情報セキュリティ トピックス

改正個人情報保護法の動向と今後の取り組みについて(4)

アバター 総合研究部 上席研究員 佐藤栄俊

2017.03.21
印刷

1.改正個人情報保護法の動向と今後の取り組みについて

 皆さま、こんにちは。

 今回の「情報セキュリティトピックス」では、個人情報保護規制の国際的動向などについて、EUにおける規制強化を中心に、個人情報の海外移転に関する日本の法律、海外の法律や世界を取り巻く環境や動向について取り上げます。

 OECD、APEC、アメリカ、EUにおいて、近年新たな枠組みの提案や既存制度の見直し等の動きや国際的な規律の変化などの動きがみられ、これが今回の日本の個人情報保護法改正にも大きく影響しています。特にEUとの関係では、現在議論されている保護規則提案において、個人データの定義にオンライン識別子や生体情報が含まれるなど、保護対象の範囲拡大と各種制度の厳格化、規則に違反した場合の罰金の高額化が検討されています。また、改正個人情報保護法及び同法による保護体制が、EUで求められている個人情報を保護するのに十分なレベルを満たすのかといった論点があることに留意する必要があります。

1) 海を越えた個人情報の規制はどうなるのか?

 インターネットに代表されるITの発展や企業活動のグローバル化などにより、国境を越えた個人情報の取扱いが活発に行なわれるようになりました。例えば、ネットショッピングのサービスにおいて日本国内の居住者の個人情報を外国の事業者が取得したり、国内の居住者の個人情報に関する情報処理を外国にある委託先に国内の事業者が委託したりすることなどが挙げられます。

 日本国内で、個人情報を取り扱う場合は、日本国内の法律が適用されます。しかし、グローバル社会となった現在、日本国内だけで情報の移動が完結する例はむしろ少なくなってきており、インターネットとそれに伴うサービス、それらを利用する様々なデバイスが爆発的に普及した現状では、自分に関わるデータ自体がどこに存在するのかさえ把握しきれていないのではないでしょうか。

 個人情報が国内と海外で行き来する例として以下のようなものがあります。

  • 外国の人向けにWebサイトをオープンし、商品を販売する
  • 日本国内で集めた情報を、海外の(子)会社に移転する場合、支店に移転する場合
  • 日本法人が、海外のサーバにデータを保管する
  • 海外法人の日本支社が日本で集めた情報を海外に移転する
1) カントリーリスク

 クラウドサービスを利用することにより、クラウド上で管理されるデータが国外で保存される場合に、国外の法制度が適用される場合があり、当該国のカントリーリスクに配慮する必要があります。例えば、クラウドサービスに用いられるサーバの所在国の法令によって、サーバで管理されるデータに対して、当該国法執行機関が、検閲する権限を持っている場合や、広汎にアクセスする権限を有している場合が想定されます。

 典型的には、当該国の法令によって、当該国の法執行機関が通信データにアクセスできたり、クラウドベンダに対して、クラウドベンダが管理するデータの開示請求を求めることや、捜索・差押えの対象とできる場合には、データの秘密性が害されるリスクが想定されます。

 さらには、地理的要因による戦争・紛争・クーデータ、その他のインシデントにより、クラウドサービスの安定稼動が阻害されるリスクもこのカントリーリスクに含まれます。

 これらのカントリーリスクに対しては、利用者の立場としては、まず、クラウドサービスを受けるための契約の準拠法がどの国に法律に設定されているかを確認するとともに、クラウドサービスに用いられるサーバ所在地を確認し、当該国の法令の適用可能性や地理的リスクに服することにならないかの確認が重要となります。

2) 諸外国における個人データの移転制限

 米国ではデータの海外への移転制限に関する法律が無いものの、欧州など様々な国では既に制定されています。米国内から海外へのデータ転送に関する規制や監督機関への届出なども定められていませんが、連邦取引委員会(Federal Trade Commision:FTC)などの監督機関は、米国内から転送されたデータ、委託事業者による海外からの国内のデータへのアクセス、委託事業者によるデータの持ち出しについては米国の法律が適用可能であるという姿勢を示しています。また、複数の州では海外へのデータの持ち出しについて州法で規制を設けているものの、その対象は州政府機関や委託事業者に限定されています。

 一方で、様々な国ではデータの海外への移転制限が設けられており、それらの国では、取得した個人データをその国のサーバで保管し処理するデータローカライゼーション(Data localization)が取られています。最も厳しい制限をかけている国としては中国、ロシア、インドネシアなどがあり、国内のサーバにデータを保管することを定めた規定が出されています。次に制限が厳しいのが欧州であり、統一的なプライバシーフレームワークであるデータ保護指令(Data Protection Directive)によって事実上のデータローカライゼーションが取られています。この他にも、インド、韓国、マレーシアなどは条件付のデータローカライゼーション規定が定められています。

  • 非常に厳しい移転制限:すべての個人データに対し、データローカライゼーションを行うことを規定している。<ロシア、中国、インドネシア、ブルネイ、ベトナム>
  • 事実上の厳しい移転制限:個人プライバシー保護の中でデータローカライゼーションを定めており、データの海外への移転制限を難しくしている。<EU欧州連合>
  • 部分的な移転制限:データローカライゼーションを設けており、データの種類によっては海外への移転ができない。<アルゼンチン、ブラジル、コロンビア、ペルー、ウルグアイ>
  • 緩やかな移転制限:特定の条件でのみデータの海外への移転制限を規定している。<オーストラリア、カナダ、ニュージーランド、台湾、トルコ、ベネズエラ>
  • 無し:データローカライゼーションを規定していない。<日本、米国など>
3) 欧州の動向

