情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)改正個人情報保護法の動向
2)改正のポイント
3)個人情報の定義
4)個人識別符号
5)個人情報の適用・内容を正しく認識する
1.改正個人情報保護法の動向と今後の取り組みについて(1)
1) 改正個人情報保護法の動向
個人情報の保護に関する法律(以下、「個人情報保護法」という)は、平成15年に公布されました。個人情報保護法は、平成17年に全面施行されて以来、10年以上にわたり、実質的な改正は一度も行われませんでした。個人情報保護法の施行後、ビジネスにおける個人情報の利用形態や位置づけは非常に多種多様なものとなり、最近では購買履歴や位置情報をはじめとする個人に関する情報(パーソナルデータ)から当該個人の趣味・嗜好を分析し、それに応じた広告を配信するといった、個人情報保護法制定時には想像もされていなかった形態での個人情報の利活用も行われるようになっています。「パーソナルデータ」は、「個人に関する情報」などと説明され,個人情報保護法上の「個人情報」(特定の個人を識別できる情報)のように保護すべき個人の情報を意味するものだけではありません。
例えば、国の統計情報のように「特定の」個人までは識別できずとも、個人の情報も含む広い概念です。中でも、パーソナルデータの利活用に関して留意すべきトピックは、「匿名加工情報」です。これは個人が特定されないようにデータを加工し、なおかつ復元もできないデータのことで、本人の同意がなくとも利用できるとしています。例えば、IoT(Internet of Things)における機器が収集したセンサーデータを匿名加工情報にすることで、その活用法は大きく広がるとされます。ただし、匿名加工情報は個人情報保護委員会のルールにのっとってデータを加工する必要があるほか、他社提供時の公表義務、堅牢なセキュリティを確保しなければならないなどの制約・課題もあります。
IoTが収集するデータには、個人の行動履歴を中心としたパーソナルデータが多く存在します。これらのデータはそれ自体もプライバシー性が高いほか、外部情報との照合等により個人を特定する可能性が高いものです。IoTの進展により、身の回りのセンサーの数が飛躍的に増大し、本人が十分に認識しないままにセンシング(識別・測定)され、データを取得される可能性があり、個別にデータ取得を回避することも困難になるというリスクも持ち合わせています。IoTにはデータの対象者、所有者、分析者、分析結果の利用者、機器の設置者等、多くの利害関係者(マルチステークホルダー)が存在し、IoTのデータの特性や関係者の存在を考慮して、管理面の検討を進める必要があるということです。
また、個人情報がビジネスにおいて広く利活用されるに伴い、消費者によるプライバシーに対する権利意識も高まっています。また、現行の個人情報保護法の規定の曖昧さから、事業者による個人情報の利活用が躊躇されているという指摘もあります。企業活動のグローバル化に伴って、国境を越えた情報の流通が容易になり、世界的に個人情報やプライバシー保護に関する法整備が進んでおり(OECDプライバシーガイドラインの改正や米国プライバシー権利章典公表、EU個人データ保護規則改正案可決など)、日本でも、この動きに対応して制度の国際的調和を図る必要性が指摘されています。これまでEUは「EUデータ保護指令(95/46/EC)」を定めていましたが、その実態は国によって大きく異なっていたため、これを統一するとともに保護法の範囲を拡張、個人の権利の強化や企業への説明責任の導入、制裁と執行の増大を目的に一般データ保護規則(General Data Protection Regulation:GDPR)に移行するということになっています。(2018年から適用が開始される予定。)
その他にもプライバシーや人権配慮という観点から、インターネット検索エンジンの検索結果の過去の犯歴等を削除するという、いわゆる「忘れられる権利」が認められるケースも増えています。犯罪歴を例にすれば、本人にとって知られたくない情報ほど、社会にとっては残しておくべきだという考え方もあります。これは決して偏見や差別を意図するものではありませんが、過剰な人権やプライバシーの配慮は、ときに企業・組織・個人の間で、付き合う相手を「知ることができない」(例えば反社チェックの実務等に及ぼす影響)というマイナス面にも目を向けなければなりません。この議論は、検索エンジンの検索結果の削除の問題に終始していても進まないものであり、そもそも元サイトにある大元のデータをどう扱うのかを含め、さらなる議論が必要といえます。また、EUや米国では、端末識別情報を保護対象とする報告を打ち出しており、自動収集された履歴によって個人の経済状況や健康状態、嗜好などが推測される可能性も広く認知されるようになり、「プロファイリングされない権利」として、規制の動きも出ています。
国内から海外におけるデータ移行の越境や十分とされる管理のあり方、ネット上の「忘れられる権利」に関する詳細ついては、あらためて「情報セキュリティトピックス」で触れたいと思います。
