GDPRの動向と最近の事情(2)(2018.11)

2018/11/20 / 総合研究部 上級研究員/部長補佐 佐藤 栄俊 プリント

1.GDPRの動向と最近の事情(2)

 前回に続き、今回の「情報セキュリティトピックス」は、GDPR(General Data Protection Regulation)のあらましや最近の事情について整理していきたいと思います。
 GDPR(一般データ保護規則)は、個人の権利保護、EUデジタル市場の保護・育成のための規制強化とともに個人データの越境移転のルールを統一したものです。保護対象はEU加盟28カ国及びアイスランド、ノルウェー、リヒテンシュタインの3カ国を含む欧州経済領域(European Economic Area : EEA)に所在する全ての個人データで、域外への持ち出しに関する厳格な規制が敷かれ、在EEA法人にとどまらず世界の全ての法人に準拠義務があります。EEA域内の個人データを処理しているのは、何も欧州の人々を相手に直接サービスを提供する宿泊・観光や運輸、ECなどの企業、現地に子会社や工場を持つグローバル企業だけではありません。
 デジタル広告、IoT家電、次世代自動車のコネクテッドカー、建設機械のトラッキングシステム、利用者の位置情報を利用する「ポケモンGO」をはじめとするオンラインゲームなど、個人のオンライン上の行動を「監視」することを前提としたサービスで、商売が成り立っている企業は枚挙に暇がありません。およそ現代において、GDPRの適用を完全に免れ得る企業はそう少ないとは言えません。
 GDPRの第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることにあります。GDPRの発効によって、1995年以来のデータ保護指令(Directive 95/46/EC)は置き換えられることになりました。
 日本語だと「規則(Regulation)」と「指令(Directive)」の違いがピンときませんが、EU法では明確な定義があり、Regulationは国内法に優先して加盟国の政府や企業、個人へ直接適用される、最上位の法令です。Directiveとして制定されたECデータ保護指令は、加盟国政府に対する法的拘束力と政策目標達成のための措置の要求にとどまり、国内法や措置内容は各国の判断に委ねられるため、域内でも国ごとに異なる法律への対応が必要で、あらゆる海外法人の拠点が加盟28カ国ごとに個別対応の負担を迫られてきたという経緯がありました。

【参考資料】

▼個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)」

▼JIPDEC(一般財団法人日本情報経済社会推進協会)「EU一般データ保護規則(仮訳)について」

▼JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)

 JETRO「データ保護影響評価(DPIA)の実施に関するガイドライン(仮訳)」

 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)


1.各国の動向-世界で進む規制強化

 GDPRのような個人情報保護強化は、世界中で同時に起きている潮流でもあります。日本でも、改正個人情報保護法が2017年5月30日から施行され、監視カメラで撮った顔の生データだけでなく、顔のパーツの形や配置などから抽象的な特徴だけを抽出しても、個人情報とみなされるようになりました。
 日本における個人情報保護法改正や個人データに関するロシア連邦法改正(2015年)、中国サイバーセキュリティ法(2017年)、フィリピンデータプライバシー法(2012年)といった、個人データの国外移転を規制し、域内管理を目指す各国のルール整備と同様の動きです。GDPRに比べると緩やかながら、先日は米カリフォルニア州でも消費者プライバシー法が成立しました。
 2017年6月1日から施行された中国の「サイバーセキュリティ法」は、インターネットサービスを提供する「情報ネットワーク運営者」と、公共通信やエネルギー、金融など、データ漏えいが発生した場合国の安全や人民の生活が危険にさらされる可能性がある「重要情報インフラ運営者」を対象とした規制です。
 対応にあたっては、大きく3つのポイントがあり、①個人情報を収集・使用する場合の本人同意の取得義務、②第三者に個人情報を提供する場合の本人同意取得義務、③中国で収集した個人情報は、中国国内で保存(重要情報インフラ運営者の場合)するということになっています。
 ロシアでは、15年に個人データに関するロシア連邦法が改正され、ロシア国民の個人データを収集するWebサイトの運営者は、データの保存に使用するデータベースをロシア国内に設置することが義務付けられています。
 このように個人データの国外移転を厳しく規制する動きは、中国やロシアだけでなく他の国々にも広がっています。
 背景には、企業活動のグローバル化や情報技術の発展があり、個人データが国境を越えて利活用される中、データが本人同意なしに使われ十分に保護されないリスクが高まっているからです。
 個人情報保護の世界的な動きは、今後さらに進むものと思われ、企業は今後、各国でGDPRと同様の対応を迫られることになるでしょう。


2.基本的人権としての個人情報

 GDPRにおける個人データは基本的人権と位置づけられ、データ主体である個人(natural person)の法人によるデータ収集や処理に対する主体的な選択権を定義しています。個人データの処理を行うには、法人の義務すなわち個人データを扱うシステムや管理体制等に必要なプライバシー保護要件を満たして監督機関の承認を受け、さらに個人一人ひとりにデータ処理の適法性(サービス提供に必要なデータだけを取得するなど)を説明したうえ、あらかじめ同意を得る必要があります。
 個人情報はEUデータ保護指令に比べより明確・厳格に定義され、クッキーやIPアドレス、位置情報などが対象に含まれました。匿名化されたデータは対象外ですが、可逆性のある仮名化データや暗号化データは「個人情報」に該当します。


  • 名前
  • 識別番号
  • 住所、位置情報
  • メールアドレス
  • クレジットカード情報
  • オンラインID(IPアドレス、クッキー識別子、無線周波数識別タグの識別子等、デバイス、アプリケーション、ツールおよびプロトコルによって提供されるオンライン識別子)
  • 身体、生理、遺伝子、精神、経済、文化や社会的アイデンティティ等個人を特定しうる情報が原則取扱禁止