 欧州では、プライバシー保護を重視した様々な規制が打ち出されており、新しい法整備の動きが進んでいます。欧州は、1995年10月に個人のプライバシー保護を目的としたEUデータ保護指令を打ち出しており、加盟国に対して個人データの取扱に関する指示を出しています。この中で、適切な個人情報保護が確保されている場合に限り、欧州域外への個人データの移動が認められています。米国と欧州の間では、個人データ移動についての原則を記した「セーフハーバー協定(Safe Harbor)」を2000年に締結し、欧州のプライバシー保護基準に沿ったルールを適用することで欧米間の個人データの移動を可能にしていました。しかしながら、スノーデン事件(※1)によって大規模な情報収集活動が行われていたことが明らかになったことなどから、2015年10月、欧州司法裁判所(European Court of Justice)が同協定を無効(※2)としたため、米国と欧州は新たな協定を策定し、2016年2月に新たな協定「EU-USプライバシーシールド」(※3)に合意しました。新しい協定では、欧州の個人データが米国内のサーバに保管されている場合には情報監視活動の対象外とすることなどが盛り込まれています。

 EUのデータ保護指令では、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(これを「十分性の認定」といいます)。

 これまでに11の国と地域(スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド)がEUから十分な水準の保護措置を確保している旨の認定を得ています。

 EU域内から「十分性の認定」が得られない国や地域に個人データを移転する場合は、(1)データ主体の明確な同意を取得するか、(2)事業者がEUの定める拘束的企業準則を策定するか、(3)欧州委員会が策定した標準契約条項を採用する必要があります。

 日本は現在のところ、「十分性の認定」の申請をしておりませんが、日本政府はEUから十分性の認定を得るために必要な要件の一つとして、「越境データ移転についての権限」について定める必要があると考えました。すなわち、上記のEUの「十分性の認定」と同様の枠組みを用意する必要があると考えたためです。

(※1) スノーデン事件の影響

セーフハーバー協定については、同協定に基づいて米国の事業者が受領した個人データの保護については、米国の国家安全上の必要性によって限定されており、米国の事業者は、協定上の義務にかかわらず、米国法の遵守が求められるものでした。その結果として、米国政府は、「外国諜報監視法」(Foreign Intelligence Surveillance Act・FISA)によって、米国の事業者がEUから受領した個人データに対して諜報目的でアクセスできるという問題点をEU側から懸念されていました。実際にその懸念が顕在化したのが、2013年のスノーデン事件です。米国のNSA(国家安全保障局)およびCIA(中央情報局)の元局員であるスノーデン氏が、NSAやCIAによる外国首脳の電話盗聴、大使館への盗聴等の事実と、Microsoft、Yahoo!、Google、Facebook、YouTube、Skype等の大手IT企業が諜報活動に協力させられていた事実を暴露したものです。スノーデン事件を契機として、EUにおいて米国政府および米国企業に対する不信感が広がりました。

(※2) セーフハーバー協定の無効の判決

オーストリア市民のFacebookユーザが、スノーデン事件を受けて、Facebook によって十分な保護措置がなされていない米国に対して自身の個人データが転送されたとして、アイルランドのデータ保護機関に対して、自己の個人データの米国への提供の禁止を求めたものの、審査を拒否されたため、訴訟となりました。アイルランド上級裁判所は、欧州司法裁判所に対して、欧州委員会が決定したセーフハーバー協定の有効性に対する申立てに対し、アイルランドのデータ保護機関が欧州委員会決定の内容について審査をすることができるか否かの判断を求めました。欧州司法裁判所は、セーフハーバー協定については、自己認証した上で個人データを受領する事業者を拘束するもので、米国の行政機関が遵守すべき基準にはならないことや、米国の安全保障上の必要性を一方的にEU市民の基本権よりも優先させている点等を指摘して、2015年10月にセーフハーバー協定を無効とする判決を行いました。

(※3) プライバシーシールド制度とセーフハーバー協定との違い

プライバシーシールド制度においては、セーフハーバー協定に関して指摘された問題点を踏まえて、米国政府によるアクセスに対する明確な保護措置と透明性が求められ、米国の政府当局が無差別・大量の調査をしないことの保証が定められています。
また、事業者に対しても義務が強化され、米国商務省および連邦取引委員会(FTC)に強力な監視および執行権限が付与されています。
米国の事業者には、プライバシーシールドの要件への適合性について年次の自己確認の実施、Webサイトへのプライバシーポリシーの公表、個人からの救済申請に対して45日以内の回答、人材に関する個人データを扱っている場合のEUのデータ保護機関への協力等が求められます。
プライバシーシールド制度は、あくまでEUと米国との間の個人データの移転規制に関する例外であるため、直接的に日本の事業者に適用されるものではありません。
現在、日本においても、2016年10月28日に閣議決定された「個人情報の保護に関する基本方針」に基づき、個人情報保護委員会が、同年11月に公表した「国際的な取組について」に基づき、米国との間では、APEC越境プライバシールール(CBPR)システムの活性化の取組みを進め、EUとの間では、改正個人情報保護法を前提として相互の個人データ流通が可能となる枠組みを想定し、それぞれと定期的な協議を行っていくことが予定されています。