日本国内での動きとしては、「個人情報の適正かつ効果的な利活用にも配慮しつつ、個人の権利利益を保護し、また、海外における規制とも国際的な調和のとれる制度の構築をすべく」、平成27年9月に「個人情報の保護に関する法律及び行政手続きにおける特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(以下、「改正法」という)が公布されました。
今後、改正法の施行にあたり、情報の利活用や流通に対する委縮の動きや、管理・プライバシー面での過剰反応も予想されます。事業者としては、今回の検討・改正により、消費者のプライバシー保護と情報の安全性を確保しつつ、パーソナルデータの利活用を現在より進めやすくする環境が整備されることが望まれます。
さて、改正法による改正事項は多岐にわたりますが、今回の「情報セキュリティトピックス」から複数回にわたって取り上げ、今後企業がどのような事項に留意すべきかという観点から、改正事項の概要をあらためて整理していきます。まず、今回は改正法のポイントを再度整理してまとめるとともに、改正法における「個人情報の定義」をメインに取り上げます。
なお、改正法の施行日は条文ごとに異なり、その一部は平成28年1月1日に施行済みですが、事業者の義務に関わる部分は、追って政令が定める平成29年9月8日までの日に施行されることになっています。事業者は、それまでの間に、改正法の施行に向けた準備を整える必要があります。
2) 改正のポイント
消費者による個人情報やプライバシー等の権利保護の意識が高まりを受け、「個人情報」の範囲や事業者が遵守すべき規制の曖昧さ等から生じるグレーゾーンが「利活用の壁」となり、パーソナルデータの利活用を躊躇させている側面もあります。また、社会活動のグローバル化に対応し、国際的な調和のとれる制度を構築する必要性も指摘されています。
改正法では、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」が目的として明示されました。上記のとおり、改正法は、新産業の創出、経済の活性化、国民生活の向上の実現のほか、個人情報の有用性に配慮しつつ、個人の権利を保護することを目的としています。改正のポイントは、(1)個人情報の定義の明確化、(2)適切な規律の下で個人情報等の有用性を確保、(3)個人情報の保護を強化、(4)個人情報保護委員会の新設、(5)個人情報の取り扱いのグローバル化、(6)その他小規模取扱事業者の除外規定の廃止です。個人情報保護委員会の公表資料をもとに以下のとおり要点とポイントをまとめています。
【改正のポイント】
(1)個人情報の定義の明確化
- 「個人情報」の定義の明確化
「個人情報」の定義の曖昧さから生じるグレーゾーンを解消するべく、改正法では、定義をより明確化するため、個人情報に「個人識別符号がふくまれるもの」が明記されました。その詳細は政令に委ねられています。- 「要配慮個人情報」の規定の新設
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴など取扱に特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいい、改正法では要配慮個人情報についてあらかじめ本人の同意を得ない取得が原則として禁止されました。また、要配慮個人情報の秘匿性に配慮し、オプトアウトによる第三者への提供の規定は、要配慮個人情報には適用されません。(2)適切な規律の下で個人情報等の有用性を確保
- 「匿名加工情報」に関する取扱い等の規定の新設
改正法では、「匿名加工情報」について、一定の措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人の情報を復元することができないようにしたものであると定義されています。その利活用可能な範囲や方法を明確化するため、匿名加工情報を第三者に提供するための要件、必要かつ適切な安全管理措置の構築、匿名加工情報と他の情報との照合禁止が定められました。
- 個人情報保護指針の作成や届出、公表等の規定の整備
認定個人情報保護団体は、個人情報の適正な取扱いのため、個人情報保護指針を作成するように努めなければならず、作成・変更について個人情報保護委員会に届け出る必要があり、届出を受けた個人情報保護委員会は当該個人情報保護指針の公表が義務とされました。(3)個人情報の保護を強化
- 第三者提供に係る確認及び記録の作成・保存義務(トレーサビリティの確保)の規定の新設
個人情報取扱い事業者が、第三者との間で個人データの授受を行う場合に、原則として、情報提供者・受領者の指名・名称や情報取得経緯等の確認及び記録の作成、当該記録の一定期間の保存が義務とされました。
- 個人情報データベース等提供罪の新設
個人情報取扱事業者等が不正な利益を図る目的により個人情報データベース等の提供を行ったことに対する罰則として、個人情報データベース等提供罪が新設されました。(4)個人情報保護委員会の新設
- 個人情報の適切な取扱いを図るため、個人情報保護委員会を新設し、個人情報取扱事業者の監督等を行うことになりました。
(5)個人情報の取り扱いのグローバル化
- 外国にある第三者への個人データの提供に関する規定の新設
個人データを外国の第三者へ提供する場合の規定が新設されました。また、政府は国際的に整合のとれた個人情報の制度を構築するために必要な措置を講ずる旨の規定が新設されました。