 個人データ主体には第15条「アクセス権利(Right of access by the data subject)」、第16条「訂正権利(Right to rectification)」、第17条「忘れられる権利(Right to erasure、right to be forgotten)」、第18条「処理制限の権利(Right to restriction of processing)」、第20条「データポータビリティ権利(Right to data portability)」、第21条「異議申し立ての権利(Right to object)」の権利が保証されています。
 また第22条「プロファイリングを含む自動化された意思決定」は、AIなどの自動的なプロファイリングだけに基づく個人に対する判断を拒絶する権利を定めており、例えば人事評価や採用などにおいて、判断者側には人間が介在することを求めています。データに処理を行った結果、またデータ取扱違反が発生した場合には、その情報提供を受けることも個人の権利です。また、16歳以下の子供は特に強くその権利を保護され、個人情報提供には親権者の同意が求められます。
 「法人」も同様に適法、公正、かつ透明性のある手段で処理(Processing)することが義務化されています。サービス提供などの目的に合致しないデータ処理は禁止です。「処理」には個人データまたはデータベースに対して行われる取得、記録、編集、構造化、保存、変更、復旧、参照、利用、移転による開示、周知または周知可能にする行為、整列または結合、制限、消去、破壊といったあらゆる作業が含まれ、その適法性を証明するための処理の記録も必要です。例えば、営業が対面で取得した取引先の名刺をExcelや名刺管理ソフトに取り込みメールを送ったりマーケティング部門に引き渡してCRMデータベースとして統合したり、顧客の求めに応じてデータを消去、といった行為の全てが処理に該当します。


3.データ移転にかかる制限

 GDPRでは、データ処理をEEA域外で行うケースが「移転」であり、これは原則禁止されていますが、国レベル、法人レベルの条件を満たすことにより可能になります(ただしデータ移転先が「十分な水準の個人情報保護が保証された国」という条件は95/46/ECですでに規定されており、GDPRで新たに生じた移転条件ではありません)。
 前者は移転先の国がEUにより十分なデータ保護対策を行っているという認定を受けていること(十分性認定)で、現時点の認定国はアルゼンチン、ニュージーランド、カナダ、イスラエルなど11カ国です。日本は現時点で十分性認定国ではありませんが、欧州委員会と日本の個人情報保護委員会は2018年中をめどに十分性の相互認定を実現するよう調整を重ねており、国レベルでは日EU間の越境データ移転の条件が満たされる見込みです。
 ただし、国レベルの移転条件が満たされても、法人レベルでの対策を免れるわけではありません。データ移転の適法性を証明できるよう個人情報保護方針やデータ処理の業務プロセス、問い合わせ窓口などを整備する必要があります。外注先との契約見直しが伴う場合もあるでしょう。さらにデータの取扱規模によってはデータ保護責任者を設置し、対象である個人一人ひとりから法人または拠点単位で上記権利保護に関する事前同意を得て、初めて「移転」が可能になります。
 EEA域内に拠点がなくても、個人データを日本から取得する場合は対象になります。EEA域内に所在する「個人」が対象のため、直接商品やサービスを提供した消費者一般に限らず、拠点の従業員や取引先担当者、また日本からの出張者や旅行者といった個人のデータも含まれます。東京のホテル予約やネットショッピングといったBtoCオンラインビジネス、フライト予約時に登録するハラルやベジタリアン希望、営業車の走行記録や従業員の健診データ、政府機関が行う外国人対象アンケート調査やWebフォームでの資料請求など、広義で捉えると「全く無縁」といいきれないほど幅広いのです。
 EEA域内に拠点があっても、データ収集・処理が拠点内で完結している場合は、日本法人は適用外なので、域内拠点のみが規制対象です。ただし、例えば日本からEEA拠点へ転勤や出張等で所在する従業員が、日本等域外のメールサーバーを使用する場合は「移転」とみなされるようです。