4) 国内の動向

 欧州では、かねてよりEUデータ保護指令において、第三国に個人データを移転する際、移転先の国が十分な保護水準であることを求める規定があり、EU側がその水準に達しているか認定することになっています。現段階では、日本はまだそのような十分な保護水準を有していると認められていません。

 このような状況を踏まえ、改正後の個人情報保護法では、外国にある第三者への個人データ提供制限、国境を越えた法の適用(域外適用)、外国執行当局への情報提供を定めています。日本企業に特に関係すると考えられる、外国にある第三者への個人データ提供制限については以下の通りです。

 改正後の個人情報保護法における「外国」については、「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは除く」とされています。

 国内で収集した個人情報については、「第三者提供の制限(個人情報保護法23条)」により、”第三者”が日本国内の者か、国外にある者かを問わずに同法が適用されます。

 改正個人情報保護法においては、この23条に加えて新たに「外国にある第三者への提供の制限」が設けられています。この場合、下記(1)(2)のいずれかに該当する場合以外は、原則として本人の同意をあらかじめ取得しなければなりません。

(1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護委員会規則で定められた国にある場合

(2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として個人情報保護委員会規則で定める基準に適合する体制を整備している場合

 このように事業として海外に個人情報を移転するような場合は、各国の法律や規制に対応する必要があります。

 しかし、海外への事業展開という明確な意志の下に行うケース以外でも、クラウドや、インターネット上のアプリケーションなど、ビジネスでも個人でも日常的に利用しているのではないでしょうか。こういった場合の利用において、データの国外移転に関してユーザーはほとんど意識をしていないでしょうし、法律や規則も明確に対応しているとは言えない状況もあります。とは言え、今後このような状況はますます進み、複雑になって行くと考えられます。個人情報のみならず、情報管理、リスク対策等の観点からも、それらのサービスの利用について改めて考えてみる必要があるのかも知れません。

5) 日本企業における実務上の影響と可能性 その1

 2016年4月、欧州連合は「EU一般データ保護規則」(General Data Protection Regulation:GDPR)を制定しました。GDPRは2018年5月25日に施行 される予定で、その際には個人データを収集、処理を行う事業者に対して多くの義務が課されます。 また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められます。また、EU域内に事業拠点がある場合や、EU域内に事業拠点はないものの、域外規定の適用によりEUデータ保護規則が適用される可能性がある場合には、これらの内容を十分に検討して対応する必要があります。中には、いわゆる「忘れられる権利」(規則17条1項)や「データのポータビリティに関する権利」(SNSなどの利用に際して自己の個人データの移し替えを求める権利)などもあり、国内だけでなくグローバルな視点での動向も注視する必要があります。これは、規定の制定において議論がなされている最中に、EU司法裁判所が、検索エンジン会社に対して、個人が自己の名前を検索した際に表示される過去の本人の情報へのリンクを削除するよう認める判決を出したことも反映された規定であり、今後のITシステムの構築にあたっては、個人からの請求を受けた場合に個人データを削除できる仕組みや、情報の拡散を防止するための対応措置を検討しておく必要があります。

【参考文献】

一般財団法人日本情報経済社会推進協会「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」

<GDPRによる規制事項の内容>

分類 主な規制事項
(1)取得ルール
  • 個人データの取得にあたり、企業は情報管理者(Controller)として当該管理者の身元や連絡先、処理の目的、第三者提供の有無、保管期間、情報主体者の有する権利などについて、明確かつ分かりやすい表現により情報主体者(Data Subject)に通知しなければならない。
  • 企業が上記に関して同意を得る際には明確な取得方法を採用しなければならず、また情報主体者である本人が同意を自由に撤回することができるよう、同意の付与時と同程度の容易性をもって撤回できるような仕組みとする必要がある。
  • 個人データを情報主体者から直接取得していない場合、企業は当該情報の入手先を本人に通知しなければならない。
(2)処理ルール
  • 個人データの処理および保管にあたり、適切な安全管理措置を講じなければならない。
  • 処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない。
  • 従業員数が250名以上である企業や特殊な種類の個人データ処理を実施している企業などでは、個人データの処理に関する記録を書面で残さなければならない。
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し72時間以内に通知しなければならない。
  • 定期的に大量の個人データを取扱う企業などでは、データ保護官(Data Protection Officer)を任命しなければならない。
(3)域外移転ルール
  • EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止され、欧州委員会によって適切な個人情報保護制度を有していると認められていない国への情報移転にあたっては、企業は適切な施策のもとで一定の条件(※)を満たす必要がある。

(※)拘束的企業準則(Binding Corporate Rules)の策定、標準契約条項(Standard Contract Clauses)の締結など

【日本企業に求められる対応(例)】

  • 処理対象の個人データおよびその処理過程を特定する
  • 適切な安全対策を実施する
  • データ保護責任者(Data Protection Officer)や、欧州における代理人を選任する
  • EU域外へのデータ移転にあたり、適切な方法を選択のうえ、それに基づいた運用を行う
  • インシデント発生時には、データ主体および監督機関に通知する
  • データ保護影響評価を実施し、必要に応じて監督機関に通知する 等
6) 日本企業における実務上の影響と可能性

 EUのGDPRで実務上、日本企業への影響が大きいと考えられるのは、課徴金(Administrative Fine)の定め(EUデータ保護規則79条)です。

 具体的には、監督機関は、GDPRに違反した者に対し、違反の性質、重大性及び期間などの事情を考慮の上で、課徴金の要否・金額を判断して課徴金を課すことができるようになっていることです。課徴金の上限はGDPRの違反類型に応じて定められており、違反した場合、個人の権利を侵害した場合や域外移転ルールに違反した場合などは、2,000万ユーロか世界での年間売上高(total worldwide annual turnover)の4%の何れか高い方が上限とされています。

