情報セキュリティ トピックス
総合研究部 研究員 吉田 基
【もくじ】
(1)フィッシングによる個人情報等の詐取とは
(2)被害にあわないために
(3)事業者の対応について
(1)標的型攻撃メールとは
(2)被害にあわないために
(3)訓練について
メールに潜む脅威~フィッシングメール、標的型攻撃メール~
1.はじめに
金融機関(オンラインバンキング)、ECサイト、インターネットオークション、オンラインゲームの事業者、セキュリティ関連団体、警察等、様々な機関よりフィッシングメールに関する注意喚起がなされています。IPAで公表される「情報セキュリティ10大脅威2022」において、「フィッシングによる個人情報等の詐取」が個人ランキングの1位となっています。また、メール等を駆使した「標的型攻撃による機密情報の窃取」が法人ランキングの第2位となっています。メールにおけるフィッシング並びに標的型攻撃は手段が巧妙化しています。一方で、ビジネスにおいてメールは、切っても切り離せない存在になっていますが、常時、危機にさらされている状態でもあります。今回はフィッシングメール並びに標的型攻撃メールを中心に基本的な事項を検討していきます(あえて基本的事項にフォーカスするのは、筆者が研修や相談対応をしていると、そもそも自社の従業員が攻撃の手法を知らず、漫然とメール等を開きURLをクリックしているという話を聞くためです。そのため、まだまだ理解不足があるものと感じています。)。
2.フィッシングメールについて
(1)フィッシングによる個人情報等の詐取とは
フィッシングによる個人情報等の詐取は、公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業を騙るメールやSMS(ショートメッセージサービス)を送信し、正規のウェブサイトを模倣したフィッシングサイト(偽のウェブサイト)へ誘導することで、認証情報やクレジットカード情報、個人情報を入力させる行為を指します。メールやSMSが、不特定多数人に送付される点で、標的型攻撃メールとは形態を異にします。また、不特定多数人に送付されているため、普段から多くの人に利用されている確率が高い著名な企業やサービスを騙ることが多い点も特徴の一つです。
(2)被害にあわないために
受信したメールを疑う意識を持つ必要があり、「ID、PW、クレジットカードの番号」を入力させるようなメールには特に注意する必要があります。このような内容のメール等であれば、真偽を確認するために発信元とされる事業者の公式サイトを確認したり、問合せ窓口に確認することが有用です。また、メール本文内にリンクが貼られている場合、安易にクリックしないことを社内ルール化する必要があります。
“疑い、確認する”ということが被害に遭わないための初歩的条件ではありますが、日常的にメールを数十件、数百件単位で受信している場合、常に「疑いの意識」を持つことは、現実的には難しい側面もあります。また、内容を確認していても、やはりURL等をクリックしてしまいがちと思われます。例えば、Amazonやヤマト運輸から来るメールや通知等は、当該事業者に登録しているメールアドレスに届くはずなのにもかかわらず、SMSや登録していないメールに届いた場合であっても、URLを一度はクリックした経験のある方はいるかと思います(筆者もその一人です。)。これは、誰に(どこの事業者に)、自分のどの情報を預けているかを適切に把握しきれていないためと思われます。その要因としては、事業者の個人情報取得に関する同意の形骸化、登録したら登録しっ放し、ログインや登録時の入力作業が自動化されるなど様々なものが考えられます。改めて、自己の情報を誰に提供しているか、適切に管理、コントロールし、自ら把握しておくことが重要です。これにより、本来のメールの送付先と異なるところにメールが送付された場合においては、少なくとも疑いの意識を持つことが可能となります。
(3)事業者の対応について
ここまでは、メール受信者たる主に消費者側の話でした。近時、「自社と酷似したサイトが作られてしまった」という相談を事業者から受けるため、言及しておきます。
フィッシングサイトの管理者が攻撃者である場合、当然のことながら削除依頼を受け付けてくれません。また、攻撃者が第三者のウェブサーバーに不正アクセスを行い、フィッシングサイトを設置している場合もあります。この場合、サイト管理者に依頼をしても、当該第三者からすると、突然、連絡が来たこととなるので、スムーズに進まないことも考えられます。そもそも、外形上、第三者が不正アクセスを行い、フィッシングサイトを構築したか否かを判定することは難しく誰に連絡をすべきか、判断することが難しいことがあります。したがって、一般的に、短期間で同フィッシングを閉鎖させることは難しいとされています。そのため、専門機関へ依頼することが考えられ、JPCERT/CCでフィッシングサイトの閉鎖を依頼することも可能です。
他方で、フィッシングサイトでは、商標等が利用されることがあるため、商標権侵害という議論にもなります。しかし、商標の利用を停止できるにとどまり、サイト自体の閉鎖は難しく、また、時間もかなりかかってしまいます。したがって、あまり有効ではないように感じます。
但し、そのような経緯に関する開示(説明)は必要です。すなわち、事業者がフィッシングサイトを認知するきっかけは、当該事業者の利用者による問い合わせが多いと思われるため、利用者を守るためにもフィッシングサイトの存在を知らせて注意喚起を行う必要があるからです。
3.標的型攻撃メールについて
(1)標的型攻撃メールとは
標的型攻撃メールとは、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールを指します。標的型攻撃メールの添付ファイルを開封したり、リンクをクリックしただけで、ウイルスに感染し、機密情報が漏洩する事態に陥ることがあります。また、標的型攻撃メールのウイルスは、ウイルス対策ソフトでは検出されないものが多く、感染に気づきにくく、知らぬ間に被害が拡大しているケースもあります。
(2)被害にあわないために