4.GDPRにおける同意の取得とは

 GDPRにおいて、個人データの処理がそもそも「適法」であるためには、データ主体が、特定の目的のために自身の個人データが処理されることに同意していることが必条件となります。個人データの処理が管理者などにとっての正当な利益のために必要であるデータ主体が当事者となる契約を履行する場合、またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守するといったことなどが前提です。
 例えば、同意にもとづきWebサイトでデータ主体から個人データを取得する場合には、(1)管理者が誰でその連絡先はどこか、また個人データが処理される目的は何かなどが画面において明確に記載されていること、(2)同意ボタンの押下やチェックボックスのチェックなど、データ主体が明確に同意を示す手段があること、また同意を撤回する手段が提供されていること、さらに(3)同意をもとめる説明文が、他の記載と容易に区別され分かりやすく簡潔に書かれていること、などの対応を要する必要があります。
 一方で、実際の業務においては、Webサイト以外にも対面で個人データを取得する場合なども想定され、場面に応じた同意の取り方について検討することが見込まれます。
 そもそも、明示的な同意に求められる要件とは具体的にどのようなことを指すのでしょうか。まず、消費者が任意で認めるべきものであり、強制されたものではありません。また、同意は特定のデータ活用に対して与えられます。メールマガジンの配信を行うのであれば、メールマガジンに対する同意を確認するためのチェックボックスであると記載します。
 同意を得た場合、その記録は文書として残しておく必要があります。いつ、どこで、どのように同意を得たかを示せるようにします。同時に、消費者に対して、いつでも同意を取り下げられる旨を通知します。消費者が同意を与えたのと同じくらい簡単に、同意を取り下げられるプロセスを用意しておく対策が求められます。
 Webサイトで資料請求やユーザー登録する際に、メールマガジンへの登録を促す仕組みはよく見られます。メールマガジンの登録について小さな文字で付記したり、チェックボックスをあらかじめチェックしている状態で提示したりする手法は、GDPRでは認められなくなりました。GDPRを遵守するためには、明確な意図を持って、消費者がチェックボックスをクリックできるようにします。
 自社のWebサイトで個人情報を取得している場合、その登録フォームを確認するようにしましょう。まず、プライバシーポリシーへのリンクがなされており、そのプライバシーポリシーにはGDPRの手続きが明記されている必要があります。また、登録と同時に製品情報に関するメールマガジンを送付する場合は、独立したチェックボックスを用意します。
 メールマガジンの登録のみを意図したフォームの場合、独立したチェックボックスが必要になるかどうかは議論の余地があります。個人情報に基づいて更新情報を取得したいという「合理的な興味」が認められるからです。
 「製品情報に関するEメールを受信する」というチェックボックスを用意するかわりに、「受信する」「受信しない」の2択からなるラジオボタンを提示しても構いません。重要なのは見栄えではなく、消費者が個人情報を提供しても良いという意思表示を明確に行える点です。
 Webサイトを訪問するだけでは、明示的な同意を与えたとは解釈できず、また、クッキーを使用しているというメッセージを表示するだけでも十分ではありません。訪問者が明示的な同意を提示できるよう、チェックボックスを設置します。また、クッキーに関するポリシーを用意して、同意を取り下げられる旨を通知します。
 個人を特定し得る情報をEU市民から取得する場合、GDPRでは明示的な同意が必要になります。一方で、法的な根拠があれば、明示的な同意を取得する必要はありません。特定の個人との契約を締結している、消費者が合理的な興味を示している、裁判所からの要請に応える、といった用途が含まれます。
 Eメールの送付自体が悪いわけではなく、消費者が興味を示したと言える状態であれば、Eメールの送付は問題ありません。例えば、Webサービスに登録した利用者は、そのWebサービスの利用に関する情報を欲していると認められます。Webサービスが一時的に停止する場合、利用者の個人情報であるメールアドレスを使って、情報を配信するのは合理的です。


5.データ保護責任者

 データ保護責任者(Data Protection Officer:DPO)とは、個人データの処理、移転に関して管理・監督する責任者と言える立場にある人を指します。イメージとしてはプライバシーマーク(個人情報保護マネジメントシステム JIS Q 15001:2006)の個人情報保護管理者に似ていますが、GDPRでは役割、地位、業務内容が強化された内容になっています。
GDPRではDPOの選任は必須ではありませんが、個人データを取り扱う管理者及び処理者が、次に掲げるいずれかの場合には、DPOの選任を義務付けております。
 GDPRでは、特定の条件を満たす管理者または処理者において、次の要件や地位、役割を有する「データ保護責任者」を任命することが求められています。

【要件】

  • 専門家としての資質、特にデータ保護の法令や実務に関する専門知識、責務を遂行する技量にもとづいて選任される
  • 企業グループは、各組織から簡単にアクセスできることを条件に単一のDPOを選任することができる。
  • 管理者または処理者の従業員、もしくは業務委託契約にもとづいて責務を遂行する者のいずれかでよい。

【地位】

  • 管理者・処理者は、DPOが個人データ保護に関する一切の事柄について適切、適時に取り組むことを確実にしなければならない。
  • データ主体は、データ処理およびGDPRにもとづく権利の行使に関わる一切の事柄についてDPOに連絡をとることができる。
  • DPOは、責務の遂行に関わる指示を一切受けないことを確実にしなければならない。
  • DPOは、管理者または処理者の最高経営レベルに直接報告を行なうものとする。

【役割】

  • GDPRおよびその他のEU加盟国の法令にもとづく義務について情報と助言を提供する。
  • 監督機関に協力する。
  • 事前相談や個人データの処理に関する事項について監督機関との窓口となる。

 また、そもそもこのようなデータ保護責任者を任命しなくてはならない、管理者または処理者の特定の条件として、次の3つが規定されています。

(ⅰ)処理が公的機関または公的団体によって行われる場合

(ⅱ)管理者または処理者の主な活動が、データ主体の定期的及び体系的監視を大規模に求める処理活動である場合

(ⅲ)管理者または処理者の主な活動が、特別カテゴリのデータまたは有罪判決および犯罪に関連する個人データの大規模な処理である場合

 民間企業の場合は、上記のうち多くのケースで(i)は除外できると想定されますので、特に自身の組織が(ii)または(iii)に該当するかどうかを確認のうえ、該当する場合はデータ保護責任者の任命を行うことになります。


  • データ主体が、特定の目的のために自身の個人データが処理されることに同意している。
  • 個人データの処理が管理者等にとっての正当な利益のために必要である。
  • データ主体が当事者となる契約を履行する場合またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守する。

 上記の「要件」にあるように、企業グループの場合は、単一のデータ保護責任者を任命する(容易にアクセスできるとき)か、または企業ごとにデータ保護責任者を任命するかのいずれかを選択することが可能です。
 ただし、EU加盟国の中には、その国内法によりデータ保護責任者の任命を求めている国がありますので、グループで単一の任命にあたっては、そのような国内法もあわせて遵守されるよう注意が必要になります。
 以上のようにDPOは独立性が保障されるように要求されており、DPOの業務遂行に指示を受けないよう管理者もしくは処理者は対応する必要があります。DPOは他の業務を担当することも可能ですが、利益相反を招かない場合に限られており、経営層クラスのポジションでの兼務は利益相反となる可能性があるので注意が必要です。
データ保護責任者は、監督機関との協働や義務の通知、勧告、監視、問い合わせ窓口、教育訓練、監査、リスクコントロールなど、かなりの業務負担が要求される「何でも屋」に近いイメージがあります。
 独立した権限と地位、高い業務負担を考慮すると、DPOの選任は慎重に実施する必要があると思われます。恐らく監督機関とのやりとりで語学力も必要になってくるでしょう。


6.GDPR施行後、事故が増加?