 このルールに基づいて課徴金額の上限を計算すると、世界での年間売上高が1,000億円の会社であれば40億円、1兆円の会社であれば400億円です。業界にもよりますが、日本企業の平均的な利益率からすると驚異的な数字ですし、グローバルに事業を展開する日本企業としては、GDPR違反のリスクを、刑事罰や高額の課徴金が課される欧米の競争法や贈収賄禁止法違反のリスクと同レベルのものと認識し、早急に対応措置を講じる必要があります。

【参考文献】

一般財団法人日本情報経済社会推進協会「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」

<制裁金と違反例>

制裁金 違反例
最大で企業の全世界売上高(年間)の2%、または1,000万ユーロ(※)のうちいずれか高い方
  • 個人データの取扱いに関し、適切な技術的、組織的安全管理対策を実施しなかった場合(そのような措置を取らない情報処理者に個人データの処理を委託する場合も含む)
  • 個人データの処理に関する記録を残すことが義務付けられているにもかかわらず、記録を書面で保持していない場合
  • 個人データの侵害(情報漏えい)が発生したにもかかわらず、監督機関に対し適時に通知しなかった場合
  • データ保護官の選任が義務付けられているにもかかわらず、任命していない場合
最大で企業の全世界売上高(年間)の4%、または2,000万ユーロ(※)のうちいずれか高い方
  • 個人データの処理に関する原則(GDPR第5条)を遵守しなかった場合
  • 個人データの処理を適法に実施しなかった場合
  • 同意に関する条件(GDPR第7条)を遵守しなかった場合
  • 個人データの域外移転に関するルールを遵守しなかった場合
  • 監督機関からの命令に従わなかった場合

(※)1ユーロ=120円とした場合、1,000万ユーロは12億円、2,000万ユーロは24億円

 GDPRがどこまで厳格に執行されるのか、現時点で予測が難しいところですが、プライバシー外交としての側面を考えると、厳格な執行も視野に入れる必要があります。グローバル企業にとってみれば、個人情報保護法改正よりもインパクトの大きな問題であることは間違いありません。日本の企業が事業活動を積極的にグローバル展開していく状況にあって、日本は個人データの取扱いに関し、いまだ欧州委員会による十分性の認定を受けるに至っていません。このため、個人データをEUとの間で円滑に流通させるためには、まずは個々の企業が自らGDPRに沿った対応を実施することが必要となってきます。

 なお、GDPRの要求事項は多岐にわたることから、企業は各条文の内容の理解にとどまらず自社の置かれている状況を適切に把握した上で、以下のような対応計画を慎重に進めていくことが望ましいと考えられます。

  • 現状を調査し、GDPR対応として必要な作業について担当部署、作業ボリュームを把握することにより、次フェーズの全体計画及びスケジュールを決定する。
  • 準備フェーズの計画に基づき、GDPR対応として求められる個人データ保護の管理態勢(組織内の役割分担、規程類の整備、運用ルールの決定等)を構築し、関係者に周知徹底する。
  • 新たに制定した規程類、ルールに則って適切に運用が行われているかどうかを評価し、必要に応じて規程等の見直しまたは運用の改善を実施する。

 以上のように、企業は2018年5月の適用開始に向けて、限られた時間の中で効率的かつ速やかにGDPR対応を推進していくことが重要となります。

今回のテーマについては、引き続き「情報セキュリティトピックス」で取り上げていきたいと思います。

【もくじ】へ

2.最近のトピックス

◆情報処理推進機構(IPA)「【注意喚起】学術組織を狙ったWebサイト改竄の増加を受け注意喚起」

 情報処理推進機構は2月27日、学術組織を狙ったWebサイト改竄に対し注意を喚起しています。昨年12月から今年1月にかけて、大学の研究室などのWebサイトが多数改竄されたという報道があり、その主な原因は、大学など学術組織特有のWebサイトの管理・運用の事情にあると考えられるとしています。

 例えば、学術組織では公式サイトのほか、研究室やサークルで独自に開設・運営しているWebサイトが多数あり、それらは役割が終了しても、閉鎖されていません。
一方、学校側はセキュリティ対策の実施体制が十分でなく、個々のWebサイトを確実に把握・管理できておらず、その結果、多くの学術組織において、セキュリティ対策が不十分なWebサイトが相当数放置されたままであるという状況が多数のWebサイト改竄を招いている主な原因としています。

 学校側による集中管理を前提とした体制の構築と管理方法として、ソフトウェアの更新や脆弱性解消などのセキュリティ対策は個々のページの管理者(研究室やサークル単位)に極力任せず、組織のシステム管理部門による集中管理とすることが望ましいといえます。上記の事情により、学術組織におけるウェブサイトのセキュリティレベルは決して高いとは言えませんが、同様の問題が潜在しているのは学術組織だけではなく、ECサイトやコーポレートサイト全般にも当てはまることを認識する必要があります。

◆情報処理推進機構(IPA)「【注意喚起】SQLインジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を」