- 域外適用と外国執行当局への情報提供に関する規定の新設
国内にある者の個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合に、個人情報保護法の一定の条文の適用がある旨が規定されました。例えば、外国に事業活動の拠点が有り、日本国内向けにインターネット等で販売等のサービスを提供しているとします。その際、日本の居住者等から個人情報を取得する企業に対して個人情報の取得の場面についてしか日本法の適用が及ばないとすると、日本の居住者等の個人情報が取得後に不当に取り扱われることがあっても、それに対して、日本として有効な対策をとることができず、個人情報の保護として十分と言えないことになります。そこで、改正法では、外国において日本にある者から個人情報を取得した事業者については、その後も当該個人情報が適正に取り扱われるように日本の個人情報保護法を適用することとしています。
また、適切な法執行を担保するため、個人情報保護委員会が外国執行当局に対して、職務の遂行に資すると認める情報の提供を行うことができる旨の規定が新設されました。外国にある第三者についても、個人情報保護法が認める範囲で、個人情報保護法の定める罰則が適用され、また、不法行為として民事上の責任を追及されることが考えられます。外国での執行については、個人情報保護委員会から外国の執行当局への情報提供が認められています。(6)その他小規模取扱事業者の除外規定の廃止
- 小規模取扱事業者の除外規定の廃止
取り扱う個人情報が5000件以下の小規模取扱事業者を個人情報取扱事業者から除外する規定が廃止され、小規模事業者は個人情報保護法の規制を受けることになりました。
- 個人情報データベース等の定義の限定
個人情報データベース等の定義から、「利用方法からみて個人情報の権利利益を害するおそれが少ないものとして政令で定めるもの」が除外されました。
- オプトアウトによる本人の同意を得ない第三者提供の届出、公表等の義務の厳格化
改正法は、個人情報取扱事業者に対して、オプトアウトにより個人データを第三者提供する場合には、第三者への提供を個人データの利用目的とすること等を個人情報保護委員会に届け出ることを義務付けました。また、届出を受けた個人情報保護委員会は、当該届出事項の公表が義務付けられました。
- 利用目的の制限の緩和
既に保有している個人情報の利用目的を変更する際に、本人の同意を取得することは困難であることから、改正法では、円滑な利活用を促進するため、従来「相当の関連性」を要求していた規定を変更し、変更前の利用目的と「関連性」を有すると合理的に認められる範囲であれば、個人情報取扱事業者は、本人の同意を取得することなく、利用目的の変更ができることになりました。
- 開示、訂正、利用停止等の請求権を明示
改正法では、本人による積極的な救済手段を認めるため、本人が個人情報取扱事業者に対して、裁判上行使できる権利として開示、訂正、利用停止等の請求権を有することを明示しました。他方で、事業者の訴訟対応の負担に一定の配慮をするため、当該請求権を行使するには、訴えの提起前に事業者へ訴訟外で開示の請求を経ることを必要としました。
3) 個人情報の定義
個人情報については、従前の定義に加え、個人識別符号が含まれる情報も個人情報とされました。しかし、従来から「特定の個人」を識別することができるものが個人情報に該当するとされていましたので、今回の改正は定義の拡充ではなく、曖昧だった部分が明確化されたということです。なお、個人識別符号については、「政令で定めるもの」が該当することになりますので、具体的には今後制定される政令を確認する必要があります以下の表に、現時点で予定(予想)されている個人情報の類型をまとめましたのでご参照ください。
| 個人情報に含まれるもの | 氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス |
|---|---|
| 改正後含まれるもの | 指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報 |
| 改正後、取扱いについて特に配慮を要する個人情報 | 人種・信条・社会的身分/病歴/犯罪歴・被害歴 |
改正法では、「個人情報」の定義を、生存する個人に関する情報であって、次のいずれかに該当するものと定義しています。(1)当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。(2)個人識別符号(後述)が含まれるもの。
いわゆるビッグデータの分析により、取得等の際に特定の個人が識別されなかった情報でも、他の個人に関する情報との組み合わせや結合などによって特定の個人を識別することが可能な場合があります。これらの情報は個人情報保護法の定義に基づく「個人情報」に該当しないこともあるため、法改正の検討過程では、法が定める個人情報のみならず「広く個人の行動・状態等に関するデータ」を便宜上「パーソナルデータ」と呼称していました。また、法改正の検討過程では、実質的に個人識別性を有する情報を保護対象に含めるべきであるとの方向性が示されていました。しかし、個人情報の定義の拡充に慎重な意見が法案審議前に示され、国会に提出された法律案では、個人情報の定義の「拡充」ではなく「明確化」にとどまったという経緯があります。