 GDPRでは、管理者または処理者は、取り扱う個人データについて、データ適切に守る義務を負うこととされています。そうしたデータセキュリティに関する義務として次の点が定められています。

義務 概要
侵害発生前 リスクに対して適切なセキュリティレベルを確保するための技術的・組織的措置の導入
  • 仮名化、暗号化、システム復元力の確保などの措置の実施、およびこれらの措置の定期的な検査
侵害発生後 データ侵害に関する通知
  • 不当な遅滞なく、可能な場合には侵害に気づいてから72時間以内に監督機関へ通知する義務
  • その侵害がデータ主体の権利や自由に対して高いリスクを生じさせる可能性がある場合、不当な遅滞なく、データ主体にその旨を通知する義務(処理者の場合は管理者へ通知する義務)

 管理者または処理者は、平常時には、適切なセキュリティレベルを維持するためのセキュリティ対策の導入や運用が求められます。またその一方で、漏えいや不正利用などのデータ侵害が発生した場合には、監督機関やデータ主体に対して通知を行わなければならないとされています。
 特に監督機関への通知については、次の事項をその内容に含め、可能な場合には気づいてから72時間以内に行うと定められています。

  • 侵害の性質、可能であれば影響を受けるデータ主体の類型や数
  • データ保護責任者の名前・連絡先、または情報提供のための連絡先
  • 侵害の結果、発生する可能性のある事態
  • 影響の拡大を低減するための措置(適切な場合)を含め、データ侵害に対処するために講じられた措置または講じる準備がなされた措置

 ひとたび一定規模の事故が発生した場合には、72時間以内に報告という時間枠は準備や対応体制を考えるととても短いものになることが容易に想像できます。データの侵害が発生した際に適切に通知を行うためには、それが発生する以前から、通知のための体制やルートなどを整備する必要があると考えられます。
 実際のケースでは、事故は外部の関係者から連絡を受けて察知される場合も少なくありません。事故の認知にあたっては、組織内部における報告を促すとともに、組織の外部からも問い合わせを受け付けるための窓口を設けておくことが重要と考えられます。
 GDPR施行されてからしばらくになりますが、イギリスではGDPR施行後に大企業における大規模情報漏えいが多発しています。最も被害が大きかったのはブリティッシュエアウェイズ(不正アクセスで顧客情報38万人分が流出)で、イギリスの場合、その他に大手ドラッグストアのSuperdrug、大手家電のDixons Carphone、最大手のチケット販売会社のTicketmasterでの顧客などの情報の漏えいが目立っています。
 イギリスの情報通信関連の規制やセキュリティ問題を取り扱う政府機関であるInformation Comissionrによれば、イギリスの場合、2018年7月に報告された事故件数は、GDPRが導入された5月の4倍になっています。アイルランドの同時期は2倍、フランスは37%増加です。
 顧客などの情報保護の体制を整えている企業が増加傾向にあるはずなのに事故が急増している理由としては、まず、GDPRにより事故発生後72時間以内の報告が義務化されたことが原因の一つとして考えられます。かつては報告されず、表沙汰にならなかったが見えるようになったために、件数が増加しているものと考えられます。
 これまで表に出てこなかった事故が表層化したことは、消費者保護の観点だけではなく、投資家の視点から見てもGDPRの意義はある程度あるのかもしれません。情報漏えい事故を防ぐような体制やシステムの有無は、その企業のITガバナンスやIT 自体への投資を「見える化」し、情報の保護に対する取り組み状況や真剣度がよくわかるものだといえます。
 情報の保護対する姿勢の透明化は、企業がこれだけITに依存している現在、経営の健全度を示す指標であるといっても差し支えないのではないでしょうか。
 二点目に、GDPRが広く一般に報道されるようになったことで、企業だけではなく消費者側が、情報に関する自らの権利を知るようになったということも挙げられます。GDPRの特に77条は、個人情報に関するデータが不適切に扱われたり、情報漏えいが発生した場合に、居住国の監督機関に苦情を記録する権利(the right to lodge a complaint with a supervisory authority)があるとしています。日本と異なり特に欧州の消費者は自らの権利には大変敏感なのでマスコミ報道でもこの「権利」の部分が大きく報道されており、一般に広く知られるようになりました。


※ サイバー攻撃などによる被害額の算出

 一般社団法人の日本サイバーセキュリティ・イノベーション委員会(JCIC)は2018年9月19日、サイバー攻撃による損失額を算出できる計算式「サイバーリスクの指標モデル」を公開しました。