フィッシングメールと同様に疑う意識を持つこと、確認することが重要です。例えば、送信者とされる人に送信の事実を適切な方法で確認する等が挙げられます。また、具体的な手口を知っておくことも有用であるため、紹介しておきます。まず、ファイルを開かせるために、スクリーンセーバーといったなじみの薄い実行ファイルの拡張子が用いられたり、「abcdef.txt .exe」と空白を入れて拡張子を見え辛くしたり、実行ファイルのアイコンがPDF等に偽装されていたりします。次に、メール記載のURLにクリックさせるためにメール本文では本物のURLが記載されていることがあります。しかし、クリックしアクセスすると、異なるリンクに飛ぶように仕掛けがなされています(安易にクリックせず、当該リンクをコピーし検索してアクセスすることが望まれます。)。加えて、メール上において、正規のメールアドレスかのように表示させたり、紛らわしいメールアドレスが使用されたり、過去のやり取りを引用したり、アカウントを乗っ取り、本物のメールアドレスから送信されていることもあります。まとめると下の表の通りです。また、上記以外にも受信者をだますための手口があり、メールをチェックする際に注意が必要です。
- 添付ファイルを実行させる手口
- 「.scr」(スクリーンセーバー)という馴染みの薄い実行ファイルを拡張子に使用する
⇒「.exe」という拡張子の危険性が広く知られたため、警戒心の低いと思われるものを使用している。 - ファイル名の中に異なる拡張子を入れている
「worddesu.dou.exe」という名前にして、拡張子を表示しないようにし一見すると「word」ファイルに思い込ませる - 「aaa.txt .exe」のように空白を挿入し拡張子を見えにくくしている。
- 実行ファイルのアイコンがPDFやwordに偽装されている
- 「.scr」(スクリーンセーバー)という馴染みの薄い実行ファイルを拡張子に使用する
- メール本文中のURLにアクセスさせる手口
- メールがhtml形式で書かれている場合、メール本文に記載されているURLとクリックしたリンク先が異なるケースがある。
- メール本文のリンク:https://(本物のドメイン).com
- クリックしたリンク:https://(偽物のドメイン).com
- メールがhtml形式で書かれている場合、メール本文に記載されているURLとクリックしたリンク先が異なるケースがある。
- 受信者を油断させるためのなりすまし
- メールの送信元を偽装
正規のアドレスが表示されているかのように表示される
紛らわしいメールアドレスの利用
⇒正規:○○@shuzuki.sp.com
偽装:○○@suzuki.sp.com
意図的に「h」を抜き、一見しては見抜けないようにする。 - 過去のやり取りを引用する
実際の取引先とのやり取りを引用して返信する形でマルウェアを送り付けてくる。
- メールの送信元を偽装
(3)訓練について
企業によっては、標的型攻撃メール等に関する教育の一環として、訓練をする企業があります。具体的には、模擬の標的型攻撃メールを従業員に送信し、受信者がこれを見抜くというものです。私見ですが、いかに高いレベルで警戒しても巧妙に作りこまれている標的型攻撃メールを企業全体(全従業員)が見抜き開封しないということはなかなか難しいところです。また、1人でも標的型攻撃メールに引っかかり、マルウェア等に感染してしまうと攻撃者の勝ちということとなります。したがって、訓練の目的を、開封率をゼロにすることを目的とすることは現実的ではなく、むしろ、メールを受け取った後、あるいは添付ファイル等を開封してしまった場合に適切に然るべき経路で報告されたかを検証することを目的とすべきと思います。その検証結果を改善に繋げていくのです。
訓練する際、内容にも注意が必要です。勝村幸博氏の『すぐそこにあるサイバーセキュリティ―の罠テレワーク、スマホ、メールを狙う最新トラブルとその裏側』(日経BP)で、炎上した事例が紹介されています。具体的には、ボーナスを支給しないとしていたある海外の企業が社員に訓練メールが送りました。同メールの内容は、650ドルのボーナスを支給し、受け取るためにはメール内のリンクをクリックし必要情報を入力せよと記載されていました。これに従い、入力した従業員にはボーナス支給ではなく、セキュリティートレーニングが与えられており、この訓練が話題となり、当該企業は、やり方が適切ではなかった等批判にさらされました。
4.最後に
メールを使った攻撃は巧妙化しており、見抜くこと自体が難しくなっています。他方で、冒頭でも述べた通り、基本的な攻撃手法すら理解や知識の不足があるように感じています。注意するにしても、正しい知識を身につけることが有用です。本稿が今後のセキュリティ対策の一助となれば幸いです。
【参考】
- 独立行政法人情報処理推進機構(IPA):情報セキュリティ10大脅威 2022
- 総務省 フィッシング詐欺に注意
- JPCCERT/CC インシデント対応依頼
- フィッシング対策協議会 フィッシング対策ガイドライン2022年度版
- 総務省 標的型攻撃への対策
- 増島雅和・蔦大輔『事例に学ぶサイバーセキュリティ 多様化する脅威への対策と法務対応』(経団連出版)
- 鎌田啓介『サイバーセキュリティマネジメント入門』(一般社団法人金融財政事情研究)
- 勝村幸博『すぐそこにあるサイバーセキュリティ―の罠テレワーク、スマホ、メールを狙う最新トラブルとその裏側』(日経BP)
最近の個人情報漏えい事故(2022年7月、8月)
下記の表は、2022年7月と8月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
| No | 業種 | 原因 | 漏洩件数・原因 |
| 1 | 小売 | 不正アクセス | 運用するサーバがサイバー攻撃を受けた。これにより、同社のポイントカードによる支払いや残高表示ができないなど影響が出た。情報を保有していないことを理由にクレジットカード情報が流出した可能性については否定している。 |
| 2 | 小売 | 不正アクセス | サーバが不正アクセスを受け、同ショップのウェブサイトに会員登録していた顧客最大2110人分の個人情報が流出した可能性がある。
氏名や住所、電話番号、生年月日、性別、メールアドレスなどが対象で、一部では口座情報なども含まれる |
| 3 | 市 | 誤交付 | 図書室で4月28日から配布していた高齢者向け運動教室のチラシのなかに、生活保護受給者1人の氏名、住所、4月分の生活扶助費が記載された支出伝票が混入していた。
同市福祉健康部の複数課で共有する複合機で、地域包括ケア推進課の職員がチラシを印刷した際、生活支援課の職員が同時に伝票を印刷。混入したまま回収していなかった。 |
| 4 | 大学 | サイバー攻撃 | 「Emotet」と見られるマルウェアに感染し、大量のなりすましメールが送信された。
4月15日から同月24日にかけて約5300件、4月28日から5月8日にかけて約1600件、6月4日に約1400件が送信されており、あわせて約8300件にのぼる。 |