4) 個人識別符号
「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいいます。
- 「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」(2条2項1号)
- 「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」(2条2項2号)。
この条文だけでは分かりにくいと言えますが、これらに該当する情報は、(1)本人または本人の所有物との密接性 (2)一意性(他と重複しない)(3)不変性/変更可能性(容易に変更できないもの)という3つの基準に基づいて定められることになります。具体例を挙げるとビデオカメラで顔を撮影し、顔画像から目の間の距離や鼻の長さなどの顔貌の特徴を抽出した特徴や傾向がこれに該当します。
2つ目は、マイナンバー、運転免許証番号、旅券番号、基礎年金番号、健康保険証番号等が該当します。携帯電話番号、クレジットカード番号、メールアドレスあるいはサービス提供のための会員IDなどは、さまざまな契約形態や運用実態があることから、現時点においては一概に個人識別符号に該当するとは言えないとされています。
固定電話番号についても、固定電話の回線を家族、同居人と共有することが一般的であるため該当しません。携帯電話の通信端末IDなど、単に機器に付番される識別符号も個人識別符号には該当しないことになります。ただし、これらの識別子については、近時のIoT(モノのインターネット)などさまざまなモノがネットワークを介して利用できる環境では、それらのモノの利用に際して個人に関する情報が取得されたり、場合によっては特定の個人を識別できるようになることも想定されます。
情報の分析など取り扱いをめぐる新たな技術開発やその利用方法によっては、個人情報になり得る情報の範囲も変わるため、技術動向を注視しつつ社会実態を反映して、どのような情報が個人識別符号に該当するのか継続的に検討を行うことが求められています。ちなみに、個人情報保護委員会は2016年8月2日、改正個人情報保護法の政令案と委員会の規則案を公表しましたが、携帯電話番号はそれ単体のみでは個人情報の対象外となっています。
なお、参考までに、一昨年、ヤフー株式会社は、ビッグデータ活用を推進する立場から、改正法骨子に対する懸念点として同社が考える「成長戦略としてのプライバシー保護のあり方」について公表しています。そこでは、「現在の制度見直し方針案にはデータを活用している事業者の意見が反映されておらず、データ利活用の過剰な規制はビッグデータ関連ビジネスの足かせとなり、日本のIT産業を衰退させる恐れがある」と警戒していました。
5) 個人情報の範囲・内容を正しく認識する
以上のように、「個人識別符号」としてどのようなものがあるのかという点については最終的には政令に委ねられていますが、いずれも「当該特定の個人を識別することができるもの」や、「特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」とされていますので、改正前の個人情報保護法の定義を拡大するものではなく、より明確化したものにすぎないと言えます。
なお、改正前の個人情報保護法下では防犯カメラの映像は個人情報か否かなどの議論もありましたが、個人情報取扱事業者は、本改正を機に、氏名・住所・生年月日などの分かりやすい個人情報以外にも、顔認識データ、指紋認識データ、マイナンバー、旅券番号なども本人を識別することができる場合には個人情報に該当するということを再確認し、適正な管理を心掛ける必要があります。
また、携帯電話番号やメールアドレスなど、これまで個人情報に該当するかどうかが不明瞭で、グレーゾーンとして取り扱われてきた情報に関し、企業は社内における情報の洗い出しを通じて、個人情報としての管理を改めて検討する必要があります。要配慮個人情報についても、該当する情報の特定や、今後新たに取り扱う可能性を検討することが望まれます。これらの取り組みは、今後個人識別符号の定義や要配慮個人情報の具体的内容が政令によって明確になった時点で開始することが、実務上の効率的な進め方になると考えられます。
個人情報の利活用の動向については、規制緩和と規制強化の二つの要素が共存していることに留意する必要があります。どちらかというと医療や金融分野など積極的活用の流れにあるように思われますが、利用する企業側は、保護と活用のバランスというよりは、活用にあたりしっかり保護するという視点を持たなければなりません。
事業者として考慮しなければならないことは、単体では個人情報に該当しない場合であっても、一般的にインターネット等に公開されている外部情報との突き合せによって個人を特定できることや、当初想定できなかった特定の個人の情報が抽出される可能性を排除することができないということです。一定の匿名化措置(個人情報をある定められた手順で加工)を行っても、必ず識別性または特定性を無くせるわけではなく、また、そうした匿名化の措置に対して一般的な水準はないとの前提に立つ必要があります。