▼日本サイバーセキュリティ・イノベーション委員会(JCIC)「サイバーリスクの指標モデル」

 企業が保有する個人情報の種類や数、1日当たりの売り上げ、前期純利益など8項目を入力すると、企業のサイバーリスクにおける潜在損失額を算出できるものです。
 サイバーリスクの指標モデルは、JCICのウェブサイトにExcelオンラインで公開されており、直接、Excelオンライン上に数値を入力するか、いったんパソコンにダウンロードして入力できます。Excelシートに実装された計算式は、国内業界団体のデータや海外事故事例、GDPRなどの法制度などの研究を基に組み立てられています。
 他社で起こっているサイバーリスクや被害はなかなか自社のこととして想像しにくいものです。
 サイバー犯罪が世界経済に与える損失額は2014年には約47兆円、2017年は30%増の約63兆円にまで増加しています。この約63兆円というのはGDPの実に0.8%に相当します。日本においてもサイバー犯罪によって、1兆円前後の経済損失が発生しています。
 JCICの調査によると、日本国内で情報流出等の適時開示を行った企業での株価は平均10%下落し、純利益は平均21%減少しているといった結果となっています。
 公表されたセキュリティ事故は氷山の一角でありすべての企業がリスクに晒されている状況です。
 サイバーセキュリティはIT部門だけの問題ではなく、企業経営の持続的な成長を揺るがす経営リスクとなっていることがうかがえます。
 GDPRへの対応体制を整えるうえでも、自分が所属する企業や組織で、サイバー攻撃による被害が発生した際の被害額を調査してみるのも一つの手段だと考えます。


2.最近のトピックス

◆独立行政法人 情報処理推進機構(IPA)「情報セキュリティ対策ベンチマーク バージョ ン 4.7」と「診断の基礎データの統計情報」

 独立行政法人 情報処理推進機構(IPA)は、10月26日、「情報セキュリティ対策ベンチマーク」の最新版となる「バージョン4.7」を公開しました。
 これは、27項目からなる情報セキュリティ対策の取り組み状況と、19項目の企業プロフィールを回答することで、自社のセキュリティ対策の取り組み状況を確認できる自己診断システムです。
 Web上の質問に答えると、散布図やレーダーチャート、点数などの診断結果が自動的に表示される。また、診断を行った他の企業の診断データに基づいて、自社の対策状況を比較することもできます。
 回答項目は、情報セキュリティマネジメントシステム(ISMS)の認証基準である「JIS Q 27001:2006」の附属書Aの管理策をベースに作成されているため、取り組み状況をより簡便に自己評価することができるのが特徴です。
 なお、これまで(2018年9月30日現在)、利用件数は41,000件を超え、診断の基礎データとして提供されたデータはのべ12,930件にのぼります。
 なお、バージョン4.7では、情報セキュリティを巡る環境変化や対策レベルの変化などを勘案し、2010年4月1日から2018年9月30日までの8年6カ月間に提供された診断データを整理、そのうち6,357件を診断の基礎データとして用いているといいます。
 求められる管理措置やセキュリティ対策のレベル感等、どこまで施しておけば、適切なのかの判断を個人・社内で独自に行うのは困難です。現時点におけるその管理方法について足りない点を自覚するためには、本診断などを活用のうえ、自社の管理実態とあわせ一度ご参照ください。


◆一般財団法人 日本情報経済社会推進協会(JIPDEC)「企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果」

 一般財団法人 日本情報経済社会推進協会(JIPDEC)は、10月23日、全国の企業や団体のWebサイトにおける常時SSL化の対応状況について、調査結果を発表しました。本調査は、WebサイトのトップページがSSL化されているかを確認し、SSL化されている場合に常時SSL化対応サイトと見なす方法で行われたものです。
 常時SSLとは、Webサイトの全てのページをSSL/TLSで暗号化し、HTTPS通信を行うようにすることです。「Google Chrome」などのWebブラウザーにおいて、SSL化されていないWebサイトに警告を表示するなどの動きが進んでおり、検索エンジンにおける表示順にも影響を及ぼします。
 調査結果によると、国内企業や組織のWebサイトで常時SSLに対応している割合は20.6%という結果です。また、業種ごとに見ると、大学(57.0%)が最も高く、銀行(51.2%)、小学校・中学校・高校(42.5%)、旅館・ホテル(39.3%)、通信販売(39.2%)と続いています。
 企業や組織の規模で見ると、従業員が1,000人以上では48.8%、300〜1000人で38.1%、100〜300人は28.5%と、従業員が多い組織ほど常時SSL対応が進んでいる傾向にあることがわかります。
 また、代表所在地別に対応状況を見たところ、対応している割合の高い都道府県は、東京都(26.5%)が最も高く、福井県(22.0%)、沖縄県(20.9%)と続いています。東京都以外は西日本の常時SSL化対応率が高い結果となっています。
 常時SSL化は大きな流れになっているものの、小規模の企業などではまだまだ普及が進んでいないことが窺えます。