 情報処理推進機構(IPA)は1月25日、「SQLインジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を」とする注意喚起を発表しました。2016年2月以降、中国のポータルサイト「WooYun」でSQLインジェクションの脆弱性がある日本のWebサイトが約400件登録されていることが判明しています。この数字は、「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度」に2004年の発足から2016年までに届出されたSQLインジェクションの脆弱性(1,055件)の38%に該当します。

 IPAでは、脆弱性の存在するWebサイトが相当数あり、解消されないまま運用されていると考え、今回の注意喚起に至ったとしています。なお、脆弱性の存在が判明した約400件のWebサイトは、日本では不正アクセス禁止法に抵触する方法により検出された可能性があると指摘されており、IPAではこのうち248件のサイトの運営者に連絡しているとのことです。

▼点検:テクニカルウォッチ「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」

▼改修:「安全なウェブサイトの作り方」「安全なSQLの呼び出し方」

◆情報処理推進機構「WordPress の脆弱性対策について」

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月6日、「WordPress の脆弱性対策について」を発表しました。その内容は、サイト・ブログサービスのワードプレスにREST API の処理に起因する脆弱性が存在すると注意喚起しています。本脆弱性により、攻撃者がサーバに細工したリクエストを送信すれば、投稿内容が改ざんできる状態になっていました。実際に脆弱性を悪用した攻撃コードは確認されていて、ワードプレス側では、最新版の「4.7.2」でこの問題を修正したとしています。

 国内では政府のサイバーセキュリティ戦略本部で副本部長を務める五輪担当相のホームページが改ざんされたほか、中央病院などでも同様の被害が確認され、一時閉鎖に追い込まれたところもあります。国内では少なくとも50程度のサイトが被害にあったもようで、国外でも被害が広がっています。

 WordPress利用者や企業は、まずは現在使用しているバージョンを確認するとともに、WordPress 4.7.0 から WordPress 4.7.1の古いバージョンのままだと影響を受け続けるので、対策済みの最新バージョンへのアップデートが強く推奨されます。

◆シーディーネットワークス・ジャパン「2016年第4四半期サイバー攻撃の分析レポート」

 シーディーネットワークス・ジャパンは2017年3月13日、「2016年第4四半期サイバー攻撃の分析レポート」を公開しました。本レポートは、同社のWAF(Web Application Firewall)を利用する国内外の顧客を対象に、2016年10~12月のサイバー攻撃の推移と動向の変化について分析結果をまとめたものです。

 2016年第4四半期に、脆弱性タイプ別のサイバー攻撃の種類で最も多かったものは、「クロスサイトリクエストフォージェリー(CSRF)」(※1)でサイバー攻撃全体の28%を占めたというころです。次いで、「SQLインジェクション」が26%、「クロスサイトスクリプティング(XSS)(※2)」が13%と続いています。またこの期間には、Webカメラやルーター、デジタルビデオレコーダーなどのIoT(Internet of Things)機器を踏み台にしたボットネット「Mirai」を利用した攻撃数も増えています。

 また、開発言語別では、「PHP」が最も狙われ、全体の84%を占めています。同社では、WordPressやJoomlaなど、PHPで開発されたオープンソースCMS(Content Management System)ソフトウェアに関する脆弱性の開示に起因する可能性があると分析しています。これらの結果を踏まえて同社では、「企業が自社のWeb環境をセキュリティの脅威から守る唯一の方法は、さまざまな脆弱性に関する情報を迅速に収集し、適切な対策を講じることだ」と注意を促しています。

(※1) クロスサイトリクエストフォージェリー(CSRF)

CSRFとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法です。他のWebサイト攻撃手法であるXSSとは異なり、正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)。CSRFによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがあります。CSRFを防ぐための対策としては、リクエストが正しい画面遷移を経て送信されているかをチェックしたり、リクエストを受け付ける前に確認画面をはさむといった方法がある。前者の方法では、画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェックしたり、簡易にはリファラ情報を照合するなどの手法が用いられる。後者の方法では、確認画面で再度パスワードを入力させたり、CAPTCHAと呼ばれる画像として表示した文字をユーザに判読させ入力させるなどの手法が用いられます。

(※2)クロスサイトスクリプティング(XSS)

XSSとは、Webサイトの脆弱性を利用した攻撃手法の一種で、入力フォームなどから悪意あるスクリプトを挿入して、該当ページを閲覧したブラウザ上でそのスクリプトを実行させる手法のことです。XSSの脆弱性を利用すると、任意の命令や閲覧者のWebブラウザ上で実行させたり、HTMLを表示させたりすることができ、これにより、改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組んだりといった操作も可能になります。XSSは、掲示板の入力欄は検索ボックスといった、ユーザーからの入力を受け付ける機能において、特殊文字のエスケープなどが適切に行われていない場合などに悪用可能となります。もともとはWebサイトを横断して実行させることが可能であるという点が特徴とされていましたが、最近ではWebサイトを横断可能であるかどうかを問わず、サイトに任意にスクリプトを挿入させて実行できる脆弱性を広く指します。また、ユーザーを騙して誘導し、悪意あるコードをユーザー自身に入力させる手法は、「セルフXSS」と呼ばれています。2011年には、SNS最大手であるFacebookなどでもセルフXSSの攻撃が多く発見されており、Facebook側では不審なURLに対してユーザーに警告するなどの対応を追加しています。