昨今の情勢を見てのとおり、ほとんどの産業がITと密接に結びついているため、新しい技術やサービスが広まれば、同時にサイバー攻撃を受けるリスクも高まるというジレンマにどの企業や個人でも陥っています。特に医療等のIT化が進めば、これまで外に出ることが想定されていなかった個人情報までサイバー攻撃の対象になってきます。北米では2016年に入ってから医療機関を狙うランサムウェアが急増しており、実際にいくつかの大病院のシステムがサイバー攻撃を受け、業務が一時的に麻痺するという事故まで起こっています。不幸中の幸いにも、この一連のサイバー攻撃の影響による死者は出ていないものの、今後もそういった事態に繋がらないとは限りません。
医療データを巡っては、日本政府内でも病気の治療や健康診断の結果を「ビッグデータ」として活用しようという動きが出ています。医療データをビッグデータ化できれば、大学などの研究機関が治療法や新薬の開発などに役立てることができます。
改正法では、患者の同意がないと医療データを集められないため、国が認定した機関が医療目的で使う場合に限り同意なしでの収集ができるよう、近く法改正を行って効率化する見通しです。当然、集められたデータは個人が特定できないよう匿名化するのが前提ですが、各医療機関から集約されたデータは、「医療制度番号」の個人番号で紐付けられることになります。高齢化が進む日本にとって、医療ビッグデータの活用は医療費抑制に繋がる建設的な取り組みの一つであるのは間違いありませんが、世界各国がIDシステムに依存した個人情報の侵害への対応や脆弱性への手当てには現状でも苦慮している状況にも目を向けなければなりません。
次回は、「要配慮個人情報」、「個人情報データベース」、「個人情報取扱事業者の範囲」、「EUの十分性認定」について取り上げます。
2.最近のトピックス
◆内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部 第9回会合(持ち回り開催)
政府は、サイバーセキュリティ戦略本部の第9回会合を開催し、サイバーセキュリティ政策の年次計画である「サイバーセキュリティ2016」を決定しました。同計画は、サイバーセキュリティ基本法のもと、政府が閣議決定した「サイバーセキュリティ戦略」を踏まえて策定しており、経済発展に向けたセキュリティ施策をはじめ、国民や社会の安全確保、国際平和や安全保障など、各省庁で取り組みを進めるほか、研究開発や人材育成では横断的な取り組みを推進するとしています。また、経済発展の施策では、制度整備や技術開発などを踏まえた「安全なIoTシステムの創出」をはじめ、経営者の意識改革や人材育成を踏まえたセキュリティマインドを持った企業経営の推進、セキュリティ関連産業の振興などを盛り込んでいます。
セキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実です。そのためセキュリティ対策は重大な穴に対する力のいれどころとメリハリが重要であり、経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示する必要があります。とはいえ、企業がリスク管理に投入できるリソースは限られています。リソースを重点的に配分しようとする「リスクベース・アプローチ」が実務的かつ有効だと言えます。
◆トレンドマイクロ 日本と海外の脅威動向を分析した「2016年上半期セキュリティラウンドアップ」を公開
トレンドマイクロが発表した2016年上半期の国内におけるランサムウェア被害報告によると、件数は前年同期比の約7倍となる1740件に達し、ランサムウェアの検出台数も約9.1倍の1万6600台と過去最悪だったとしています。検出台数は、トレンドマイクロ製品によりランサムウェアが検出されたPCの台数であり、中でも法人での被害拡大が顕著で、被害報告件数の87%、検出件数では前年比で35倍にも上っています。
トレンドマイクロでは、2016年上半期に新種のランサムウェア79種を確認したとのこと。2015年の1年間で確認された29種の約2.7倍となっており、この79種が、1~6月に検出されたランサムウェアの53%を占めており、中でも2016年2月に登場が確認された「LOCKY」は、検出台数の半数を占めています。新種のランサムウェアが次々に開発されて流通していることから、トレンドマイクロでは、サイバー犯罪者が金銭的利益を得るための有効な攻撃手段として認識し、現在最も注力しているとの見方を示しています。
◆NRIセキュアテクノロジーズ「企業のサイバーセキュリティに関する動向を分析
~標的型メールの侵入リスクはゼロにはならず、それを前提とした多層防御が必要~」
NRIセキュアテクノロジーズは8月18日、同社が顧客企業等に提供した情報セキュリティ対策サービスを通じて蓄積したデータを元に、最新の動向分析と推奨する対策を「サイバーセキュリティ傾向分析レポート2016」として発表しました。その中で注目すべくは、標的型攻撃メールの開封率の改善は見られないという項目です。
