情報セキュリティ 関連コラム

総合研究部 上席研究員 佐藤栄俊

GDPRのイメージ画像

1.GDPRの動向と最近の事情(4)

欧州連合(EU)の一般データ保護規則(GDPR)の特長は、幅広い情報を保護すべき個人データと明示し、利用する企業にさまざまな義務を課しました。施行から9ヶ月が過ぎましたが、ここ最近、GDPRで制裁金を科されるケースや情報の扱いが問題視されるような事案が相次いでおり、その影響に注目が集まっています。

1.グーグルへの制裁金

EUに加盟するフランスのデータ保護当局CNIL(情報処理と自由に関する国家委員会)は1月21日、グーグルに対し、GDPRに基づき、5000万ユーロ(約62億円)の制裁金の支払いを命じました。

CNIL「CNIL orders Google to apply delisting on all domain names of the search engine」(https://www.cnil.fr/)

CNILのウェブサイトによると、グーグルは、データ処理目的とデータ保管期間に関する情報を同じ場所に提示しておらず、情報を得るためにユーザーが5~6回クリックしなければならない場合もあったといい、透明性の欠如、不十分な情報提供、広告のパーソナライズに関する有効な同意の不足などが違反理由だとしています。

グーグルのサービスは、検索や動画配信「ユーチューブ」など約20に上り、収集した個人情報を元に、それぞれのサービスで利用者の属性などに合わせた「ターゲティング広告」が配信されますが、CNILは「こうした複雑な仕組みについての説明も不十分」としています。

また、その他の問題として「利用者にきちんと同意を取らなくてはならない」との規定への違反だとしています。グーグルは利用者がアカウントを新規作成する際に一括して利用規約への同意を取っていましたが、CNILは「同意は利用の目的別に、はっきりと行うべきだ」と強調し、グーグルの手法が不適切だったと判断したものです。その他にも、ターゲティング広告の配信に自分の個人情報が使われる機能をオフにするために、手間がかかる点も問題視しています。利用者がオプション画面に進み、あらかじめチェック済みの項目を解除する必要があり、こうした煩雑な作業を前提とした同意の取り方も違法としたものです。

IT関連をはじめ多くの企業は個人情報の収集にあたり、グーグルと似た対応を取っており、今後、グーグルと同様の制裁事例が今後、続発するとの見方もあります。

本件では、個人データが漏れたわけではありませんが、法律を順守していないと制裁金にまで発展することを示した例であり、欧州で事業展開する企業すべてが規制対象となっている以上、多くの日本企業もこのことを認識する必要があります。

その他にも、米企業以外でも18年11月にはドイツでソーシャルメディアの運営会社が2万ユーロ(約250万円)の制裁金を命じられた事例もありました。ハッキング被害を受け、利用者のメールアドレスなどが流出しましたが、パスワードを暗号化せずに保存していたことなどが問題視されています。ポルトガルでも18年7月、病院のITシステムに必要以上の人がアクセスできる状態だったとして40万ユーロ(約5千万円)の制裁金を科された事例がありました。

EUが1月下旬に公表した資料によると、GDPRでは、個人データ漏えいなどの事故を72時間以内に当局に報告させる規則がありますが、当局への企業からの報告件数はすでに4万件以上に上っているとのことです。

報道(平成30年2月15日付日本経済新聞)によると、EUが定めた個人情報保護の規則に基づいて、個人に認められた権利行使を企業に要求する動きが広がっています。EUは自分のデータの削除などを求める権利を個人に認めており、企業が要求に応じないなどとして、EU各国の監督当局に個人が不服を申し立てた件数も10万件に迫っており、当局が日本企業を調査対象にする事例も出始めたとしています。

現地進出の日本企業に対し、ニュースレターの送付先や元従業員からデータ削除の要求が相次ぎ、日本企業が運営するゲームの利用者に自分のデータをどう扱っているかの開示を求めた事例もあるとのことです。このような要求を受け、グーグルは2014年以降、個人などからの要請を受けて計100万件以上を削除したということです(具体的な例示として、「大企業の重役が過去に受けた判決についてのリンク」の削除要請に対して、「十分な公共の関心がある」としてリンクの多くは削除しない対応、「個人的な住所や電話番号が表示されているリンク」は削除の対応、「名誉棄損訴訟に負け損害賠償の支払いを命じられた人についてのリンク」は、「本人の学者としての社会的地位に直接関連する」ため削除しない対応などが紹介されています)。

日本の個人情報保護法にも消去請求権という類似の権利がありますが、対象は事実でなかったり違法だったりする場合に限られます。GDPRは合法的に取得されたデータでもより幅広い理由で消去を求められます。他にもマーケティング目的で自分のデータを使われない権利など、日本法には定めのない権利も明記しています。

2.忘れられる権利の動向

報道(平成30年2月28日付日本経済新聞)によると、個人情報保護委員会が2020年の個人情報保護法改正に向けた議論に着手したとしています。2017年5月に全面施行された現在の個人情報保護法は、必要に応じて3年ごとに見直すことになっており、20年が見直しの年にあたります。

GDPRでは、ネット上などの個人情報を消去してもらう「忘れられる権利」を重視しており、個人が自身の全データを消去するよう企業などの担当者に要求できる権利を保障しています。日本の個人情報保護法にも「忘れられる権利」は位置づけられており、企業に個人データを開示させ、利用停止や消去を求める権利が保障されています。ただ権利が行使できるのは、データの内容が間違っている場合や不正取得、目的外利用された場合などに限られます。