◆フィッシング対策協議会「2017/02 フィッシング報告状況」

 3月1日、フィッシング対策協議会は、2017年2月の月次報告書を公開しました。本報告書によると、フィッシング報告件数は783件となり、前月の736件より47件増加しています。また、フィッシングサイトのURL件数は249件で、前月より29件増加しており、フィッシングに悪用されたブランド件数は16件で、こちらは前月より7件の減少となっています。同協議会は、フィッシング報告件数が増加した要因として、マイクロソフト、LINE、Appleをかたるフィッシングの報告件数がそれぞれ増えたことを挙げています。また、1月に引き続き、ユーザー数が多いブランドをかたるフィッシングの報告が多く、今後も同様の手口が増えることが考えられるとしています。

 その他、最近の傾向として従来のような、アカウント確認と称した文面のフィッシングメールに加え、アプリ購入の請求書を装うフィッシングメールの手口も確認されています。これは、請求書に心当たりのないユーザーが、驚いて注文をキャンセルしようとし、偽サイトに誘導されるというものです。

 フィッシング被害を未然に防ぐためには、メールの取扱いには十分注意し、アクセスしたサイトが本物かどうか、「アドレスバー」のドメイン名を目視確認するなどの対応を心がけるとともに、IDやパスワードなどのアカウント情報の設定、管理は厳重に行う必要があります。

【もくじ】へ

3.最近の個人情報漏えい事故(2017年1月、2月)