2015年度に実施した「標的型メール攻撃シミュレーション)」サービスの結果を分析したところ、およそ従業員は8人に1人、役員は5人に1人が標的型メールに添付されたファイルを開いたり、URLをクリックしたりしてしまうことが分かっています。この割合は過去3年にわたり大きな改善が見られず、標的型メール攻撃は依然として脅威であることを現わしています。標的型メール攻撃の巧妙さは徐々に増し、受信者が気づくことが難しくなってきています。そのため、受信者が標的型メールを開封してしまう前提で、企業内での対応を整理したり、システム面での予防/検知策を導入したりするなど、対策を多層的に検討していく必要があります。
3.最近の個人情報漏えい事故(2016年7月、8月)
下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | 書類紛失 | 高齢者など対象にした夕食宅配サービス利用者47人分の氏名や住所、連絡先などが記載された名簿 | 配達員が1軒目の配達先でバイクの荷台に保管していた配達先確認用名簿がないことに気付いた |
| 2 | 市立小学校 | 手帳紛失 | 児童28人の名前や住所、集金の記録など | 教諭がバイクで帰宅中、ファスナーが開いたままの肩掛け鞄から手帳を落とした |
| 3 | 市立中学校 | USBメモリ、デジタルカメラを紛失 | 生徒182人分の氏名や成績のほか、学校行事などの写真400枚など | 教諭が自宅作業のために使用していた私物のUSBメモリとデジタルカメラ |
| 4 | 市立中学校 | 書類紛失 | 生徒の成績などを含む書類や答案用紙で、3校の生徒約240人の評価など | 持ち出し中に紛失 |
| 5 | 市立中学校 | 書類紛失 | 健康診断や緊急連絡の際に使う「保健調査票」で、生徒35人の氏名のほか保護者の連絡先など | |
| 6 | 航空会社 | USBメモリ紛失 | 社内教育用に使用するための通話記録235件 | 53件について個人を特定出来る可能性があるとし、同社では、個別に連絡を取っているとしている |
| 7 | 区立中学校 | 名簿、デジタルカメラ紛失 | 生徒78人の名簿のほか、社外学習時の写真約800枚を含むデジカメ | 教員が陸上競技場で鞄の置き引き被害 |
| 8 | 農協 | 書類紛失 | 発送伝票34枚で顧客の氏名や住所、電話番号 | |
| 9 | ガス | 書類紛失 | 伝票兼請求書の控え79件で、顧客の氏名や顧客番号、請求額 | |
| 10 | 海上保安 | 書類紛失 | 容疑者2人分の名前や住所、職業、供述内容などを含む捜査資料 | 職員が捜査中に現場である市内の堤防岸壁に置き忘れ |
| 11 | 私立大学 | USBメモリ | 在学生と卒業生約450人の氏名や成績など | 非常勤講師が所有していた私物のUSBメモリ |
| 12 | スポーツ用品 | 書類紛失 | 顧客情報を含む申込書やノートで、顧客約150人分の氏名や住所 | 誤廃棄の可能性 |
| 13 | 県立高校 | USBメモリ紛失 | 生徒57人分の氏名や評価など | 教諭が自宅で作業を行うため持ち出した業務用USBメモリ |
| 14 | 地方銀行 | 書類紛失 | 休眠口座の管理表や印鑑届などの書類など70支店の顧客約3万8000人分 | 誤廃棄の可能性 |
| 15 | 市 | 書類誤送付 | 上下水道お客様センターから送付した口座振替依頼書 | 別人宛ての依頼書を同封 |
| 16 | コンビニエンスストア | 書類紛失 | 料金振込票15人分 | 店舗から社内便バックに入れて同社管理センターへ運搬の際、バックのファスナーを閉め忘れ、運搬中に紛失 |
| 17 | 市民病院 | ハードディスク紛失 | 患者147人の氏名や病名、手術に関する情報など | 自宅の駐車場で車上荒らしに遭い、車内に放置していた書類やハードディスクが盗難 |
| 18 | ガス | 書類紛失 | ガス導管図2枚を紛失し、最大100件の顧客氏名とガス配管に関する情報 | 後日場建物内で発見され、回収 |
| 19 | 市 | デジタルカメラ紛失 | スポーツイベントに参加した小学生の様子など約100枚の写真 | |
| 20 | ガス | 書類紛失 | 領収書綴り1冊で、顧客12件の氏名や領収金額など | |
| 21 | 私立大学 | USBメモリ紛失 | 寮生60人の氏名や所属学科のほか、寮監10人の連絡先など | |
| 22 | 府立高校 | 書類紛失 | 緊急時用に管理していた生徒11人のパスポートの写しや入国書類の写しなど | |
| 23 | 警察署 | FAX誤送信 | 事件関係者の個人情報が記載された内部資料関係者5人の氏名や住所 | |
| 24 | 医科大学 | メール誤送信 | 27件のメールアドレス | 誤って宛先に設定 |
| 25 | 特別支援学校 | USBメモリ紛失 | 児童や生徒に関する355人分の資料が保存されており、指導計画をはじめ、通知票や指導要録への記載情報、学級委員等認証状、名簿など | 匿名でUSBメモリが届き、発覚。USBメモリは教諭の私物で、授業など利用する資料などを保存していたが、2012年4月16日に校内で紛失。2016年4月19日に阿波座付近で拾得したとして大阪府教育庁に届いた。 |