▼警察庁「平成30年上半期におけるサイバー空間をめぐる脅威の情勢について」

 警視庁は、10月5日、サイバー攻撃などの状況をまとめた「平成30年上半期におけるサイバー空間をめぐる脅威の情勢について」を公開しました。本調査によると、サイバー攻撃の情勢について、この上半期に都内の警察が報告を受けた標的型メール攻撃は2,578件となり、前年同期から1,989件の増加となっています。手口については、実在の企業などをかたり不特定多数にメールを送りつける「ばらまき型」が攻撃全体の約87%、また、サイバー犯罪の状況については、相談受理件数は5,623件と、前年同期比1,757件の減少となっており、ワンクリック詐欺や架空請求といった「詐欺・悪徳商法」についての相談が2,414件と全体の42.9%を占めています。
 「ばらまき型」の攻撃は、相手によって件名や本文内容を変える標的型攻撃と異なり、同じ件名、内容のメールを多数送り付ける、「数打てば当たる」方式の攻撃といえます。以前よりある「残高」「ご確認」といったそれらしい件名のメールであり、対策としては、あらかじめ脅威を知っておくとともに、普段やり取りがない相手からのメールは警戒し、少しでも気に掛かる点がある場合には添付ファイルは開かないことが重要です。また、社内で「怪しいメール」や「怪しいPCの挙動」があったときの報告先は明確になっているかも確認しておく必要があります。知らない人がいれば、それはトラブル時の対応について、社内で周知徹底されていないということを指します。
 その他、インターネットバンキングの都内における不正送金事犯の状況については、発生件数は134件、被害額は約1億9,900万円となり、前年同期比で発生件数は8件増加、被害額は約200万円の減少となっています。
 サイバー犯罪の検挙状況については、検挙件数が389件、検挙人員は375名であり、「ネットワーク利用犯罪」が全体の約93.8%を占め、その内訳は、名誉毀損や商標法、特別法犯その他のうち、青少年保護育成条例、児童福祉法、医薬品医療機器等法、犯罪収益移転防止法などの検挙が増加しています。
 具体的な検挙事例として、警視庁では、Windows 7の機能を不正に改変し、販売した商標法違反事件や、仮想通貨交換業者で開設した口座情報を、他人に提供した犯罪通貨収益移転防止法違反事件などを挙げています。


◆ジェムアルト「Breach Level Index」(BLI、情報漏洩危険度指数)

 オランダに本社を構えるセキュリティ企業であるジェムアルト社は、10月9日、グローバルでのデータ漏洩事例のデータベースである「Breach Level Index」(BLI:情報漏洩危険度指数)の2018年上半期の集計結果を発表しました。これによると、2018年上半期に全世界で発生したデータ漏洩事件は945件、漏洩したデータは45億件で、前年と比べてデータ漏洩事件の件数は減少しているものの、漏洩したデータ件数は133%の増加となっています。
 データの漏洩原因のうち最も割合が高かったのが「悪意ある部外者」(56%)で、2番目が「不慮の事故」(34%)、そして「悪意のある内部者」(7%)と続いています。そして、漏洩したデータの種類では、個人情報が最も多く、漏洩によって盗まれた個人情報の件数は前年と比べて539%の増加となっており、全盗難データ件数の87%強を個人情報が占めています。
 BLIによると、調査を始めた2013年以来、150億件以上のデータが漏洩しています。これは平均して毎日2,500万件以上、毎秒291件のデータが漏えいしていることになります。なお、盗難、紛失、漏洩したデータのうち、暗号化され、盗まれた後に利用できないよう保護されていたのは1%に過ぎなかったとしており、これは、2017年上半期と比較して1.5ポイントの減少だということです。
 攻撃者が最終的に読めないようにする暗号化は、事後対策の重要な施策の一つとして一定の効果が期待できます。ただ、適切な暗号化技術や手法を選ばなければ、必要な場所で暗号化されていなかったり、暗号鍵が同時に盗まれれば、その効果はないに等しく、実効性を伴う管理や運用が求められます。


▼文部科学省「平成29年度児童生徒の問題行動・不登校等生徒指導上の諸課題に関する調査結果について」

 文部科学省では「平成29年度児童生徒の問題行動・不登校等生徒指導上の諸課題に関する調査」結果を公表しました。
 暴力行為は、6万件(6%増)を超え、中二から高校までは減少していますが、中一だけで1万件(3%増)を超え、小学校全体で19%増、1年生や3年生では3割増と低学年が増加しています。暴力行為の低年齢化が進行しています。
 不登校生は、小中高校で20万人近くに増加しています。高校生は近年横ばいですが、小中学生が増加しています。不登校の要因は多様ですが、年齢が上がるにつれて、家庭から学校での友人関係の比重が高くなっています。都道府県・政令市での不登校生の割合の差が大きく2倍近くあります。
 高校中退者は、4万6802人(前年度4万7249人▲1%)と減少傾向にあります。中退する理由は、①学校生活や学業不適応が35%、②進路変更34.7%、③学業不振7.6%となっています。
 自殺は年間250人(2%増)で、高止まりとなっており、年齢が上がるごとに増加しています。いじめによる自殺は10人もいました。
 特に、ネットいじめの被害に遭った児童は、自分に対する誹謗中傷がネット上に記録されてしまうため、長い間、心の傷に苦しむことになります。教師や親から見えにくいところでエスカレートしやすく、自殺など深刻な事態につながる事例も起きています。まずは一番近くにいる親や学校がネットいじめの特徴や兆候を知り、心のケアをしてあげることが重要であるとともに、いじめに関する書き込みを非表示にするなどネット関連の事業者も協力のうえ、有効な手立てを取る必要があります。また、ネット上でのいじめに限らず、仲間はずれや差別、陰口の類いが、いかに陰湿で卑劣な行為なのかを、折に触れて教える環境や手段を今後より一層充実させるべきでしょう。



3.最近の個人情報漏えい事故(2018年9月、10月)

 下記の表は、今年9月と10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトである▼Security Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
 