GDPRは不正取得があった場合だけでなく、個人がデータ提供の同意を撤回した場合などにも権利を行使でき、範囲が日本よりも広くなっています。個人情報保護委員会はEUの制度などを参考に「忘れられる権利」を日本でどう確保するかを検討するとしています。

個人情報保護委員会「委員会会議」

この「忘れられる権利」のルーツは、「犯罪を犯した人物が罪を償ったあとにも犯罪歴を公開され続けることは社会復帰を困難にするため避けるべきである」という考えからフランス法で認められている「忘却の権利」にあるとされます。犯罪歴はもちろん、それ以外にも個人に関する過去の情報で公開され続けることを望まない情報はあるもので、インターネット上にアップロードされたこれらの情報が半永久的に公開され続けることは個人のプライバシー権を侵害するものとして、保障する必要性が主張されたのが「忘れられる権利」というわけです。

罪を犯し刑務所に入った人物が、その刑期を終え、出所する場合に、忘れられる権利が適用されるのか、また、その対象が公人の場合、国民の知る権利を制限してまでも忘れられる権利が認められるのかという適用範囲についても今後検討する必要があります。(犯罪行為は事実でも、既に償われた場合は削除すべきだとする考えもあれば、罪の重さや常習性を加味して判断は変わるとする考えもあります。)

※ 平成29年1月31日、過去に逮捕歴のある男性が、インターネット検索サイト「グーグル」の検索結果から、検索結果に表示される自分の逮捕歴に関する情報の削除を求めた仮処分命令申立事件において、最高裁は検索結果の削除を認めない決定。「忘れられる権利」に言及はないものの、プライバシーに属する事実を公表されない法的利益と検索結果を提供する理由等の諸般の事情を比較衡量し、削除を認めず。

※ 忘れられる権利

▼個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)」

▼ JIPDEC(一般財団法人日本情報経済社会推進協会)「EU一般データ保護規則(仮訳)について」

▼JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
 JETRO「データ保護影響評価(DPIA)の実施に関するガイドライン(仮訳)」
 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)

なお、参考までにGDPRの規定を確認してみます。GDPRでは「消去権(『忘れられる権利』)」’right to be forgotten’を明文化しています。(第17条)忘れられる権利とは、自己に関わるデータを企業のデータベースなどから消去させる権利のことです。GDPRでは、個人は、企業に対し、自分の個人情報を企業データベースからタイムリーに削除することを要求でき、要求が拒否された場合は、その理由を知ることができます。

この権利には、例外も記載されています。例えば以下の目的のために当該パーソナルデータの取扱いが必要となる場合には、忘れられる権利の行使は認められないものとされています。

  1. 表現の自由・情報の自由の行使、
  2. EU法・加盟国法上の法的義務の履行、
  3. 公益目的でのアーカイブ、科学的・歴史的調査又は統計(忘れられる権利の行使によりそれらの目的の達成が不可能又は著しく損なわれる場合)など。

第17条 消去の権利(忘れられる権利)

Article 17 Right to erasure (‘right to be forgotten’)

1. データ主体は当該データ主体に関する個人データについて管理者に不当に遅滞することなく消去させる権利を持つものとする。管理者は、次に掲げる根拠のいずれかが適用される場合、個人データを不当に遅滞することなく消去する義務を負うものとする。

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

2. 管理者が個人データを公開しており、第1 項による個人データを消去する義務を負う場合、その管理者は、利用可能な技術及び実施の費用を考慮し、当該個人データを取り扱っている管理者たちにデータ主体が当該個人データのあらゆるリンク又はコピー若しくは複製の消去を要求している旨を通知するために、技術的措置を含む合理的手段をとらなければならない。

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

●第1項及び第2項は、取扱いが次に掲げるいずれかに必要な場合、適用されない。

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

(a) 表現及び情報の自由の権利の行使に必要な場合。

(a) for exercising the right of freedom of expression and information;

(b) 管理者が従うEU 法若しくは加盟国の国内法によって取扱いが要求されている法的義務を遵守するのに必要な場合。又は公共の利益若しくは管理者に与えられた公的権限の行使のために行われる業務の遂行に必要な場合。

(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) 第9 条第2 項(h)号並びに(i)号、及び第9 条第3 項により、公衆衛生の分野における公共の利益のために必要な場合。

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);

(d) 第89 条第1 項により、公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的の達成のために取扱いが必要な場合。ただし、第1 項で定める権利が実施できそうにない又は当該取扱いの目的の達成が損なわれる場合に限る。

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously

3. Tカード問題

2019年1月、共通ポイントカード「Tカード」を提供するカルチュア・コンビニエンス・クラブ(CCC)が捜査機関に対し、裁判所の令状なしで会員情報や購入情報を提供していたことが話題になりました。その当時、会員規約にはその点に関して明示した文章はなかったものの、この報道が明らかになった後に明記され、提供に関しては認めるコメントをしたことが大きな話題となりました。