| 26 | 市 | 不正持ち出し | 国民健康保険の加入者へ特定健康診断の受診を勧める電話をかけるために作成したデータ約13万件のデータの持ち出しで、あらたにパソコンとUSBメモリに保存されていた613ファイルの内容を調査したところ、あらたに個人情報が含まれる11ファイルが見つかった。 | 元職員による持ち出し |
| 27 | 放送 | 誤開示 | 氏名や住所、電話番号、メールアドレス、購入枚数などの個人情報で最大3506人分 | |
| 28 | 動物園 | 不正アクセス | 関係者の氏名や郵便番号、住所、電話番号、メールアドレス、連絡事項など868件 | |
| 29 | イベント | メール誤送信 | 応募者450人分のメールメールアドレス | 誤って宛先に設定 |
| 30 | ホームセンター | 書類紛失 | クレジットカードの申込書21件で、申込者の氏名、住所、電話番号、性別、生年月日、世帯や住宅の状況、運転免許証番号、年収、借入状況、暗証番号など | |
| 31 | ガソリンスタンド | ノートPC紛失 | 灯油の配達先に関する3641件の情報や、車検を実施した顧客199件の氏名や住所、電話番号など、あわせて3840件の顧客情報 | |
| 32 | 市 | 書類紛失 | 外国人から提出された戸籍届書675件 | 誤廃棄の可能性 |
| 33 | 農協 | 書類紛失 | オンライン入力票1496件と、2015年度以前の国庫金振込に関する明細表886件で、顧客の氏名や住所、口座番号、取引金額、基礎年金番号などが記載 | 誤廃棄の可能性 |
| 34 | 旅行 | メール誤送信 | 宛先とメールの本文がずれた状態で50件のメールを送信し、受信者以外へ氏名や住所、生年月日、パスポート情報などが閲覧できる状態にあった | |
| 35 | 鉄道 | メール誤送信 | 79人分のメールアドレス | 誤って宛先に設定 |
| 36 | 印刷 | 不正アクセス | 顧客の氏名や法人名、住所、電話番号、ファックス番号、メールアドレス、ログインIDとパスワード、法人向け決済サービスの自動振替用個別番号など | |
| 37 | 転職支援サイト | 不正アクセス | 1105人分の顧客情報。氏名や住所、電話番号、国籍、性別、生年月日、メールアドレスのほか、最終学歴や職務経歴、履歴書など | |
| 38 | 市 | メール誤送信 | 169件のメールアドレス | 3月に発生した流出事故を公表 |
| 39 | 航空 | 誤開示 | 2015年5月から2016年7月18日にかけて1年以上にわたり、一部顧客の個人情報が含まれるファイルへアクセスできる状態だった | |
| 40 | コーヒーショップ | メール誤送信 | メールマガジン登録者480人のメールアドレス | 誤ってCcに設定 |
| 41 | 県 | 誤開示 | 個人情報22件をウェブサイト上で誤って公開 | |
| 42 | 国立大学 | 鞄、ノートPC紛失 | 保有する関係者の個人情報2562件をはじめ、企業32社、および7機関の情報を保存したノートパソコンのほか、期末試験の答案用紙など | 車上荒らしで鞄ごと盗難 |
| 43 | 保育所 | 名簿紛失 | 児童の氏名や保護者の携帯電話番号、メールアドレスなど | 車上荒らしで鞄ごと盗難 |
| 44 | 放送 | 不正アクセス | メール会員として登録しているリスナーの個人情報約11万件が流出した可能性 | |
| 45 | 医療センター | 書類紛失 | 専門医の登録申請のため、退院や転科した同センターの患者566人の情報をコピーした書類を持ち出し、使用 | 退職時に患者情報を無断で持ち出し、タクシーに一時紛失 |
| 46 | 百貨店 | ノートPC売却 | 顧客421人分の氏名や住所、電話番号、クレジットカード番号など | 1999年から2004年ごろにかけて、顧客の個人情報を自宅へ持ち帰り、私有パソコンへ保存していたもの。同パソコンをリサイクル店へ売却したが、データを十分消去しておらず、2005年ごろに流出した。 |
| 47 | 不動産 | USBメモリ紛失 | ポイントカードの会員に関する2684件の個人情報で、氏名や住所、ポイントカードの会員番号など | |
| 48 | 県 | 書類紛失 | 188人分のレセプトで、氏名や生年月日、性別、傷病名、診療内容などを記載。また福祉医療費請求書には、氏名や決定点数、決定金額など227人分が記載 | |
| 49 | 保育園 | 書類紛失 | 氏名のほか発達や成長の状況など、1クラスの園児25人分の情報が記載 | |
| 50 | 出版社 | メール誤送信 | 752件のメールアドレス | 誤ってCcに設定 |
| 51 | 化粧品 | メール誤送信 | 387件のメールアドレス | 誤って宛先に設定 |
| 52 | 和菓子店 | 不正アクセス | 1188人分のクレジットカード会員の氏名、クレジットカード番号、有効期限、住所、電話番号、メールアドレス | |
| 53 | 県立病院 | USBメモリ紛失 | 患者2236人の氏名や性別、生年月日、患者番号、傷病名などが保存されていた。そのうち319人については、住所や電話番号、健康保険に関する情報も含まれる 1年前に紛失 | 同医師は出張先で空いた時間に患者データを整理するため、許可なくデータを持ち出しており、当時後紛失については報告していなかった |