 下記の表は、今年1月と2月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
 ※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 FAX誤送信 市民2人の介護保険被保険者番号などが記載された文書
2 市立病院 USBメモリ紛失 患者14人分の氏名、生年月日および手術記録など 移動中の電車内でカバンごと紛失
3 ガス 書類紛失 領収証の控え約3500件で、ガス料金を支払った顧客の氏名や住所など 誤廃棄の可能性
4 メーカー メール誤送信 約700件のメールアドレス 「Bcc」で送信すべきところを、誤って宛先欄に設定して送信
5 市立中学校 USBメモリ紛失 生徒約140人のテスト結果など 同校教諭がデータを私物のUSBメモリに入れて持ち出し、帰宅後、紛失に気が付いた
6 NPO法人 メール誤送信 メールアドレス27件 一斉送信の際、誤って宛先を「Cc」に設定したため
7 消防署 デジタルカメラ紛失 負傷者1名の姿が映った画像
8 メール誤送信 生徒約2700件分の氏名、生年月日、就学支援金支給額 同県職員がパスワード通知メールを一括送信した際、同メールに誤ってファイルを添付
9 信用金庫 書類紛失 伝票約200件で、当該伝票には顧客の氏名や住所、口座番号などが記載 誤廃棄の可能性
10 私立大学 メール誤送信 担当する学生の氏名や生年月日、成績など 原稿を編集担当10名に送信した際、誤って学生の個人情報を含むファイルを添付
11 大学病院 USBメモリ紛失 患者約1900人の氏名や生年月日、診断内容
12 市立高校 メール誤送信 生徒4名の氏名や生年月日、検定試験の合否など ファイルの誤添付
13 県立病院 USBメモリ紛失 患者約3600人の氏名や生年月日、処置内容 職員が他の医師と2人で食事後帰宅した際、USBメモリを入れたバックごと紛失
14 書類紛失 高齢者71名分の個人情報リスト
15 私立大学 書類紛失 学生354人分の氏名や学籍番号、成績評価など 誤廃棄の可能性
16 医療センター USBメモリ紛失 患者40人の氏名や生年月日、処置内容
17 県警 書類紛失 捜査関係者33人の氏名や生年月日、住所等が記載された資料25枚
18 特別支援学校 USBメモリ紛失 児童3名の氏名や生年月日、写真等 同校職員が自宅で使用しようと持ち帰った後、所在がわからなくなった
19 大学病院 書類紛失 患者の氏名や生年月日、病名等が記載された書類 機密文書処理のため同病院を出発したトラックの荷台から、当該文書の入った段ボールが落下し、書類が散乱
→後にすべて回収済み
20 健康保険協会 CD/FD紛失 医療機関を受診した最大19万人分の健康保険証情報 健康保険証の番号は専用のアプリケーションでしか読み取れないとしているが、氏名については判別可能であるとしており、関係各所の捜索および警察に届出を行ったとしている
21 求人サイト ノートPC紛失 顧客会員の氏名や生年月日、住所など 従業員が帰宅途中の電車内で紛失
22 市立中学校 書類紛失 高校入試の受験者名簿で、受験者32名の氏名や受験校名、受験番号など
23 メーカー メール誤送信 取引先のメールアドレス729件 BCCで送信すべきところ、誤ってメールアドレスが確認できる状態で送信
24 USBメモリ紛失 介護認定申請者らの氏名、住所、生年月日など 後日庁舎内の倉庫で発見
25 地方銀行 書類紛失 625名分のお客様番号、氏名などの情報が含まれていた帳票 誤廃棄の可能性
26 私立大学 メール誤送信 学生31名分の氏名など 教員が別の教員へメールを転送した際に、誤って外部のメールアドレスにも送信
27 交通 メール誤送信 27名分の氏名とメールアドレス BCCで送信すべきところ、誤って受信者間でメールアドレスが確認できる状態で送信
28 総務省 メール誤送信 通信事業者の連絡先53件を含むファイル ファイルの誤添付
29 市立小学校 USBメモリ紛失 児童33名分のテスト結果や写真など
30 信用金庫 書類紛失 顧客202件の氏名や住所、口座番号、預金残高、定期積金の掛込金額、融資の残高など 誤廃棄の可能性
31 ガス 不正アクセス 氏名、会社名、職位、メールアドレスなど、同社グループの従業員と退職者に関する1万1105人分の個人情報 約1年前の2016年3月11日に同社のサーバが不正にログインされていることを検知したもの。
32 印刷通販 不正アクセス 氏名や住所、電話番号、生年月日、勤務先、メールアドレス、暗号化されたログインパスワード、本人確認の質問と回答、購入履歴など顧客情報最大1万6084件で、最大835件でクレジットカード番号や名義、有効期限、セキュリティコード
33 小売 カード紛失 自転車の防犯登録を行った顧客の氏名や住所、電話番号が記入された防犯登録カードの店舗控え 誤廃棄の可能性
34 石油 カード情報流出 氏名や電話番号、カード番号などが含まれるカード会員1383人分のリスト 約20年前のクレジットカード会員に関する一部情報を業務提携先が保管しており、それら情報が外部へ流出する可能性があることを明らかにした。
35 ガス 書類紛失 ガス料金を支払った顧客の氏名や住所のほか、顧客番号、検針日、ガス使用量、ガス料金など顧客情報が記載された領収証の控え3463件
36 イベント 不正アクセス 会員の氏名や住所、電話番号、メールアドレスなど
37 市立病院 USBメモリ紛失 患者14人の氏名や生年月日、病院名、手術記録、放射線と内視鏡の画像、検体検査、心電図の記録など USBメモリにパスワード設定などはなし
38 図書館 不正アクセス メールサーバが不正アクセスを受け、スパムメールを送信するための踏み台に利用された 同館では2016年11月24日にも、メールサーバが不正アクセスを受けており、不特定多数に対して迷惑メールを送信する際の踏み台として悪用された。メールサーバのパスワードの変更、ネットワークの点検など対策を実施したとしているが、再度不正アクセスを受けたという。
39 厚労省 メール誤送信 代表者の氏名、事業者の印影など記載された送り状 ファイルの誤添付
40 文科省 メール誤送信 機密とされる人事情報を同省職員全員へ誤ってメールで送信 近日中に実施する人事異動に関する情報を、課内の直属の部下となる職員へ準備のために送信しようとしたところ、誤って全職員へメールで送信するミス
41 通販サイト 不正アクセス 2万2276人分の氏名、住所、電話番号、生年月日、企業名、メールアドレスのうち、1つ以上が流出した可能性があるとしており、そのうち2879件に関しては、銀行口座に関する情報
42 研究所 メール誤送信 77人のメールアドレス 送信者が作成したアドレス帳に登録されている全員に誤って送信
43 市立中学校 USBメモリ紛失 生徒39人分の氏名や出席番号、行動に関する所見と生徒136人分の英語の学習記録など
44 翻訳サービス 不正アクセス 登録者の氏名、住所、電話番号、会社または団体名、メールアドレスなど
45 誤表示 名義人396人分の氏名と住所
46 通販サイト 不正アクセス 新規でクレジットカード決済を利用した顧客の個人情報最大578件 2016年8月5日に、クレジットカード会社から決済代行会社を通じ、情報漏洩の可能性について指摘を受け、問題が発覚。同社ではカード決済を停止して、外部へ調査を依頼していた。発表まで期間を要した点については、不確定な時点での情報公開は混乱を招くとの説明が決済代行会社からあり、発覚直後の発表は避け、調査結果などを待って発表
47 私立大学 不正アクセス 迷惑メール約4000件 大学のメールアカウントが乗っ取られ、迷惑メールを送信する際の踏み台に悪用された
48 レンタルサービス 誤送信 カード決済エラーが発生した顧客の氏名とメールアドレスが、他顧客に対する「カード決済完了」または「カード決済エラー」の通知メールにおける送信元アドレスとして記載され、送信 システム不具合
49 化粧品 不正アクセス 2015年12月より不正アクセスが行われており、2016年8月、10月に同じ攻撃者によって2台のウェブサーバが攻撃を受け、その際にバックドアが設置された。
同サイトではサーバサイドインクルードを利用していたが、脆弱性が存在したという。さらに同サイトでは本来クレジットカード情報を保持しない設計としていたが、立ち上げ時に利用していたデバッグモードのまま運用し、決済処理のログが残ってしまったという。
ウェブサイトの開発事業者とはすでに取り引きが終了しており、その後保守運用を担当した事業者にも情報が引き継がれておらず、デバッグモードのままだったという。
50 通販サイト 誤表示 氏名や住所、電話番号、ファックス番号、性別、メールアドレス、購入履歴など
51 書類紛失 71人分の個人情報 委託先の職員が高齢者への訪問途中に、個人情報が記載されたリストを紛失
52 私立大学 HD盗難 学生631人分の氏名、学生番号、成績情報 2016年12月末に工学部機械工学科の研究室内に設置してあった教員の私有パソコンから内蔵ハードディスクが抜き取られ、持ち去られた
53 地方銀行 書類紛失 顧客の氏名や住所、電話番号、生年月日、勤務先、口座番号、印影など 誤廃棄の可能性
54 医療センター USBメモリ紛失 患者40人分の氏名や生年月日、性別のほか、病名や症状、処置年月日、処置の内容など USBメモリは医師の所有物で、パスワードは設定されていない
55 介護サービス 書類盗難 204人分の氏名や住所、電話番号、性別、生年月日のほか、被保険者番号や要介護度、保険者名など介護保険関連の情報 従業員が帰宅途中のJR山手線内で置き引きに遭い、鞄が盗まれた
56 子育て支援事業 メールアドレスの不正使用 迷惑メールが不特定多数に送信
57 オンラインショップ 不正持ち出し 業名、運営者名、住所、電話番号、メールアドレス、IDなど店舗運営者に関する情報2万8001件。このうち1万3495件については、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数など売上関連情報。
さらに代理店の企業名、住所、電話番号、担当者名など4579件や、同社セミナーの参加者に関する企業名、住所、電話番号、氏名など220件のデータも流出。持ち出された情報はあわせて3万2800件
従業員は外付けハードディスクへデータを複製して持ち出し、業務請負先より借り受けたパソコンに保存。同社では通報した事業者の元にあったノートパソコンについて調査を行い、流出を確認
58 誤送付 174自治体に送付した1992人分のマイナンバーの誤記載 納税者の個人情報管理に使用している表計算ソフトの操作ミスで、氏名や住所を記載する欄とマイナンバーの欄にずれが発生。そのまま通知書に印刷
59 求人サイト ノートPC紛失 求人サイトの会員の氏名や住所、電話番号、メールアドレスのほか、医療施設の名称や住所、電話番号、担当者、メールアドレスなどの情報 求人サイトの会員の氏名や住所、電話番号、メールアドレスのほか、医療施設の名称や住所、電話番号、担当者、メールアドレスなどの情報
60 通販サイト セキュリティの設定不備 654人が同サイトを利用しており、商品の購入や問い合わせの際に入力した個人情報などが暗号化されずに送受信されていた。そのうち187人については、クレジットカード番号や有効期限、セキュリティコードが含まれる SSLサーバ証明書の設定に不備があり、同サイトの通信が暗号化されず、平文のままだった
61 通販サイト 不正アクセス 1万7085件のクレジットカード情報。クレジットカード番号や名義、有効期限、セキュリティコード
62 HD転売 生徒と教諭の氏名750件 事業者との契約では、データを消去し、物理的に破壊することになっていたが、事業者が契約に反して、適正な廃棄処理をしていなかった