ポイントカード最大手・カルチュア・コンビニエンス・クラブ(CCC)が、運営する「Tカード」の会員情報を裁判所の令状なしに捜査当局へ提供していた問題は、他のポイント事業者も同様に「捜査関係事項照会書」だけで利用者の情報を提供していたことが問題視されました。そうした中、警察の捜査に監視の目が行き届かず、提供された個人情報がどのように扱われているのかわからないといった懸念も指摘されています。

より具体的に言うと、CCCは約6700万人いるTカード利用者の氏名などの会員情報や、商品の購入時に得たポイント履歴、レンタルビデオのタイトルなどを裁判所の令状なしに捜査機関に提供していたというものです。

CCCは「T会員規約」に情報提供を明記していませんでしたが、報道を受けてCCCは、2019年1月21日に「2012年から、『捜査関係事項照会書』があった場合にも、個人情報保護法を順守したうえで、一層の社会への貢献を目指し捜査機関に協力」してきたと公表しました。そのうえで個人情報保護方針を改訂して、T会員規約にも明記するとしました。

CCCは2019年2月5日に、顧客情報取り扱いの基本方針を再検討するまでの間、「捜査機関からの要請に対しては、令状に基づく場合にのみ対応する」と改めて発表しました。個人情報保護委員会が公表している個人情報保護法のガイドライン(通則編)は、企業が管理する個人データの利用目的について、本人(この場合はTカード利用者)の同意を得なくてもよいという例を、以下のように挙げています。

(1)法令に基づく場合(法16条第3項第1号関係)

法令に基づく場合は、法第16条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。

  • 事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
  • 事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)

CCCの個人情報提供にどれほど緊急性があったかは不明ですが、捜査当局が刑事訴訟法に基づく「捜査関係事項照会」手続きだったとすれば、「第3者への情報提供を禁止」している個人情報保護法の例外規定が適用されるので、法的な問題はないはずです。

しかし、CCCが、会員規約などに可能性を明記しないまま、任意捜査に広範な協力をしていたというのは、顧客からの信頼を損ないかねない行為とも目されており、その意味では割り切れないものが残るのも事実です。

コンビニやレンタルショップなど、提携するレストラン、ドラッグストアなどで買い物をするとポイントがたまるTカードには、氏名や電話番号といった会員情報のほか、レンタルしたDVDや音楽のタイトル、購入・レンタルした日付、提携企業の利用日時と取得したポイント数などの履歴が記録されます。

近年は実店舗だけではなく、宅配便からネットサービスなど、消費行動のあらゆる場面でポイントが貯まる仕組みを構築して会員数を伸ばし、現在は約6700万人が加入しており、提携先の業態も多岐にわたっています。まさにカード一つから「生活の痕跡そのもの」辿ることができると言え、実店舗を利用していなくとも、Tポイントに対応したサービスを利用するだけで、とりわけビッグデータを活用した消費行動分析などに活用されていると考えられます。

まさに「その人間の営みの履歴」を扱っているのであり、利用者の不安を払拭するような倫理的で透明な活用が求められるのは言うまでもありません。CCCの件でいえば、捜査関係事項照会への協力を全面拒否せよということではありません。必要とあれば犯罪捜査に協力することも治安の維持という点で極めて重要なことは当然です。その必要性、緊急性、提供する情報の範囲は必要最小限か、容疑者以外の情報が含まれていないかなどその妥当性を提供する事業者自身がしっかり確認し判断するということが求められているのではないでしょうか。CCCだけに限らず、NTTドコモやLINE、東京メトロなども捜査関係事項照会書により、一部の情報を捜査機関に提供する場合があることを明らかにしています。違法とは判定できないものの、重要なのは利用者が企業を信頼して安心できるかであり、この前提が崩れるようなら個人情報を集めて活用することが難しくなります。利用する企業側は、収集や利用についてより透明性を高め、活用にあたりしっかり保護するという視点と説明責任が不可欠だといえます。

EUの行政執行機関に当たる欧州委員会は2019年1月23日(現地時間)、日本は十分な個人データの保護水準があると認定する「十分性」を決定しました。しかし、認定は出したものの、欧州データ保護会議(EDPB、EU各国のデータ保護機関の合議体であり、欧州連合の機関の一つ)は、日本に対していくつもの懸念を示してきました。その一つが、警察など公的機関による個人データへのアクセスの適正性です。捜査押収、通信傍受、捜査関係事項照会などにおける対象者の情報の取扱いについて、令状発行の基準や人権への影響をできるだけ抑制する体制や制度が確認できないとしています。今後、透明性を担保するか、犯罪捜査にどのような手続きでどこまでの利用を許容すべきなのか、犯罪捜査の効率化にも配慮して、新たなルール形成が求められるところだと思います。

個人情報保護委員会が監督するのは、個人データを取り扱う企業が対象であり、捜査機関などの公的機関は、直接の監督対象ではありません。

個人情報保護法は附則で3年ごとの見直しを規定しており、個人情報保護委員会が現在見直しの検討を始めています。日本がEUに十分性認定のために説明した「独立機関による監視、効果的な救済メカニズム」を整備するには、個人情報保護法の再改正であらためて検討する必要があるでしょう。個人情報保護委員会が公的部門を監督する法改正や、刑事司法分野で強制処分や任意処分の整理、取得後の情報管理の適正化・透明化など、プライバシー保護制度の強化が求められます。