| 54 | 県 | 書類紛失 | 委員の活動地区の住民122世帯415人に関する氏名や住所、性別、生年月日、続柄など個人情報のほか、面談記録などを記載したノート2冊 | 民生委員児童委員の自宅で盗難 |
| 55 | 図書館 | 誤開示 | パブリックを提出した43人のうち、匿名2人を除く41人の氏名、住所、電話番号、メールアドレスが含まれる | 図書館の業務用端末によるアクセス34件を含む42件のアクセスがあった |
| 56 | 県立高校 | USBメモリ紛失 | 生徒57人分の氏名や1学期のテスト結果、評価など | |
| 57 | 市立小学校 | USBメモリ紛失 | 小学校36校の児童891人分に関する氏名、学校名、100メートル走の記録、および63人の氏名と学校名 | 暗号化の施策なし、教員の私物端末を利用 |
| 58 | 食品 | 不正アクセス | 最大479件の個人情報で、クレジットカード会員の氏名や会員番号、有効期限のほか、住所、電話番号、メールアドレスなど | |
| 59 | 放送 | メール号送信 | 75人に対し、問い合わせを行った別の人物のメールアドレスなど個人情報が記載されたメール | システム不具合 |
| 60 | 国立大学 | 誤開示 | 氏名、性別、身分、学修状況など、学生335人分の個人情報と、2014年度に年代測定総合研究センターが開催した体験学習の参加者および保護者24人分の氏名、性別、連絡先、学校名、学年など | |
| 61 | ゲームソフト | メール誤送信 | メールアドレス4875件 | 誤って宛先に設定 |
| 62 | サイト運営 | メール誤送信 | 500件を1グループとして15グループに送信した際、そのうち3グループにおいて不具合が発生した。ひとつのグループでは、43件のメールアドレスが記載されたメールを457件に送信。別のグループでは、346件のメールアドレスが記載されたメールを154件に、さらに別のグループでは188件のメールアドレスが記載されたメールを312件に送信 | システム不具合 |
| 63 | 銀行 | CDROM誤送付 | 通常同行から送付されるデータと異なることに気付き、連絡したことから問題が判明 | システム不具合 |
| 64 | 電力 | ハードディスク紛失 | 法人顧客約21万件の契約名義、住所、郵送先、連絡先情報などのほか、社内文書が保存 | |
| 65 | 府立高校 | メール誤送信 | 学校名のほか、生徒89人の氏名や性別、学年、クラスなど | 送信先アドレスについて1文字誤る入力ミスがあり、無関係の第三者へ送信 |
| 66 | 労働センター | メール誤送信 | 58件のメールアドレス | 誤って宛先に設定 |
| 67 | 駐車場 | 不正アクセス | 会員の氏名や住所、電話番号、メールアドレス、パスワード、そのほか登録情報など、個人情報最大11万1959件が流出した可能性。またこのうち3万8201件に関しては、クレジットカード情報も含まれており、カードの番号、名義、有効期限、セキュリティコードが流出した可能性がある |
「25」「46」「53」は、過去に顧客や患者情報が紛失・持ち出され外部に漏えいしたものが、今になって発覚した事案です。スマホやノートPC、タブレット端末の場合、大量の個人情報の保存が可能であり、事故等が発生した場合のリスクが一層大きくなっています。個人情報の漏えいの組織的な対策として、リモートロックや遠隔消去等機能として対応できる対策のほか、機器を使用する従業員に対する啓蒙や意識付けも重要な課題であるといえます。また、「移動時の乗物内での盗難」「飲食店やホテルロビー等での盗難」「路上・公園等屋外での盗難」「車上荒し」等があり、『持ち物から意識が薄れる時』『持ち物から遠ざかった時』『夜間の外出』『海外出張時』等の状況において多く発生しています。万が一、事故が発した場合に備え、媒体別の二次被害等防止策を講ずると共に、緊急時の対応ルールや意識への(早く報告した方が、被害を小さく抑えられる)が確実に実行できることが重要になります。
また、周囲からの働きかけとして、不明確な作業指示やあいまいな作業手順は、確認の省略や情報の持ち出しなどの判断ミス、ルール逸脱を誘発する要因となることにも目を向けるべきポイントです。また、機密情報や個人情報を取り扱う業務は、社員だけではなく派遣社員や臨時雇用者が担当するということも念頭において、対策を検討する必要があります。
なお、個人情報の取り扱いに関する法律の基本事項や組織としての対応方針は、常に、関係者全員に周知徹底し続けることが重要です。基本的な漏えい事故に関する教育や意識啓発は一過性のものとせず、定期的に実施することで浸透が図られます。情報漏えいに関する事故・トラブルについても、社内で起きた事例や他社事例を交えて、その事故に至るまでのプロセスや損害を周知することが効果的だと言えます。漏えい事故事例の収集・分析といった取り組みは、翻って自社の状況と照らし合わせることを通じて、日常の業務の中に潜在化するリスク発見の端緒となり、組織の中で情報を共有し、実態と整合した解決策を見出す効果を促進するものと思われます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