業種

発生原因

対象

備考

 1

地方銀行

書類紛失

顧客の氏名や住所等が記載された県税納付書の控え約2000件

誤廃棄の可能性

 2

公共財団法人

メール誤送信

参加者500名のメールアドレス

「Bcc」で送信すべきところを誤って「To」で送信

 3

市民病院

USBメモリ紛失

患者9000人の氏名や年齢

 4

市立大学

メール誤送信

75名分のメールアドレス

Bcc」で送信すべきところを誤って「Cc」で送信

 5

警察署

FAX誤送信

氏名等が記載された被害届1件

FAX送信する際、操作を誤ったため、報道機関4社に誤送信してしまった

 6

書類紛失

固定資産税や道民税などの当該取扱票17枚で、個人14名の氏名、住所及び税額等が記載

 7

メール誤送信

91名の氏名とメールアドレス

送信先を誤って宛先に設定

 8

ドラッグストア

書類紛失

顧客の氏名、住所等が記載された収納代行払込票の控え33枚

誤廃棄の可能性

 9

書類紛失

相談者と苦情先の氏名や住所、電話番号

書類を公用車に置いたままにしたところ、盗まれた

 10

県立病院

デジタルカメラ紛失

入院患者のID、氏名、生年月日、患部の画像等

 11

メール誤送信

申込者248名のメールアドレス

送信先を誤って宛先に設定

 12

市立小学校

USBメモリ紛失

児童28人分の名字、通知票の所見等

 13

放送局

書類紛失

受信料未払いの顧客の氏名、住所

誤廃棄の可能性

 14

電力

メール誤送信

620名分のメールアドレス

「Bcc」で送信すべきところを誤って「Cc」で送信

 15

協会

メール誤送信

131名分のメールアドレス

「Bcc」で送信すべきところを誤って「To」で送信

 16

USBメモリ紛失

408人分の氏名、住所等

 17

不動産

メール誤送信

メールアドレス1875件

「Bcc」で送信すべきところを誤って「To」で送信

 18

国立大学

USBメモリ紛失

学生31人分の氏名、所属学部、成績等

 19

メーカー

メール誤送信

顧客1450名分のメールアドレス

「Bcc」で送信すべきところを誤って「To」で送信

 20

信用金庫

書類紛失

個人・法人合わせて584取引分の氏名、取引や預かり内容

誤廃棄の可能性

 21

イベント

メール誤送信

メールアドレス350件

「Bcc」で送信すべきところを誤って「Cc」で送信

 22

書類紛失

11人分の氏名、生年月日、加入番号等

 23

エレベーター

メール誤送信

メールアドレス2,250件

「Bcc」で送信すべきところを誤って「To」で送信

 24

デジタルカメラ紛失

学生14人の写真データ30件が記録されたSDカード

 25

市立高校

書類紛失

生徒198人の氏名と健康状態、教員9人の氏名と電話番号のほか、農業体験などで利用した民家の代表者41人の氏名

 26

イベント

書類紛失

氏名、住所、メールアドレス等

誤廃棄の可能性

 27

県立高校

メール誤送信

生徒3名の学年、組、転学先等

送信先の抽出を誤り、生徒617人や保護者849人に送信された

 28

デジタルカメラ紛失

イベントの関係者や参加者

 29

県立高校

USBメモリ紛失

生徒301人および前任の高校の生徒480人

 30

県立大学

メール誤送信

メールアドレス28件

「Bcc」で送信すべきところを誤って「CC」で送信

 31

人材

ノートパソコン紛失

顧客の会社名、氏名、電話番号、役職、メールアドレス等

 32

メール誤送信

職員1,736人の氏名、所属、メールアドレス等

メール送信時に内容を確認せずに送信したため、誤添付

 33

地方銀行

書類紛失

顧客730人分の氏名や住所、生年月日、口座番号、取引金額など

誤廃棄の可能性

 34

通販サイト

不正アクセス

部顧客のクレジットカード情報が外部に流出した可能性

調査中

 35

書類紛失

個人情報の記載された医療意見書1111人分

申請書や請求書の自宅への持ち帰りや、公費で支出すべき経費の未払いや私費による支払いなど、不適切な事務処理を行っていた。
同県では同職員に対し、停職4カ月の懲戒処分とし、課長補佐級から主査級に分限処分を行う。また監督責任がある7人に対して訓告や文書注意などを実施

 36

不動産

書類紛失

顧客260人分の氏名や住所、連絡先

駐車場に停めていた車両が車上荒らしに遭った

 37

市立小学校

書類紛失

児童22人の氏名

突風により児童名簿1枚がバインダーから外れ、プールの外へ飛ばされた

 38

信用金庫

書類紛失

48件の顧客確認作業票および顧客総合照会票などで氏名や住所、電話番号、生年月日、預金残高

誤廃棄の可能性

 39

消防局

メール誤送信

メールアドレス104件

送信先を誤って宛先に設定

 40

県立高校

PC、USBメモリ紛失

生徒163人の個人情報と、同校の生徒259人の成績データ

列車で移動する際、鞄ごと車内に置き忘れた

 41

書類紛失

氏名や住所、前住所、電話番号、生年月日、本籍情報のほか、申出者が指定した者の氏名、住所、その家族2人の氏名など

 42

市立小学校

USBメモリ紛失

児童28人分の通知表所見の下書きや学級通信など

 43

メール誤送信

内部不正の告発をした通報者の氏名

通報のメールを受信した府コンプライアンス委員の弁護士が、公益通報制度の担当窓口である同府法務課にメールを転送。
その際、メールの本文では個人を特定する情報が伏せられていたが、添付ファイルでは、本来ならば黒塗りすべき通報者の氏名が記載されたままだったという。
さらに同メールを受信した法務課においても、メールの内容を十分確認せず、通報者の氏名を確認できる状態で不正の関連部署へメールを転送していた。