2.最近のトピックス

◆総務省「IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施」

総務省は2月1日、脆弱な設定のままインターネットにつながっており、サイバー攻撃に悪用される恐れのあるIoT(Internet of Things)機器を洗い出し、インターネットサービスプロバイダー(ISP)を介して利用者に注意喚起を行う「NOTICE」(National Operation Towards IoT Clean Environment)という取り組みを発表しました。

この取り組みを巡っては一部の報道で「無差別の侵入」と表現された他、ネット上でも「国がわざわざ、各戸のドアが施錠されているかを確かめるのはやりすぎでは」「これを機に、なしくずし的に侵入範囲が広げられるのではないか」など、否定的な意見も上がりました。

一方、IoT機器に対する脅威が現に存在している以上、対策をしないわけにはいかないのではないかというのが本コラムのスタンスです。

例えば、脅威が現に存在していることは、NICTが2月6日に発表した「観測レポート 2018」からも明らかです。NICTERの観測結果によると、この1年間で、1つのIPアドレスに対し約79万のパケットが届いたことになります。内訳を見ると、Telnet(23/TCP)を狙った攻撃パケット数は大きく減りましたが、その他のさまざまなポートを狙った攻撃パケットの比率が増えており、結果として「全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃」ということになります。

この状況下で利用者に対策を任せていては、取るべき対応が遅れ、大きな被害が生じるかもしれません。第三者に対するDDoS攻撃も深刻な問題ですが、例えばドイツテレコムで発生した事故のように通信に大規模障害が発生したり、あるいは個人の情報やコンテンツが侵害されたり、破壊的な被害が生じてしまってからでは遅いのです。マルウェア感染端末を特定した上で対処を依頼する方が通常の方法だとは思いますが、感染していない機器も含めて事前に予防的に調査するという、極めて深刻な危機意識がNOTICEが立ち上がった背景にあるのだといえます。

NICTは今後、特定スキャンの結果に基づいたポートの公開状況や、取り組みの効果を示せるデータをWebサイトで公表していく方針です。この枠組みが適切に運用されるのかを見守る意味でも、IoTボットの全体像を捉える上でも、またこの先何らかの事態が起きたとしても事実に基づいて対策する上でも注目したいところです。どれか1台でも乗っ取られれば、電力や交通機関などのインフラに影響を与える恐れがある今、事業者や利用者にとってIoTにかかる危険性を認識するきっかけになることが期待されます。

◆マカフィー「モバイル脅威レポート」

マカフィー社は2月26日、「マカフィー モバイル脅威レポート 2019」を発表しました。これによると、「McAfee Global Threat Intelligence」(McAfee GTI)が検出した偽アプリの数は、2018年6月の10,000件から同年12月には65,000件近くまで約550%増加したとしています。本レポートでは、2018年は「モバイルマルウェア」の年であるとし、2019年は「あらゆる場所にマルウェア」の年となると予測しています。サイバー犯罪者は経済原理に従って行動し、たとえば「仮想通貨の価値が下がれば、仮想通貨のマイニングから離れていく」というように、市場の変化に対応して収益を最大化する方法を探しているとしています。

また、モバイルアプリの公式マーケットは、悪意あるアプリを見つけて削除するようになってきているため、サイバー犯罪者は直接利用者に接触するようになるとも指摘しています。今後もモバイルプラットフォームはサイバー犯罪、サイバー攻撃の標的となるため、利用者に対し、利用するアプリをインストールする際には注意を払うよう呼びかけています。

具体的には、アプリは公式マーケットから入手することを原則とし、有料アプリの海賊版など「提供元不明」のアプリはインストールしないことなどです。また、アプリの内容とは無関係と思われる情報(アドレス帳やメール、位置情報、端末固有の情報など)にアクセスすることを求めてくるアプリは疑ってかかる必要があります。

なお、「モバイル脅威レポート 2019」では、次のようなトレンドを予測しています。

  • (1)偽アプリの増加
  • (2)犯罪者はモバイルのバックドアから侵入
  • (3)世界的に急増する継続的な金融脅威
  • (4)モバイルでの仮想通貨マイニング
  • (5)モバイルに対するスパイウェア攻撃が急増
  • (6)自宅でのIoT攻撃のリスクの増加

重要・機微情報や金銭の詐取を目論む詐欺集団は、ソーシャルメディアを悪用し、より巧妙な手口でパソコンだけでなく、スマートフォンなどのモバイルユーザもターゲットにしていることにも注意する必要があります。フィッシング詐欺には、心がけだけでは防げない巧妙な手口のものもありますので、そもそも不審なメールを受信させない、不審なサイトへアクセスさせないための技術的対策も重要です。また、フィッシング詐欺も含め、人間を騙すソーシャルエンジニアリング手法に対しては、「手口を知り騙されない」ことが重要です。もし受け取ったメールやアクセスしたWebを見て、何かがおかしいと感じたり、疑わしいと感じたりした場合、高い確率でその懸念は当たっている可能性があります。ビジネスメール詐欺を含むフィッシングで弄されるさまざまな心理的詐術を完全に防ぐことはできません。しかし、日々受信するメールや閲覧するWebサイトには偽物やなりすましが多く存在し、騙される可能性があるということを客観的に理解しておくことは大きな意味があります。自分は騙されないという意識(あるいは確証バイアス)こそが、最大の弱点になり得るからです。

◆内閣サイバーセキュリティセンター(NISC)「インターネットの安全・安心ハンドブック」

内閣サイバーセキュリティセンター(NISC)は1月18日、「インターネットの安全・安心ハンドブック」の新版を公開しました。

これまで「ネットワークビギナーのための情報セキュリティハンドブック」として公開していた電子書籍を新たに名称変更したもので、新版となる「バージョン4.00」では、最新のサイバー攻撃の事例が追加されています。

プロローグ:サイバー攻撃ってなに?