| 5 | ECサイト | 不正アクセス | 脆弱性を突く不正アクセスを受け、同サイトを利用する顧客の個人情報やクレジットカード情報が外部に流出した可能性がある。
クレジットカード情報に関しては、決済アプリケーションを改ざんされたため、2021年2月3日から同年8月15日にかけて、顧客680人が決済に利用したクレジットカード情報684件が流出し、不正に利用されたおそれがある。 クレジットカードの名義、番号、有効期限、セキュリティコードのほか、同サイトのログインIDおよびパスワード、電話番号、IPアドレスなども含まれる。 |
| 6 | 学校 | 紛失 | 業務で使用するUSBメモリを教諭が紛失したもので、同月3日に自宅で見当たらないことに気がついた。6月1日に使用したのを最後に所在不明となっている。
問題のUSBメモリには児童65人分の氏名、生年月日、学力、配慮事項などを記載した引継資料のほか、児童に関する教育活動風景などの写真約95件、担当学級の座席表、教諭の自己評価シート、指導案などが保存されていた。 |
| 7 | 病院 | 紛失 | 患者27人分の氏名、ID番号、終夜睡眠ポリグラフの検査データ、睡眠時の状態を記録した動画など保存されたUSBメモリが所在不明となっている。 |
| 8 | 情報通信 | 誤設定 | 検索エンジンより個人情報を閲覧できるとの指摘が利用者より寄せられ、本件事業者でも検索エンジンの検索結果に個人情報が表示されることを確認。情報が外部に流出していることが判明した。
サーバ環境を変更した2020年2月16日から、ネットワークの設定を変更して対策を講じた2022年6月29日までに登録された氏名、会社名、部署名を含む約25万人分の個人情報にアクセスできる状態だった。 |
| 9
|
サービス | サイバー攻撃 | オンラインや、九州や中四国地区以外の直営店で扱った名刺や宛名印刷、チラシの注文に関する情報2438件。
このうち1741件の注文については個人情報が含まれる。名刺に印字されている氏名や会社名、住所、電話番号、挨拶状や年賀状に印字されている差出人や宛名の氏名、住所などで、これら注文における個人情報の合計件数については調査中。 |
| 10 | 情報通信 | サイバー攻撃 | パソコン1台がマルウェア「Emotet」に感染し、自治体より受託する電子申請業務のヘルプデスクで扱ったメール情報が外部に流出したことが明らかとなった。影響を受けた自治体からも注意喚起が行われている。
同社では、約800の自治体に電子申請サービスを提供しているが、同サービスのヘルプデスク業務で過去にやり取りしたメールが外部に流出した。 |
| 11 | 報道機関 | 不正アクセス | サービスに対して不正アクセスが行われた。約3万件のログインが行われたが、正規のアクセスと不正アクセスが混在したという。不正アクセスの具体的な件数については不明。 |
| 12 | 市立博物館 | 誤送信 | 職員が送信した「ボランティアだより」において誤送信が発生したもの。送信先を宛先に設定し、ボランティア93人に送信したところ、メールアドレスが受信者間で閲覧できる状態となった。 |
| 13 | 病院 | サイバー攻撃 | 電子カルテをはじめとする複数システムがサイバー攻撃を受け、一時診療に影響が出たこと、復旧したが、その後個人情報が外部に流出した可能性があることが判明した。
5月27日に患者データベースへアクセスできない状況に陥るサイバー攻撃を受けたもの。電子カルテシステムや診療報酬を計算する会計システムなどが一時停止した。 同日、一部診療体制に影響が出たものの、翌日には、対策を講じた上でバックアップからシステムを復旧しており、通常の診療体制に戻っているという。 同院では障害の発生を受けて警察や厚生労働省へ報告。5月30日には個人情報保護委員会にも報告し、6月8日より外部事業者によるフォレンジック調査を進めていたが、個人情報が外部に流出した可能性があることがわかった。 対象となるのは、患者や新型コロナワクチンの被接種者に関する個人情報最大11万1991件。氏名や生年月日、住所、電話番号、診療に用いる病歴、治療歴などの情報、予防接種歴などが含まれる。 |
| 14 | 県 | 誤破棄 | 公文書管理条例に基づき、管理状況について公表したもの。同県によれば、2020年4月1日から2021年3月31日までの1年間に4万3092件の公文書ファイルで保存期限を迎えたが、680件の誤廃棄が発生していた。
保存期限を迎えた公文書については、廃棄にあたり同県公文書等管理審査会の意見を聴く必要があるが、今回判明した680件のうち667件については、周知が不十分だったため、意見聴取前に廃棄した。 |
| 15 | 都 | 誤交付 | 都によれば、6月21日に住民からの申請に基づいて提供した駒沢オリンピック公園総合運動場の整備に関する資料をPDFファイルで提供したが、マスキングされた名字6件が特定の操作により確認できる状態となっていた。 |
| 16 | 市 | 誤交付 | 生活保護受給者の個人情報が記載されたリスト2件を、関係ない家主に送付するミスがあった。
誤送付した対象者一覧には、生活保護受給者11人分の氏名、住所、住宅扶助および共益費の金額が記載されている。 |
| 17 | 公益経済団体 | サイバー攻撃 | ネットワークに対するサイバー攻撃を受けたもの。7月4日20時半ごろ、サーバで不審な挙動を検知し、マルウェアの感染が明らかになったという。
感染したサーバのデータが破壊、暗号化されたとしており、ランサムウェアの被害と見られる。7月5日の時点で外部における情報の流出は確認されていない。 |
| 18 | 県立高校 | 紛失 | 県立高校において生徒の個人情報が保存されている教員用のタブレット端末が所在不明となっていることを明らかにした。
県によれば、生徒20人分の氏名と学校名が記載された運動部の大会参加申込書と、生徒7人分の顔写真が保存されている端末の所在がわからなくなっているもの。県教育委員会が配備した端末で、内部のデータは暗号化されており、パスワードについても設定されている。 |
| 19 | サービス | 不正アクセス | 2021年2月から同年7月にかけて使用していたオンライン決済サービス会社がサイバー攻撃を受け、講座や試験の受講者がオンライン決済で利用したクレジットカード情報が外部に流出した可能性がある。 |
| 20 | ECサイト | 不正アクセス | システムの脆弱性を突く不正アクセスにより、不正なファイルを設置され、2021年4月30日から2022年1月30日にかけて、クレジットカード決済を利用した顧客のべ5172人に関する個人情報が流出し、不正に利用された可能性があることが判明した。