 44

メール誤送信

メールアドレス248件

宛先を誤って宛先に設定

 45

不動産

書類紛失

顧客数十人分の個人情報

 46

福祉センター

メール誤送信

メールアドレス50件

送信先を誤って「CC」に設定

 47

仮想通貨

不正アクセス

約67億円に相当する仮想通貨が不正に出金

 48

地方銀行

書類紛失

顧客の氏名や住所、本人確認書類の写しなど50件

誤廃棄の可能性

 49

通販

不正アクセス

顧客の氏名や住所、電話番号、メールアドレス、購買履歴など

 50

不正アクセス

不明

2015年10月にフリーメールのアカウントを取得しており、スキャナやカードリーダーで取り込んだ文書や写真などを課内へ送信するため、過去3年間にわたり利用していたという。

 51

SNS

不正アクセス

約5000万のアカウント

 52

USBメモリ紛失

人分の氏名や住所など

 53

国立大学

不正閲覧

事務職員が業務用に貸与されているパソコンとネットワークを私的に使用。断続的にアダルトサイトを閲覧。内部から通報があり、本人と関係者から聞き取り調査を行ったところ、問題が判明。同職員が業務用のシステムを利用してアダルトサイトを閲覧していた時間は、調査対象となった約2年間で労働時間の内外あわせて約1220時間。そのうち約730時間は勤務時間内だった。同大では、職員として不適切な行為であり、同大の就業規則で定められている勤務怠慢や備品の私的利用など違反行為にあたるとして、同職員に対し、停職6カ月の懲戒処分を実施。

 54

ドラッグストア

書類紛失

顧客の氏名や住所、電話番号、生年月日、性別など

 55

出版

不正アクセス

一部登録会員のメールアドレスとパスワード

 56

メーカー

メール誤送信

株主1183人分のメールアドレス

 57

書類紛失

調査対象者の氏名13件と住所6件

 58

通販

不正アクセス

同サイトを利用したのべ2145人が、クレジットカード情報を詐取された可能性がある。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる

 59

飲食

ノートパソコン紛失

新卒採用募集にエントリーした学生や、会社説明会を予約した学生、インターンシッププログラムを予約した学生など、3038人分の個人情報で、氏名や電話番号、学校名、学部、学科、性別など

 60

国立大学

メール誤送信

メールアドレス51件

送信先を宛先として送信

 61

図書館

メール誤送信

メールアドレス3294件

送信先を誤って宛先に設定


 「51」の事案は、米フェイスブックの大量の個人情報が不正に流用された問題で、データを預けるリスクを利用者に改めて知らしめたものといえます。本件は単なるデータ流出ということだけではなく、膨大なデータを売って稼ぐビジネスモデルの安全性と透明性が問題視されています。例えば、政治目的を伏せながら利用者を情報操作する目的で広告宣伝し、知らぬ間に意思決定に影響されるようなことがあってはなりません。これは日本でも同様であり、ネット各社も利用者の同意を得た上で、趣味や購買履歴などのデータを第三者に提供することもあると利用規約に明記しているものの、ネット利用者の大部分はそれを知りません。事業者による、預けた情報の倫理的で透明な利用については、悪用への不安を払しょくする「保護」の要請を十分に満たすことが個人データを有効活用するうえでの大前提となります。

 米フェイスブックを巡っては、今春に最大8700万人分の情報流出が発覚、9月末にもサイバー攻撃で約5000万人分が流出した恐れがあると発表したばかりです。フェイスブックは、相次ぐ利用者の安全とプライバシーを軽視した管理体制を厳しく問われることになります。本件に限らず、SNS上にある出身地や宗教・政治上の所属団体、職歴や学歴、それに交友関係についての情報は、悪意ある第三者にとって、将来にわたり活用手段、攻撃の中継経路として利用価値があります。情報流出問題は、現時点で二次被害などが確認されていないとしても、本人の預かり知らぬところで悪用されるリスクがあり、一過性の事件事故として看過してはなりません。

 今年10月には、米フェイスブックに続き、米グーグルもソフトウェアの不具合から最大50万人分の個人情報が外部に流出した恐れがあると発表しました。グーグルは今年3月、今回の問題に気付いたが、「情報が不正に利用された形跡がない」「影響の範囲が不明である」などの理由で公表を控えてきたとしています。現状では被害は確認されていないとしても、流出した個人情報の多くが闇サイトなどでの取引材料となり、将来的に犯罪集団にわたる恐れがあります。数十億人の個人情報を保有し、利用者の個人情報を集めて収益を得ている事業者としての責任は重く、信頼感を高めるには、透明性を向上させることが欠かせません。何よりも規制強化や企業イメージへの影響を回避するため、事実を隠していたことが問題視されますし、このような開示姿勢は被害を回避するための近道とはなりません。

 個人情報の位置情報や購買履歴など「パーソナルデータ」の利活用への期待が高まっています。ビッグデータや人工知能、あらゆるモノがネットに繋がるIoTなどの技術の進展で、その主要な材料であるパーソナルデータの価値は一層大きくなっています。パーソナルデータの重要性は他の一般的なデータとは一線を画しています。人間の行動をダイレクトに把握・予測できるからです。そして、そのデータを生み出す主体は個人となります。したがって、パーソナルデータの利活用が促進される前提として、個人がデータを提供するという意思決定が不可欠となります。


ページ先頭へ


セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。


【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

関連コンテンツ
個人情報漏洩時の対応コンサルティング

万一、貴社にて個人情報漏洩事案が発生してしまった場合には、専門のスタッフが責任を持って支援させていただきます。事案の規模を問わず、お気軽にご相談ください。

コラム&レポート

公式ツイッター

SPクラブメンバーズサイト