第1章:基本のセキュリティ~ステップバイステップでセキュリティを固めよう~
第2章:サイバー攻撃にあうとどうなるの? 最新の攻撃の手口を知ろう
第3章:パスワード・Wi-Fi・ウェブ・メールのセキュリティを理解して、インターネットを安全に使おう
第4章:スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方を知ろう
第5章:SNSやインターネット関連の犯罪やトラブルから、自分や家族を守ろう。災害に備えよう

エピローグ:来たるべき新世界

用語集・情報セキュリティ関連サイト一覧・索引

NISCでは、サイバーセキュリティの普及啓発活動に利用する目的においては、改変しないことを条件に、「ページ単位・イラスト単位での利用」「ホームページにリンクを設置」「表紙に、使用する団体名を入れて利用」など、多様な形で活用可能だとしています。

同ハンドブックは、国内26の電子書店で無料配信されているほか、1月31日にはAndroid版が配信されました。また、NISCのサイト上ではPDFファイルでも公開されています。

いざ事故が発生した際の調査や対策の中には、極めて高度で専門的なスキルを要するものもあります。そのすべてを自社でまかなうのは、現実的にはほぼ不可能です。どうしても、社外のセキュリティ機関や関係各所との連携が不可欠になってきます。事故やトラブルが発覚するきっかけは、そのほとんどは外部の専門機関や第三者からの通報です。しかし、通報をきちんと受け付けて社内のセキュリティ担当者につなぐ窓口が設けられていないと、どうしても対策に乗り出すタイミングが遅れてしまいます。 こうした課題を解決するために、現在企業や官公庁で設置が進められているのが「CSIRT(Computer Security Incident Response Team) 」と呼ばれる、インシデントハンドリングに特化した組織です。平時における社内外との情報共有や、いざというときに備えるためのさまざまな対策、そして実際にインシデントが発生した際の事後対応などを中心となって担うためのセキュリティ専任組織と位置付けられています。

こうした組織・プロセスの面での整備を進めるとともに、技術面での取り組みも強化することが、迅速かつ適正な事故対応には欠かせません。特に鍵を握るのが、「マルウェアの侵入や活動を、どれだけ早期に検知できるか」です。検知のタイミングが遅れれば遅れるほど、潜在的な被害は拡大していきます。そのため、これまでのような「絶対に侵入を許さない」というセキュリティ対策の方針から、「ある程度、侵入されるのはやむを得ない」「侵入をいち早く検知して対処する仕組みにしっかり投資する」という考え方に転換することが、結果的にサイバーセキュリティのリスクを最も効果的に抑えられると考えられます。

◆IDC JAPAN「国内情報セキュリティ市場予測」

IT専門調査会社 IDC Japanは、1月17日、国内の情報セキュリティ製品市場とセキュリティサービス市場の市場予測(2018年~2022年)を発表しました。

同社では、セキュリティ製品市場を「セキュリティソフトウェア市場」「セキュリティアプライアンス市場」「セキュリティサービス市場」に分類しており、2018年の市場規模はそれぞれ、2,558億円(前年比3.0%増)、538億円(前年比1.0%増)、7,924億円(前年比4.5%増)と予測しています。

セキュリティソフトウェア市場では、フィッシング攻撃やビジネスメール詐欺などのメール攻撃が増加し、こうした攻撃への対策の需要が高まっています。2017年~2022年における年間平均成長率は3.4%で、2022年の市場規模は2,943億円に拡大すると予測されています。特に、クラウドセキュリティへのニーズの高まりから、SaaS型セキュリティソフトウェア市場は、年間平均成長率が14.2%、2022年は497億円まで市場規模は拡大するといいます。

また、セキュリティアプライアンス市場は、ランサムウェアや、メモリ上で実行されるファイルレスマルウェアなどの攻撃リスクが高まり、IDS/IPS(不正侵入検知・防御システム)への需要が拡大した一方、ファイアウォールやVPN、UTMの成長率が鈍化。同市場の2017年~2022年の年間平均成長率は2.9%で、2022年の市場規模は614億円に達すると予測しています。

2019年から2020年にかけては、主要20カ国/地域(G20)首脳会議やラグビーのワールドカップ、東京オリンピック/パラリンピックといった国際的なイベントが開催されます。これにより、サイバー攻撃が多発することが懸念され、対策需要が高まると予測されます。

海外からのサイバー攻撃や内部者による情報漏えいなど、情報資産に対する脅威は日々増加しており、一つの事故が事業の継続を阻害する要因になることもあります。情報セキュリティは重要な経営リスクの一つで、十分な対策を投資と捉え、事業の継続性を確保するといった視点も重要だといえます。

◆情報処理推進機構「情報セキュリティ10大脅威 2019」

情報処理推進機構(IPA)は1月31日、情報セキュリティにおける脅威のうち、2018年に社会的影響が大きかったトピックからトップ10を選出し、「情報セキュリティ10大脅威2019」として発表しました。