クレジットカードの名義、番号、有効期限、セキュリティコードのほか、メールアドレス、IPアドレスなどの情報も窃取されたおそれがあるという。3月16日にクレジットカード会社から情報流出の可能性について指摘があった。 |
| 21 | 鉄道 | 誤送信 | イベントを告知するメールを同社ウェブサイトの会員1408人に送信した際、一斉メール配信機能によって本来「BCC」が用いられるところ、メールアドレスが宛先に設定され、送信された。 |
| 22 | 誤設定 | サイト内にオンライン講座の出演者や関係者のメールアドレスを誤って掲載するミスがあったことを明らかにした。
サイト内のオンライン講座を紹介するページに、出演者および講座関係者28人分のメールアドレスを誤って掲載。 |
|
| 23 | 小売 | サイバー攻撃 | 海外のIPアドレスより、第三者が正規の利用者になりすましてログインを試みたもので、1万9057件のアカウントが第三者によるログインを許した可能性がある。
7月11日10時半ごろ、システムを委託する事業者より報告があり、被害へ気がついた。同社以外で流出したアカウント情報を悪用する「パスワードリスト攻撃」によるものと思われる。 |
| 24 | ECサイト | 不正アクセス | サイトにおいてシステムの脆弱性を突く不正アクセスを受け、決済アプリケーションの改ざんなどが発生したもの。
不正アクセスの影響により、2020年7月3日から2021年10月27日にかけて、同サイトにログインした顧客最大2959人分のメールアドレスとログインパスワードが流出した可能性がある。 このうち同サイトで商品を購入した最大2730人に関しては、氏名、住所、電話番号、会社名、注文情報についても対象。 さらにクレジットカード決済を利用した最大2083人については、クレジットカードの名義、番号、有効期限、セキュリティコードが流出し、不正利用された可能性がある。 |
| 25 | ECサイト | 不正アクセス | システムの脆弱性を突く不正アクセスがあり、決済アプリケーションの改ざんなどが行われたもの。2月8日にクレジットカード会社から情報流出の可能性があるとの指摘があり問題が発覚した。
同サイトを運営するハーモニックによれば、今回の不正アクセスにより、顧客2万8700人が2020年11月14日から2021年11月11日にかけて利用したクレジットカードの名義、番号、有効期限、セキュリティコードが流出し、不正利用された可能性がある。 さらに2020年11月14日までに「カタログギフトのハーモニック」へ会員登録をしたり、商品を購入した全顧客15万0236人分については、氏名や住所、電話番号、メールアドレス、性別、生年月日が流出したおそれがある。あわせて名入れ目的で提供された子ども5445人分の情報なども対象となる。 |
| 26 | 市 | 誤交付 | 電子クーポンの申し込みを行った53人に対し、委託先事業者より手続きの完了を通知するメールを送信する際、本文内に別人の氏名を記載したもの。メールアドレスをもとにリストより氏名を読み込む作業でミスがあった。 |
| 27 | 県 | 誤送信 | 学校公開の日程を確認するメールを参加申込者へ送信した際、誤送信が発生した。
222件、198件と2回にわけてメールを送信したが、いずれも送信先を誤って「宛先」に入力するミスがあり、同一グループ内にメールアドレスが流出した。 |
| 28 | 銀行 | 紛失 | 支店において書類の整理作業を行っていた際、伝票綴りを収納した段ボール箱1箱を紛失していることが判明した。
問題の段ボール箱には、2021年4月1日から5月31日にかけて扱った入出金伝票や為替伝票などをまとめた綴り39冊が入っていた。3757件の取り引きが記録されており、個人の顧客1255件と法人顧客322件に関する名義、住所、電話番号、生年月日、口座番号、取引金額などが記載されている。 店舗の移転準備作業を行った際、廃棄する段ボール箱とともに誤って溶解処分した可能性が高い。 |
| 29 | 製造 | サイバー攻撃 | 販売管理システムのサーバが第三者によるサイバー攻撃によって停止したもの。サーバには、顧客名、注文内容、発送先の住所、電話番号などの個人情報が保管されており、外部に流出した可能性もある。
決済関連の情報やメールアドレス、オンラインショップのログインIDやパスワードに関しては、異なるシステムで管理しており、流出の可能性はないとの見方を示されている。 社内で使用するパソコンに対する侵害の形跡やマルウェアの感染などは確認されていない。 |
| 30 | 病院 | 紛失 | 新生児集中治療室(NICU)で使用しているデジタルカメラのSDメモリカード1枚の所在がわからなくなっているもの。同カードには、新生児50人分の写真が保存されており、親の画像を含んでいる場合もある。
7月13日20時ごろ、保管場所にあるデジタルカメラを看護師が使用しようとしたところ、カードが入ってないことに気づいた。 同日15時ごろ、別の看護師がデジタルカメラを使用し、同カードに保存された写真の印刷をパソコンで行ったが、その後の所在がわからない状況である。 |
| 31 | 高校 | 紛失 | 生徒の個人情報が記載された教務手帳が所在不明となっている。
県によれば、7月12日に県立高校の職員が校内で教務手帳を紛失したもの。同手帳には、担当クラスの生徒に関する氏名、第1学期中間考査や期末考査の点数、授業の出欠記録、第1学期の評価原案など、1年生78人や2年生1人に関する個人情報が記載されていた。 |
| 32 | 県 | 誤送信 | 企業に送信した就職フェアの開催案内に関するメール2件について誤送信が発生した。
1件では送信先33件、別の1件では送信先264件を、誤って宛先に入力。企業や企業担当者のメールアドレスが受信者間で閲覧できる状態となった。 |
| 33 | 国立研究開発法人 | サイバー攻撃 | 運営する一部ウェブサイトが改ざんされた。
運営するサイト「イネ QTL 遺伝子情報データベース」のトップページが改ざんされた。 同サイトへの通信を遮断し、調査したところ、7月14日13時過ぎよりアクセスを遮断した同日18時前にかけて、意図しない「スロット」のイラスト画像がサイト上に表示される状態となっていた。 |
| 34 | 市 | サイバー攻撃 | 小中学校が使用する校務ネットワークがランサムウェアによるサイバー攻撃を受けたことを明らかにした。認証サーバやバックアップなども被害に遭った.