 「31」「38」「46」「49」「61」の事案はWebサイトへの不正アクセスで、昨年から攻撃を受けていたにも関わらず、今年になって被害が発覚しています。ここ最近、特にECサイトや大学・研究機関、病院への不正アクセスやWebサイト改ざんによる事故や被害が多発しています。その多くが被害を受けていること、または加害していることに自発的には気が付かないこと(クレジットカード会社や決済代行会社、消費者や特定団体等の第三者からの通報で発覚)が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、自社においても対岸の火事として放置しておくことができません。自社におけるシステム管理上の不備や脆弱性をあらためてチェックし、手当てを施す必要がありますので、情報処理推進機構が紹介している以下の点検を是非ご参照ください。

◆情報処理推進機構(IPA) 「ウェブサイトへのサイバー攻撃に備えた定期的な点検を」

 情報処理推進機構(IPA)は、Webサイトへのサイバー攻撃が後を絶たない状況を踏まえ、ウェブサイト運営者および管理者に対し、システム上点検と基本的対策の実施を呼びかけています。

【重点的に点検するポイント】

(1) 利用製品(プラグイン等追加の拡張機能も含む)の最新バージョンの確認
 目的:脆弱性が解消された最新バージョンの公開を確認するため
 対象:ウェブサーバー等のウェブシステム、ウェブサイト運用管理用PC
 頻度:数週間~1ヶ月に1回程度

(2) ウェブサイト上のファイルの確認
 目的:改ざん等されていないか確認するため
 内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値(※)取得と比較
  (※) データを特定するために、あるアルゴリズム(関数)から算出される値で、改ざん前と改ざん後の同一性の比較が可能。
 頻度:1週間に1回程度

(3) ウェブアプリケーションのセキュリティ診断
 目的:自社のウェブアプリケーションに脆弱性が存在しないか確認するため
 対象:ウェブサーバー
 頻度:1年に1回程度、および機能追加等の変更が行われた時

◆IPA「安全なウェブサイトの構築と運用管理に向けての16ヶ条~セキュリティ対策のチェックポイント~」

◆IPA「ウェブサイト改ざん対策に関するよくある相談と回答(FAQ)」

【その他考文献】

内閣サイバーセキュリティセンター(NISC)が公開している「情報セキュリティハンドブック」も参考になります。

内閣サイバーセキュリティセンター「情報セキュリティハンドブック」

 「情報セキュリティハンドブック」は「ネットワークビギナー」向けとされており、企業、個人を問わず、セキュリティをわかりやすく理解できるようなハンドブックとなっています。内容は、いわゆる「サイバー攻撃」が、どういう手順を経て、誰が、どのように行うのかが解説されており、それに対してセキュリティソフトの導入や複雑なパスワードの設定などを指南しています。また、セキュリティ対策製品を導入するだけで”おざなり”になりがちなソーシャルエンジニアリングへの対処の心構えなども掲載されています。ハンドブックはNISCのWebサイトで公開されているため、誰でもダウンロードができます。企業内でセキュリティリテラシーの底上げを図りたい場合、ハンドブックの配布や周知も検討いただければと思います。

 その他、弊社の業務として、情報保護体制の運用実態診断・体制整備、脆弱性の抽出、漏洩対応体制整備を実践的に支援させていただいています。実効性のある個人情報保護管理体制、漏洩対応体制の構築・運用に向けた整備やサポートのご相談があれば、いつでもご連絡お待ちしております。

【もくじ】へ

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top