「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもので、IPAが脅威候補を選出し、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

ランキングは以下の通りです。

個人部門

  1位 クレジットカード情報の不正利用
  2位 フィッシングによる個人情報等の詐取
  3位 不正アプリによるスマートフォン利用者の被害
  4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求
  5位 ネット上の誹謗・中傷・デマ
  6位 偽警告によるインターネット詐欺
  7位 インターネットバンキングの不正利用
  8位 インターネットサービスへの不正ログイン
  9位 ランサムウェアによる被害
 10位 IoT 機器の不適切な管理

組織部門

  1位 標的型攻撃による被害
  2位 ビジネスメール詐欺による被害
  3位 ランサムウェアによる被害
  4位 サプライチェーンの弱点を悪用した攻撃の高まり
  5位 内部不正による情報漏えい
  6位 サービス妨害攻撃によるサービスの停止
  7位 インターネットサービスからの個人情報の窃取
  8位 IoT機器の脆弱性の顕在化
  9位 脆弱性対策情報の公開に伴う悪用増加
 10位 不注意による情報漏えい

新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位)です。また、本年の個人ランキングでは”だましによる手口”が顕著となっています。また、組織の4位に新規にランクインした「サプライチェーン」も注目すべき事案として取り上げています。

企業の知的財産、機密情報や国家の安全保障に関連する情報を狙ったサイバー攻撃は、省庁、重要インフラ、大企業だけではなく、サプライチェーンを構成する中小企業の脆弱な部分を踏み台にして攻撃が仕掛けられています。AIやIoTなどの急激な増加で被害が高度化・複雑化・広域化し、今後世界規模で事業の不透明な部分、特に委託・再委託先での不備や不確実性が増大していくことになります。企業は末端に至るまで安全を確保する責任を負うものであり、潜在的に抱えるリスクを把握し、そのリスクに適切な対応をタイムリーに行うことが要求されます。パートナーと脅威に対する共通の認識を持つとともに、前段にあたる事業計画と調達先の選定、事前のリスク評価の徹底とサプライヤー全体を巻き込んだ全体のレベル引き上げと強化を重要課題と位置づける必要があります。

3.最近の個人情報漏えい事故(2019年1月、2月)