被害に遭ったサーバは、市内の小中学校12校が校務全般で使用しており、児童や生徒など2021人に関する氏名、住所、保護者の連絡先、出席、成績などの情報を管理していた。 多くの小中学校では通知表の配布時期を秋としており、影響を受けなかったが、夏季休暇前に配布を行う市内1校では通知表の配布にも影響が出ている。 また教員などが利用するクライアント端末をネットワークを接続する際に用いる認証サーバも被害に遭ったため、アクセスできない状況となっている。くわえてバックアップも被害に遭っており、調査にも時間を要する見込みで復旧のめどは立っていない。 |
| 35 | 県 | 誤送信 | ボランティア講座の受講予定者へ送信したメールにおいて送信ミスがあり、メールアドレスが流出した。
県によれば、7月19日15時ごろ、「かながわコミュニティカレッジ講座」の運営業務を同県より受託しているソーシャルコーディネートかながわが、災害ボランティア入門講座の受講予定者31人に対し、開催概要を確認するメールを送信した際に誤送信が発生した。 |
| 36 | サイバー攻撃 | 不正アクセス | データセンターのサーバがサイバー攻撃を受けた。
7月19日早朝にデータセンターのサーバが外部よりサイバー攻撃を受けたもの。 基幹システムや関連システムで被害が発生しており、オンラインサイトによる販売や取引先への配送などに影響が出ているという。7月21日の時点でコーポレートサイトなども正しく表示されない状況となっている。 |
| 37 | 市 | 紛失 | 介護保険に関する書類の紛失事故が複数発生した。
市によれば、介護保険料の不納欠損処分予告通知者のリストや介護保険サービスのケアプランを作成する際に必要となる主治医意見書などが所在不明となっている。 介護保険料の不納欠損処分予告通知者のリストについては、5月25日に紛失が判明。2020年度のリストで被保険者の氏名、介護保険被保険者番号、不納欠損額、滞納期間など303人分の個人情報が記載されていた。文書の取り扱い基準に基づく起案処理や保管ができていなかったという。 また地域包括支援センターでは、6月1日、同月10日にあわせて2人分の主治医意見書、認定調査票、介護認定調査票を紛失していることが判明した。 |
| 38 | 一般社団法人 | 誤設定 | 申し込みフォームの設定を誤り、イベントの申込者に関する個人情報が流出した可能性がある。
7月1日から同月20日正午ごろにかけて、イベントの申込者106人に関する個人情報が流出した可能性があることが判明した。 フォームの設定ミスにより、申込後の画面に表示されるリンクから他申込者の情報を閲覧できる状態だった。申込者の氏名、電話番号、メールアドレス、企業および部署などの個人情報が流出したおそれがある。 |
| 39 | 区 | 紛失 | 区立保育園において、園児の写真を記録したメディアが所在不明となっている。
同区によれば、園児25人分の写真データが保存されたSDメモリカードの所在がわからなくなっているもの。7月14日に職員がカメラを使用しようとしたところ、SDメモリカードがないことに気づいた。 前日13日に職員がSDメモリカードからタブレット端末にデータを取り込んだが、事務所内の施錠できる保管庫に返却せず、カメラに挿入し、保育室内に置いたまま帰宅。以降の所在がわからない。 |
| 40 | 市 | 不正アクセス | 数の職員が業務で利用するグループウェアに対して不正アクセスを行い、人事情報などを閲覧していた。
市によれば、消防職員2人が、同市グループウェアにおいて上長のアカウントに対し、2020年から2021年にかけて複数回にわたり不正アクセス行っていたことが判明した。 いずれの職員もグループウェア上のメールに添付された人事異動に関する情報を閲覧。さらに1人については別の職員に画面を見せて内容を漏洩していた。上長のアカウントにログインするにはパスワードが必要となるが、類推したものと見られている。 |
| 41 | 市 | 紛失 | 区内の2校で児童個票ファイルの紛失事故が発生したもの。ファイルには児童の氏名、住所、電話番号、生年月日、性別、保護者の氏名、保護者の勤務先、緊急連絡先、自宅付近の略図、留意事項などが記載されている。
1校では、5月24日に担任が担当する学級の児童個票ファイル21人分を児童の机の上に置き忘れ、児童が知らずに誤って自宅へ持ち帰る事故が発生。気づいた保護者から連絡があり回収した。 また別の1校では、5月26日に職員室の保管庫内に28人分の児童個票ファイルが見当たらない。 |
| 42 | 信用金庫 | 誤破棄 | 顧客向けの通知ハガキが未発送となっており、外部に流出した可能性があることがわかった。処理に困りシュレッダーで裁断処理したと担当する従業員は話している。
同金庫によれば、通帳のない「通帳レスカードローン」の契約者に対して利用残高を通知するハガキを年2回発送しているが、2021年3月、および同年9月に発送すべきハガキ5418件について発送手続きが行われていなかったもの。 5月19日に判明したもので、担当する従業員は、手続きが遅れたことから未発送となり、処理に困ってそのうち1880件についてはシュレッダーで裁断したと証言しているという。のこる3538件については、同金庫が保管している。 廃棄されたとするハガキには、顧客1477人に関する氏名、住所、口座番号、カードローン商品名、利用残高などの個人情報が記載されていた。 |
| 43 | 病院 | 持ち出し | 県立病院において患者の電子カルテを目的外で閲覧し、個人情報を外部に漏洩していた。
医療材料の管理や医療機械の洗浄業務を担当している職員が、2019年1月、2月と2度にわたり業務に関係なく電子カルテの内容を閲覧。LINE経由で患者2人に関する個人情報を家族に漏らしていた。職員は電子カルテの閲覧権限を持っていたという。今回の問題を受けて同県は、県立病院において閲覧権限の対象者を最小限に絞るなど厳格化し、カルテの閲覧記録の定期的に検証するなど対策を講じる。また、従来より研修を実施してきたが、あらためて個人情報の適切な取り扱いについて周知徹底を図り、再発防止を目指す。 |
| 44 | 病院 | 誤送付 | 6月26日にウェブセミナーの視聴者から寄せられたアンケートの回答を集計するためメールで送信したところ、誤って第三者のメールアドレスに送信するミスがあった。
誤送信したメールには、アンケート回答者460人に関する氏名、勤務先、所属、感想などが含まれる。 |
| 45 | 金融 | 誤送信 | 7月13日に事務作業で顧客情報を含むファイルを社内の関係者へメールで送信する際、誤って宛先に委託先を含めた状態で送信してしまった。
誤送信したファイルには、顧客2127人のカタカナ氏名、社内で使用する会員番号と顧客番号、商品名、延滞金額、入金状況などが保存されていた。1人に関しては住所も記載されている。 |
| 46 | 県 | 誤送信 | 県によれば、7月8日18時前に農業者の経営改善計画申請者の個人情報を送信する際、メールアドレスの入力を誤り、県内市町の総務課など35カ所に送信するミスがあった。
申請者の氏名、住所、携帯電話番号、生年月日、年間所得、作付面積、生産量などが含まれる。 |
| 47 | 市 | 誤交付 | 市によれば、7月20日に教員が通知表とあわせて異なる健康診断の記録を児童24人に配布したもの。健康診断の記録には、児童の氏名や身体測定の記録などが含まれる。
