不具合が生じ、顧客の氏名や住所、会員番号、購入した商品の情報などが誤って表示された。 |
| 58 | 通販サイト | 不正アクセス | 顧客の個人情報のべ99件が流出し、クレジットカードの名義や番号、有効期限、セキュリティコードのほか、カード会員の住所も含まれる | 顧客の個人情報のべ99件が流出し、クレジットカードの名義や番号、有効期限、セキュリティコードのほか、カード会員の住所も含まれる |
| 59 | 専門学校 | ノートパソコン紛失 | 在校生と卒業生の氏名、住所、電話番号、保護者氏名のほか、担当科目に関する成績情報が保存 | 警察から拾得物として届けられていると連絡があり、その後回収 |
| 60 | 私立大学 | USBメモリ紛失 | 学会シンポジウム参加者38人の名簿が保存されており、そのうち11人は住所も含まれる。また、入試問題案や作成中の論文、講義に使用するデータやスライドなども保存 | USBメモリは教員の私物で、セキュリティ対策を講じていなかった |
| 61 | 市立中学校 | USBメモリ紛失 | 1年生107人と3年生108人分の理科に関する成績のほか、部活動の生徒81人分の氏名や生年月日、電話番号、および学年便りの原稿に含まれる生徒の写真などが保存 |
昨年11月、12月の事故の特徴として、医療・教育関連分野での情報の持ち出し(USBメモリやノートPC紛失、書類紛失が多く確認できます。
医療・教育現場では身体等にかかる機微な情報を扱います。特にUSBメモリは小さく携帯性やデータの保存容量が優れている反面、盗難、置き忘れ、紛失等のリスクが高いため、取り扱いに関する十分な配慮が必要になります。また、USBメモリを私有パソコンに接続することで、インターネットファイル交換ソフトやマルウェアを介して個人情報が漏えいするリスクも高まります。さらに、不正アクセスの踏み台になる可能性もあります。そのため、USBメモリを使用する場合は、その危険性の周知やルールの徹底など管理体制のより確実な実施が求められます。
これまで毎月公表されている事案を「情報セキュリティトピックス」にて収集していますが、医療・教育関連分野での事故が年間を通して多い傾向にあります。このような特定分野での事故要因については、今後の研究課題として事故の背景や防止策のあり方について、引き続きレポートしてまいりたいと思います。
その他、昨年11月12月の事故の傾向として、メールの誤送信も多く確認されました。事故の要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。その他よくありがちなパターンとしては、メールの転送と返信を間違えてしまったり、オートコンプリート(候補表示)で宛先を間違えてしまうこともあります。また、電子メール送信時は、誤送信しても送信者自身がその事態に気づかないことが多いことも大きな特徴です。
メールアドレス一つだけでも、個人情報に該当するケースが多く、誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。
電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。
【よくあるケース】
- 社内宛てのメールを同姓の他企業の人に送信してしまった。
- 他社向けの提案資料や見積りファイルを間違えて添付してしまった(しかもファイルパスワードや暗号化設定なし)。
- メールアドレスを、Bcc ではなく To/Cc に設定したため、同報している全員に宛先情報を公開してしまった。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