下記の表は、今年1月と2月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
 

業種 発生原因 対象 備考
1 大学付属病院 書類紛失 患者39人の氏名や年齢、病名など 書類が入った鞄を車内に置いたままにし、翌朝、自宅マンションの駐車場で車の窓ガラスが割られているのを発見、当該鞄を盗まれた
2 国立大学 メール誤送信 メールアドレス150件 「Bcc」で送信すべきところを誤って「To」で送信したため
3 特別支援学校 書類紛失 卒業生64名の氏名、生年月日などが記載された調査書 誤って溶解処理した可能性
4 私立大学 ノートPC紛失 学生384人の氏名、学籍番号など 教員が国際会議に参加した際、休憩時間内に当該ノートパソコンの入った鞄を置いて離席し、席に戻ったところ、当該鞄が紛失していた
5 宿泊施設 メール誤送信 メールアドレス158件 「Bcc」で送信すべきところを誤って「To」で送信したため
6 全国健康保険協会 書類誤送付 別人の氏名、病名などが記載された書類も一緒に送付
7 環境省 ノートPC、USBメモリ紛失 職員30人のメールアドレスなど いずれの機器にもパスワードでロックされていますが、パスワードが記載された書類もなくなっており、盗難に遭った可能性が高いとしている
8 市立病院 USBメモリ紛失 患者1名の氏名、生年月日、CT画像など
9 特許庁 メール誤送信 メールアドレス849件 「Bcc」で送信すべきところを誤って「To」で送信したため
10 音楽教室 ノートPC、USBメモリ紛失 登録のある顧客情報 社員が帰宅していた際、電車内に置き忘れ、紛失
11 書類紛失 入居者約600人分の名前、住所など
12 メール誤送信 メールアドレス52件 「Bcc」で送信すべきところを誤って「To」で送信したため
13 電力 書類紛失 顧客の氏名、電話番号等 作業員が当該書類の入った鞄を車内に置いたまま駐車し、車に戻ったところ当該鞄を盗まれた
14 産業振興財団 メール誤送信 メールアドレス8件 「Bcc」で送信すべきところを誤って「To」で送信したため
15 大学付属病院 USBメモリ紛失 患者6名の氏名、CT画像など
16 イベント メール誤送信 メールアドレス32件 「Bcc」で送信すべきところを誤って「To」で送信したため
17 百貨店 書類紛失 顧客318名の氏名、口座番号、金融機関届け出印の印影など 誤廃棄の可能性
18 CDショップ 書類紛失 顧客6名の氏名、住所など
19 USBメモリ紛失 農業者の氏名、住所など
20 メール誤送信 メールアドレス149件 「Bcc」で送信すべきところを誤って「To」で送信したため
21 百貨店 書類紛失 顧客12名の氏名、住所など 営業担当者が営業活動中に、車の屋根の上に当該書類を置いたまま発車し、当該書類が散乱したのを発見した通行人からの連絡で紛失が発覚
22 放送 メール誤送信 メールアドレス51件 「Bcc」で送信すべきところを誤って「To」で送信したため
23 書類紛失 請求者1名分の氏名、住所、印鑑の押印等 誤廃棄の可能性
24 NPO メール誤送信 メールアドレス83件 「Bcc」で送信すべきところを誤って「To」で送信したため
25 小学校 USBメモリ紛失 児童57名の氏名、通知表、写真など 教諭が自宅で作業するため持ち帰り、翌日出勤した際、当該USBメモリを入れたポーチがないことに気付いた
26 メール誤送信 担当者の氏名1名分の情報
27 メール誤送信 メールアドレスと氏名99件 「Bcc」で送信すべきところを誤って「To」で送信したため
28 書類紛失 申請者18名分の氏名、住所等、マイナンバー 誤廃棄の可能性
29 メール誤送信 70名の個人メールアドレス メーリングリストを誤添付
30 小学校 書類紛失 32人の児童と保護者の氏名、住所、勤務先など
31 通販 誤表示 27人の氏名や住所、電話番号、メールアドレス、生年月日など 顧客情報の管理システムのプログラムにおける不具合
32 住宅供給公社 書類紛失 入居者10世帯28人分の氏名や住所、電話番号、年齢、性別、生年月日、収入、障害の有無などのほか、連帯保証人12人の氏名や住所、電話番号、入居者との続柄など 車での巡回中、荷物を運び込む際に書類を車両の屋根に置き、そのまま発進して紛失
33 持ち出し 職員11人分の履歴書や人事関連資料 無許可で職員の個人情報を自宅に持ち出したり、紛失した領収書を偽造した同市小学校職員に対し、懲戒処分を行った
34 協会 誤送信 申込者の氏名や住所、電話番号、年齢、メールアドレス、所属団体など、のべ1007件 講習会や研修会などの申し込みフォームを利用した関係者の個人情報が、無関係のメールアドレス1件に誤送信されていた
35 書類保管・廃棄関連事業 書類紛失 溶解処理を行うため顧客から集荷した文書箱6箱を台車で運ぶ際、ひとつの蓋が開いて書類が路上に落下し、一部を紛失
36 量販店 誤表示 顧客96人の氏名や市区町村までの住所など パソコン出張サポートの一部申込者の個人情報が、インターネット上で閲覧可能だった
37 ゲーム 誤表示 アンケート回答者の氏名とメールアドレスを含む回答内容 設定ミス
38 デザイン メール誤送信 メールアドレス294件 「Bcc」で送信すべきところを誤って「To」で送信したため
39 電力 書類紛失 読者の氏名や住所、電話番号、原発に対する意見など
40 印刷 USBメモリ紛失 同人誌の原稿データ
41 NPO 誤開示 合格者815人の氏名とメールアドレス
42 教育委員会 USBメモリ紛失 採用選考試験問題の私案10問や、過去に実施した採用試験の問題など
43 ウェブマガジン 誤開示 89人の氏名、生年月日、メールアドレスなど
44 ファイル転送サービス 不正アクセス 氏名や都道府県、生年月日、性別、業種、職種、ログイン用のメールアドレス、パスワードなど480万件
45 信用組合 書類紛失 氏名や住所、納付金の種類、納付金額など、1万8801件 誤廃棄の可能性
46 SNS 誤開示 キャンペーン当選者30人の氏名、住所、電話番号 閲覧権限を誤り、管理者だけでなく当選者からも閲覧できる状態だった
47 電力 書類紛失 顧客327件分の氏名と、電気の契約を管理する番号
48 イベント メール誤送信 氏名やメールアドレス、会社名など個人情報296人分
49 アパレル 誤開示 国内448人、海外356人の社外協力者の氏名や住所、電話番号、生年月日、性別、メールアドレス、職業、業種、子どもの有無など ウェブサイトの関連情報が15カ月以上にわたりインターネット上で公開された状態だった
50 イベント メール誤送信 メールアドレス55件 「Bcc」で送信すべきところを誤って「To」で送信したため
51 国立大学 誤開示 企業405社の採用担当者の氏名とメールアドレス1086件を記載。さらに修了生246人の氏名と学生番号、利用停止済みのメールアドレス、および在学生と修了生1771人の氏名と学生番号など 同サイトを運用しているサーバの更新時に、アクセス制御の設定を誤ったのが原因
52 通販サイト 誤開示 66人の氏名や住所、電話番号、ファックス番号、購入履歴など システムの保守における作業ミスが原因
53 経済産業省 メール誤送信 8046人分のメールアドレス 再委託先において、メールの送信ミスがあり、利用者のメールアドレスが流出「Bcc」で送信すべきところを誤って「To」で送信したため
54 ドラッグストア 不正アクセス メールマガジンの会員情報3万2799件や、通信販売サイトの顧客情報1447件など、最大であわせて3万4246件の個人情報。氏名や住所、電話番号、メールアドレスなどが含まれる。さらに、同サイトでクレジットカード決済を利用した顧客のクレジットカード情報458件に関しても、クレジットカードの名義や番号、有効期限、セキュリティコードが流出したおそれがある。
55 観光財団 メール誤送信 メールアドレス45件 「Bcc」で送信すべきところを誤って「Cc」で送信したため
56 児童養護施設 CD-ROM紛失 児童34人の氏名や性別、生年月日、傷病名、診療内容、保険者番号など
57 産婦人科 メール誤送信 「Bcc」で送信すべきところを誤って「Cc」で送信したため
58 プロ野球球団 メール誤送信 1369件のメールアドレス 業務委託先による誤送信
59 通販 不正アクセス クレジットカードの名義や番号、有効期限、セキュリティコードなど241件
60 中学校 USBメモリ紛失 生徒3人分の氏名や指導に関する記録のほか、前任校の生徒78人分の氏名と修学旅行時の写真など
61 NPO メール誤送信 メールアドレス83件 「Bcc」で送信すべきところを誤って「To」で送信したため
62 協会 不正アクセス メールアドレスとパスワード約1000件
63 小学校 書類紛失 氏名や住所、電話番号、生年月日、家族の氏名、勤務先、緊急連絡先、自宅から学校までの地図、児童の身体面や性格面の留意点など