同日、学校に保護者から連絡があり問題が判明。児童の配布用ファイルに入れる際、健康診断の記録を出席番号とは逆の順番に入れたが、気付かずにそのまま配布してしまった。 |
| 48 | 都 | 誤送信 | 新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信した。登録情報には非公開の個人情報なども含まれる。 |
| 49 | 市 | 紛失 | 市立小学校において個人情報が記載された児童個票ファイルが所在不明となっている。
同市によれば、小学校で1クラス33人分の児童個票ファイルを紛失したもの。児童の氏名、住所、電話番号、生年月日、性別、保護者氏名、保護者の勤務先、緊急時の連絡先、自宅付近の略図、児童の留意事項などが含まれる。 |
| 50 | ECサイト | 不正アクセス | システムの脆弱性を突かれ、商品の購入にあたってクレジットカード決済を行おうとすると、情報が窃取される偽の入力ページへ誘導される状態となっていた。
2022年4月12日1時前から同月14日11時半ごろにかけて、決済にあたりクレジットカード情報を入力した場合に、クレジットカードの番号や有効期限、セキュリティコードを窃取され、不正に利用された可能性がある。 商品を購入した顧客122人のほか、途中で決済を中止し、購入に至らなかった場合もクレジットカード情報を入力していた場合は影響を受けるおそれがある。 |
| 51 | 区 | 誤送信 | 起業セミナーの参加者に対して誤って個人情報含むファイルがダウンロードできるURLを送信するミスがあった。
区によれば、7月13日18時前、起業セミナー参加予定者49人へファイルをダウンロードするためのURLをメールで送信したが、セミナーの資料ではなく個人情報含むファイルがダウンロードできる状態となっていた。 問題のファイルには、起業家サロンで使用した11人の氏名、電話番号、メールアドレス、自己紹介、SNS、登壇者に対する質問などの情報が含まれていた。 |
| 52 | 大学 | 不正アクセス | 教員1人が利用するアカウントに対して外部から不正アクセスがあり、メールボックス内に残っていたメールを第三者により閲覧された可能性がある。
5月16日にメールサービス事業者から、同アカウントで海外から不審なパスワード認証が行われたことを検出し、パスワード変更を実施したとの通知があり、問題が判明した。 不正アクセスを受けた5月16日の時点で、メールボックス内に保存されていた5月2日から同日までの受信メール128件が第三者によって閲覧された可能性があるとしている。 教職員の氏名とメールアドレス46件、学生の氏名と学籍番号16件のほか、学外関係者の氏名とメールアドレス5件が含まれる。 |
| 53 | サービス | 紛失 | 利用者1人とその家族3人の個人情報を含む書類が所在不明となっている。
「福祉サービス利用援助」契約に関する書類一式で、利用者の氏名、住所、電話番号、生年月日、口座番号、障害の有無、利用している福祉制度のほか、家族の氏名、住所、年齢、利用している福祉制度などが記載されている。 |
| 54 | 市 | 誤送信 | 災害時ボランティア制度に登録している17人に対し、研修会の案内メールを送信したところ、誤送信が発生したもの。送信先を宛先に入力したため、メールアドレスが受信者間で閲覧できる状態となった。 |
| 55 | 製造 | サイバー攻撃 | SSL VPNにおける脆弱性を突かれ、サーバやNASがランサムウェア「CryptXXX」に感染した。
4月18日に社内システムで異常を確認し、サイバー攻撃を受けたことが判明。一部データが暗号化されたことを確認し、警察へ被害を相談するとともに、システムを停止して外部事業者の協力のもと調査を進めていた。 今回のサイバー攻撃で、同社やグループの退職者を含む従業員の情報が暗号化される被害が発生。氏名、住所、電話番号、生年月日、性別など含まれる。マイナンバーについては含まれておらず、外部において情報の流出は確認されていないとしている。 |
| 56 | 大学 | 盗難 | 6月下旬に教員が帰宅途中に窃盗被害に遭ったもので、在学生、卒業生および受験生の個人情報が保存されたポータブル型メモリを盗まれた。個人情報以外に機密情報などは含まれていないとしている。
学外へ許可なく個人情報を持ち出していた。一部データはパスワードが設定されている。 |
| 57 | 不正アクセス | システムより、第三者によって2044件の意図しないメールが不正に送信された。7月31日に2度にわたり送信され、約600件のメールが届いたものと見られるが、1436件は配信不能として返信されたことから、システムを運用する委託先事業者が被害に気がついた。
都では、同システムのドメインをメールアドレスとして使用していないが、問題のスパムメールでは、同システムのドメインによる実在しないメールアドレスを発信元として使用。送信先は、いずれもAppleのクラウドサービス「icloud」のメールアドレスで、ユーザー名にランダムな英数字を指定していた。 |
|
| 58 | 不正アクセス | 厚岸漁業協同組合は、マルウェア「Emotet」の感染により、同店通信販売サイト「エーウロコ」の顧客情報が外部に流出した可能性がある。
同組合によれば、直売店で使用しているパソコン1台がマルウェア「Emotet」に感染し、端末内部に保存されていたメールデータが外部に流出した可能性があることが判明した。 流出の可能性があるのは、直売店より通信販売サイトの顧客へ送信したメールや顧客からの問い合わせメール。氏名、住所、電話番号、メールアドレスなどが含まれる。 |
|
| 59 | 市 | 誤掲載 | ウェブサイトに新型コロナウイルス関連の誤った申請書ファイルを掲載し、個人情報が流出した。
市によれば、新型コロナウイルス感染症の影響により収入が減少した被保険者の国民健康保険税の減免措置において、申請書様式のファイルをウェブサイトに掲載したところ、誤ったファイルを公開していた。 更新した申請書様式を掲載する際、表計算ファイルをPDFファイルに変換せず、誤ってそのまま掲載したため、様式の欄外に記載されていた個人情報を参照できる状態となった。来庁した住民から指摘があり問題が判明し、同ファイルをサイト上より削除した。 ファイル内の情報は、94人に関する2008年当時の個人情報で、氏名、住所、被保険者証番号、市の管理番号など含まれる。7月26日18時から8月1日11時過ぎにかけて掲載し、期間中17件のアクセスがあったという。 |
| 60 | 県 | 誤送信 | 県によれば7月29日20時前、業務委託先より同事業に参加する旅行業者193社に対し、取り扱う旅行における新型コロナウイルスの感染者の有無について確認するよう依頼するメールを送信。
その際に送信先を誤って宛先に設定していたため、受信者間でメールアドレスが閲覧できる状態となった。 |
| 61 | 金融 | 不正アクセス | 会員サイトにおいて、クレジットカード情報が外部に流出した可能性がある。
利用明細の照会や登録内容の変更手続きなどが行えるインターネット会員サービスを提供しているが、同サイトにおいて会員のクレジットカード情報が外部に流出した可能性があることが判明したもの。 対象となるのは、7月19日から同月26日にかけて同サイトで新規登録や再登録を行った会員。クレジットカードの番号、有効期限、セキュリティコード、生年月日が外部に流出した可能性がある。本誌の取材に対し、同社は対象者を特定済みとしているが、具体的な件数については開示を差し控えるとしてコメントを避けた。 |
| 62 | 運送 | 不正アクセス | 6月4日9時ごろ、パソコンをサーバに接続できない状態になっていることを出社した親会社の従業員が確認した。
同サーバがランサムウェアに感染していることが判明し、ネットワークから隔離。外部事業者による調査を実施するとともに、警察へ被害を申告、個人情報保護委員会へ報告した。 外部事業者による調査では、6月2日22時ごろにグループ会社のネットワークへの不正アクセスが行われ、同月4日2時ごろよりランサムウェアによってサーバ内のデータを暗号化された。 |
| 63 | 大学 | 誤送信 | オープンキャンパスの申込者宛に送信した連絡メールで、メールアドレスが流出したことを明らかにした。
大学によれば、8月3日12時過ぎに経営情報学部のオープンキャンパスへ申し込んだ242人に確認するメールを一斉送信した際、誤送信が発生したもの。宛先となったメールアドレスが受信者間に流出した。 |
| 64 | 市 | 誤送信 | 新型コロナウイルスに感染した児童の報告書を、関係ない複数の保護者へメールで送信するミスがあった。
市によれば、7月22日16時半ごろ、新型コロナウイルスに感染した児童1人の報告内容整理票を、本来ならば教育委員会へメールで送信すべきところ、誤って6年生の保護者97人に送信するミスがあったという。 誤送信したメールには、児童の氏名、年齢、性別、学年、家族構成、PCR検査日、検査結果、症状などが含まれていた。 |
| 65 | ECサイト | 不正アクセス | サイトに対してシステムの脆弱性を突く不正アクセスがあり、決済アプリケーションを改ざんされた。
2021年3月8日から同年10月19日にかけて、同サイトでクレジットカード決済を利用した顧客3909人に関するクレジットカードの名義、番号、有効期限、セキュリティコードが流出し、不正に利用された可能性があることが判明した。 6月3日にクレジットカード会社から情報流出の可能性について指摘があり、問題が発覚。同月6日にオンラインショップでのクレジットカード決済を停止し、外部事業者による調査を実施していた。 |
| 66 | 市 | 誤送信 | 建設工事事業者に送信した研修会への参加募集メールにおいて送信ミスがあり、メールアドレスが流出した。
同市によれば、8月1日18時過ぎに同月3日に開催する電子マニフェストの操作研修会の参加者を募集するメールを建設工事業者などに向けて送信。 284件に対して3回にわけて送信したが、いずれも送信先を誤ってメールの宛先に指定したため、同一グループ内の受信者間にメールアドレスが流出した。 |
| 67 | 府 | 誤送信 | 学校説明会の参加申込者に送信した申し込みの受理を通知するメールで誤送信が発生し、メールアドレスが流出した。
府によれば、7月22日、教員が説明会申込者8人にメール送信した際、送信先を誤って宛先に入力したため、受信者間でメールアドレスが閲覧できる状態になった。 |
| 68 | 府 | 誤送信 | 実施した生徒や保護者を対象とするウェブアンケートで個人情報が流出した。
府によれば、校務処理システムで必要となるデータを収集するため、府内の高校で6月から7月にかけてウェブフォームを使用し、生徒と保護者を対象にアンケート調査を実施したが、設定ミスがあり、回答結果の一覧を閲覧できる状態となっていた。 回答後の画面に表示されるリンクより回答の一覧にアクセスすることが可能で、7月20日に保護者から指摘があり問題が発覚した。 指摘を受けて同日、閲覧できないように設定を変更したが、すでに1年生240人が回答済みで、氏名、住所、電話番号、携帯電話番号、保護者の氏名、住所、続柄、緊急連絡先などが入力されていた。 |
| 69 | ECサイト | 不正アクセス | システムに対する不正アクセスがあり、ペイメントアプリケーションを改ざんされ、情報が外部に流出した。
3月16日に保守を担当するシステム会社から、システムファイルの改ざんが行われている可能性があるとの連絡を受け、問題が判明した。 2021年5月10日から2022年3月18日にかけて、同サイトでクレジットカード決済を利用した顧客731人が対象で、購入時に入力されたクレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。 |
| 70 | 市 | 誤送信 | オープンスクールへ参加を希望する保護者に対し、8月1日午後にお知らせメールを送信したところ、誤送信が発生した。保護者73人を3グループにわけて送信したが、1グループ20人について送信先を誤って宛先に設定。グループ内でメールアドレスが閲覧できる状態となった。 |
| 71 | ECサイト | 不正アクセス | 不正アクセスを受け、顧客のクレジットカード情報が外部に流出し、不正に利用された可能性がある。
サイトを運営するベクトルによれば、同サイトの脆弱性を突く不正アクセスにより決済アプリケーションを改ざんされ、顧客のクレジットカード情報が流出し、不正に利用された可能性があることが判明した。 2021年12月7日に警察からサイトより外部に情報が送信されている可能性があるとの連絡を受け、社内調査を行ったところ不正プログラムを発見して削除。12月29日にクレジットカードによる決済を停止した。 今回の不正アクセスの影響で、2020年4月27日から2021年12月22日にかけて同サイトでクレジットカード決済を利用した顧客1万8136人において、クレジットカードの名義、番号、有効期限、セキュリティコード、ログインID、パスワードを窃取された可能性がある。 |
| 72 | 情報通信 | 不正アクセス | パソコン3台がマルウェア「Emotet」に感染し、従業員を装ったなりすましメールが送信された。
同社によれば、7月4日に従業員を詐称したメールの添付ファイルを開いたことで、パソコン3台がマルウェア「Emotet」に感染したもの。その後、なりすましメールが送信されていることを確認した。 同日、社内の全端末において「EmoCheck」によるマルウェアチェックを行い、感染端末からプロキシ経由で外部へアクセスされたログを確認。感染端末より最大で409件の氏名とメールアドレスが流出した可能性があることが判明した。 |
| 73 | 市 | 誤交付 | 下水道事業の受益者負担金に関する公文書の開示請求を受け、5月19日に開示文書を保存したCD-Rを開示請求者へ送付したところ、6月3日に開示請求者から、墨塗りとなった不開示情報が識別できるとの連絡があり、問題が判明した。
問題の墨塗り部分には、個人129人に関する氏名、住所、賦課した地番など、85の法人については賦課した地番、地積、負担金額などが含まれる。 |
| 74 | 観光 | 不正アクセス | 無人チェックインシステムの管理端末において、7月14日深夜にデータを消去される被害が発生した。
システムの提供会社に確認したところ、端末にサイバー攻撃を受けた痕跡があり、マルウェアに感染したとする報告を翌15日に受けた。 端末内部には、2019年12月24日以降に顧客が同店へチェックインした際に入力した最大3万4425人分の宿泊名簿が保存されていた。氏名、住所、電話番号、年齢、国籍、メールアドレス、職業、会社名、パスポート番号、同室者の氏名、署名データ、パスポートスキャンデータなど含まれる。 |