「54」、「59」は、不正アクセスによるクレジットカード情報漏えい事案です。ECサイトからのクレジットカード情報漏えいの典型的な手口としては、SQLインジェクション攻撃によるものや、ログファイルからの窃取などがあります。これらは、カード情報をECサイト側で「非保持」とすることで防ぐことができます。

しかし、最近は(非保持化の要求以前から)カード情報をECサイト側で保存することが少なくなってきたということもあり、入力フォームを改ざんして利用者が入力したカード情報を盗むという手口が増えています。ECサイトにおいて消費者がクレジットカードで決済するときに、偽の画面を挿入しカード情報を別サイトに送信してから、元の画面に戻し再度入力させ利用者にもECサイト管理者にも気づかせないようにカード情報を抜き取る手口が広がっています。

手口は以下の手順をとり、利用者もWEB管理者も気が付きにくいというものです。

  • 1)決済代行事業者サイトの画面を真似て利用者の入力を横取りする
  • 2)失敗画面を出したあとに正規ルートへリダイレクトする
  • 3)再度利用者が入力したら正常に進む

フィッシングサイトであれば、URLが変わるので気が付きそうなものですが、ECサイト自身で偽画面を出すため、利用者は、画面がうまくできていると本物だと勘違いしてしまいます。また、「自分の打ち込みミスかな?」と思って再入力すると問題なく次に遷移するので、まさか漏えいに直面しているとは気が付きません。

カード情報保護対策の一つに、カード情報を保存させない非保持化があることは確かですが、アプリケーションに脆弱性があれば、カード情報を盗まれてしまうことになります。カード情報の非保持化にも取り組むべきですが、まず、カード情報を盗まれないために、アプリケーションやOSに脆弱性を残さないという基本的なセキュリティ施策が求められます。

ファイアウォールやIDS/IPSやWAF、脆弱性検査など、いろいろ外壁を守る手段は充実してきているものの、実際にシステムの中に入られたら無力なケースが多いといえます。入られた後にも何らかの仕掛け(改ざん検知システムなど)を用意しておき、痕跡を残す技術の重要性を突き付けられた一連の事故です。

「クレジットカード情報は弊社システムでは保持していないので、安全です」とはいえないということであり、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであることの認識を持つ必要があります。

この手口に対するECサイト側の対策ですが、まずは基本的な以下の対策をとる必要があります。

経済産業省「情報セキュリティサービス基準」

  • ウェブアプリケーションやソフトウェアライブラリ、プラットフォームの脆弱性対策(パッチ適用など)
  • 管理者等のパスワードを強固にする(可能ならばインターネットからは管理者ログインできないよう設定する)

加えて、Web Application Firewall(WAF)の導入やファイルパーミッションとファイルオーナーの適切な設定、改ざん検知システムの導入などが挙げられます。

その他、クレジットカード情報が絡む事故やトラブルは、スマホ決済サービスの台頭で、店頭で不正利用される被害も相次いでいます。不正利用の監視体制や補償も行き届いていますが、利用者側の視点としても脅威や対策を知っておく必要があります。

日本クレジットカード協会がまとめた2018年1月から9月までのクレジットカードの番号盗用による被害は131.8億円(前年同期130.3億円)と、増加傾向にあります。2017年に前年の1.7倍に被害額が跳ね上がって以来の高止まりで、不正利用被害全体の約8割を番号盗用による被害が占めています。その背景には、ネット通販の利用者拡大と相次ぐ情報流出、詐欺サイトやフィッシングなどが考えられます。

クレジットカード不正利用被害の集計結果について[PDF](日本クレジット協会

偽サイトは、実在するショッピングサイトのデザインやロゴ、商品画像、説明文などをそのままコピーして作られることが多く、一見しただけでは真偽を見分けることが難しくなっています。万一、偽サイトを誤って利用してしまった場合、代金を支払っても商品が届かなかったり、偽物や粗悪品を送りつけられたりする可能性があります。また、決済時に入力した個人情報やクレジットカード情報を盗まれ、金銭被害に遭うことも考えられます。

フィッシングは、利用者を偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報を盗み出す詐欺行為です。アカウント情報が盗まれ「なりすまし」により不正送金やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。このような脅威に対して、「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、多くの企業・個人が現実感を持てず、十分な対策をとれていないのが現状です。企業は、社内でフィッシング詐欺の手口や注意の必要性をアナウンスするとともに、セキュリティ対策の見直しと万が一被害に遭った場合の対処法を確認しておく必要があります。

ページ先頭へ

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

Back to Top