| 75 | 都 | 誤送信 | 競技団体に対して設備点検の日程調整に関するメールを送信する際、関係ない第三者へ誤送信するミスが発生した。
担当職員が利用する私用のフリーメールアドレスへBCCにより同報しようとしたところ、メールアドレスの入力を誤り、関係ない第三者に誤送信した。 競技団体などのメールアドレス9件を宛先やCCに入力していたため、第三者にこれらメールアドレスが流出。 |
| 76 | 市 | 誤送信 | 認知症高齢者の発見、保護にあたる協力者のメールアドレス1件を誤った内容で登録していることが判明した。
8月1日以降、誤った宛先にメールを送信しており、氏名、性別、年齢、服装、本人写真など、高齢者の個人情報4件が部外者に送信していることが明らかとなった。 |
| 77 | 市 | 不正アクセス | 保健所職員が個人端末に業務情報を保存しており、データを同期していたクラウドサービスのアカウントが第三者に乗っ取られた。
同市によれば、保健所職員が許可なく個人の端末で保健所の業務資料、職員名簿、関係団体などを撮影し、保持していた。 端末内部のデータは、職員が個人で契約するクラウドサービスと自動で同期されていたが、同職員がフィッシング詐欺の被害に遭い、同サービスのアカウントを乗っ取られ、情報が流出した。 4月22日に職員が乗っ取り被害に気づき、4月25日に同市へ報告した。業務資料には、個人情報495件や法人情報2件が記載されいた。個人の氏名、住所、電話番号、生年月日のほか、保健所にて扱う情報が含まれるが、二次被害の防止を理由に具体的な内容は明らかにしていない。 |
| 78 | 保険 | サイバー攻撃 | サーバ7台において内部のデータが暗号化されていることが判明したもの。同日現地法人より同社に報告があった。
現地法人ではネットワークを遮断し、システムを停止。8月23日の時点で顧客情報の流出や機密情報の外部流出は確認されていないが、セキュリティ事業を手がける同社グループ会社や現地専門家の協力のもと、被害の範囲や流出の有無など調査を進めている。 |
| 79 | 県 | 紛失 | 8月23日9時ごろ、担当者が所定の保管場所に書類を綴ったファイルがないことに気づいた。
紛失した書類には、農業従事者49人分の氏名、経営農地面積、経営の意向などが記載されているという。8月5日前後に職員が所在を確認しているが、持ち出しや廃棄などは確認されておらず、以降の所在がわからない。 |
| 80 | 大学 | 紛失 | 医学部学務課において法人文書ファイル管理簿の更新作業を実施する過程で、一部の法人文書ファイルを紛失していることが判明した。
所在がわからなくなっているのは、大学院教育課程編成の1991年度から2011年度および2013年度のファイルで推定22冊分におよぶという。これらのファイルには、対象年度に大学院医学系研究科に在籍していた大学院生の氏名、学生番号および教員の氏名など695人分の個人情報が含まれると見られる。 |
外部の攻撃、またはヒューマンエラーによる情報の漏えい、流出に関しては、本稿やこれまでのトピックスで言及してきた通りです。代表的なものを参考欄に載せておきますので、見返していただくと幸いです。
情報の漏えい、流出の原因は、決して外部の不正な攻撃やヒューマンエラーに限定されません。まず、考えられるのが、従業員による持ち出しです。データの持ち出しが、時折、騒がれるように感じますが、同データが営業の秘密(不正競争防止法2条6項)に該当する場合には、使用・開示の停止や削除等の差止請求(不正競争防止法3条)や損害賠償請求(不正競争防止法4条)が可能となります。なお、窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為(不正競争防止法2条1項4号)における損害額の推定(不正競争防止法5条1項)について、技術上の秘密に限定されている等、検討課題があります。昨今、AIを活用したデータ等も技術上の秘密に該当しないデータも価値の高いものがあり、今後の議論の進展が期待されるところです。また、営業の秘密(秘密管理性、有用性、非公知性の要件を満たすもの)として法的保護を受けるための措置を示したものとして、経済産業省の「営業秘密管理指針」があり、営業の漏えい防止等の対策を示したものとして「秘密情報の保護ハンドブック~企業価値の向上に向けて」があり、それぞれ参考となります。
次に、営業の秘密と同様に話題にあがるのが知的財産、ノウハウ等です。特にノウハウや知的財産権を武器に他社との差別化をはかり、競争上優位に立とうとする事業者も多く存在すると思います。また、イノベーションのオープン化、技術の高度化・複雑化により、自社のみで製品開発することが難しくなっており、複数企業の連携(革新的技術を生むスタートアップや中堅・中小企業と大企業との連携・M&Aなど)が前提となっています。他方で、公正取引委員会の公表する「製造業者のノウハウ・知的財産権を対象とした優越的地位の濫用行為等に関する実態調査報告書」における、優越的地位(取引の相手方との関係で相対的に優越した地位)にある取引先から、ノウハウや知的財産権に関して「納得できない」取引条件を設定されたり、取引条件に含まれていなかったものを無償で提供させられたりした事例の報告において、726件報告されています。その内訳は、①ノウハウや知的財産権に関する取引条件の内容自体を問題視するものは449件(61.8%)、②取引条件に無いものを無償で提供させられたというものは、227件(38.2%)となっています。②は濫用行為としてありがちですが、①は契約内容として構成され、債務の履行をしているため優越的地位の濫用という認識を持ちづらい側面があります。改めて、交渉過程において知的財産・ノウハウの譲渡を含む場合には適切な対価が設定されているのかを検討しておく必要があります。文字通り、“優越的地位”を前提として、契約条件を渋々呑まされることのないよう注意したいものです。
【参考】
- クレジットカード情報の漏洩対応について~ECサイトを中心に~
- Emotetへの対応について
- ランサムウェアによる被害と対応
- 産業構造審議会 知的財産分科会 不正競争防止小委員会 デジタル社会における不正競争防止法の将来課題に関する中間整理報告
- 経済産業省 営業秘密管理指針
- 経済産業省 秘密情報の保護ハンドブック~企業価値の向上に向けて
- 公正取引委員会 製造業者のノウハウ・知的財産権を対象とした優越的地位の濫用行為等に関する実態調査報告書
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
セミナー・研修系サービスの紹介
SPリスク・ラーニング
新型コロナウイルスの影響を契機として、多くの企業でWeb研修が広く一般的になりました。こういった状況を受け、「コンプライアンス」「情報管理」「ハラスメント防止」「コミュニケーション」「適切な指導」をテーマとし、社員に必須の危機管理に関する知識を詰め込んだ5種類の研修用動画を提供しています。
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
