GDPRの動向と最近の事情（１）(2018.9)

2018/09/19 / 総合研究部　上級研究員／部長補佐　佐藤　栄俊 プリント

１．GDPRの動向と最近の事情

　欧州連合（EU）を含む欧州経済地域（EEA）でGDPR（General Data Protection Regulation：一般データ保護規則）が施行され、約4ヶ月が経ちました。

　各企業の取り組みとしては、施行されてから未だに様子見の印象がありますが、そろそろ本腰を入れて対策を検討する必要があるのではないでしょうか。GDPRでは、その対応において具体的かつ詳細な要求項目を定めているわけではなく、あくまで個人データやプライバシーの保護に関する"基本的"な取り組みを求めているに過ぎないと言いつつも、ただ、この点が日本企業におけるGDPR対応の難しさになっているようです。

　また、GDPRの条文は長大で複雑ということもあって、すべてを咀嚼して対策に落とすことは容易ではありません。まずは、GDPRの施行に至った背景を復習しながら、まずは"考え方"を押さえておくことが、これから本格的な取組みを進める企業にとっても、対策を見直すという企業にとっても、決して遠回りではないはずです。

　今回からの「情報セキュリティトピックス」では、最近の事情なども踏まえて、GDPRのあらましや対策について数回にわたり整理していきたいと思います。

【参考資料】

1.GDPRの経緯

　GDPRは、EU（欧州連合）が2018年5月に発効した個人情報保護に関する規則です。GDPRの特徴は欧州で伝統的に築かれてきた文化とも言える「人権」意識を重視している点にあります。個人に関する情報やプライバシーを保護するための「規制」という点では、日本にも個人情報保護法がありますが、GDPRは「人権」という基本的な権利を守ることを強く意識したものであり、「規制」に対する感覚が大きく異なる点に注意が必要です。

　というのも、欧州の長い歴史では、時の権力者が市民の生命や権利を脅かし、これに対抗する運動が繰り返されてきたことから、「人権」に対する意識は"文化"とも言えるものだとされています。

　20世紀前半、ドイツやイタリアなど欧州の全体主義的体制による国家権力が市民の私的領域に無制限に踏み込んだ歴史があります。国家社会主義ドイツ労働者党政権が1939年に実施した「国勢調査」では国民の宗教と民族的出自に関するデータが収集され、ホロコーストの基礎データとなったとされています。

　これを教訓に、戦後の欧州では権力によるプライバシーへの侵害をチェックして抑制しなければならないというプライバシー権の基本思想が確立されました。このような基本思想が1950年に欧州人権条約として規範化されたのです。

　欧州人権条約の8条は「何人も私的生活、家族生活、住居及び通信を尊重される権利があり、国家は原則としてこのようなプライバシー権の行使を妨げてはならない」と規定しています。

　同条約はEU全加盟国のほか、旧ユーゴスラビア諸国やロシア、ウクライナ、トルコを含む47カ国で批准され、同条約に基づく欧州人権裁判所の判決は締約国に対して拘束力があります。

　EUの最高司法機関である欧州司法裁判所（CJEU）も法令審査において同条約を参照しています。したがってEU加盟国の政府は同条約に違背する法律を制定したり、政策を実施したりすることはできません。また、リスボン条約により、欧州人権条約の基本思想を引き継ぐ2000年の欧州連合基本権憲章がEU基本条約と同等の地位を持つ最高法規とされました。

　これにより、欧州人権条約第8条のプライバシー権に関する規定は最新のGDPRに至るまで、EUとEU加盟国における個人データ保護に関するすべての根幹であり続けているのです。

　GDPRは昨今のデジタル社会においても個人の権利が侵害されないよう、これまで国ごとにまちまちだった人権保護のためのルールを欧州全体のものと共通化し、権利の侵害につながる行為に対して厳しく対応する姿勢を示したものとも言えます。

　インターネット上に書き込まれた情報の削除を要請する権利、いわゆる"忘れられる権利"を立法化する動きはフランスが発信地であり、人権尊重、個人情報の保護に関しては、ヨーロッパは先進地です。個人情報保護の分野では、インターネットが身近なメディアになる前の1995年には、「EUデータ保護指令」が発令されています。

　1995年以降の20年あまりで、メディアという視点では、世界は大きく変化しました。オンラインショッピングやWeb予約サービス、ネットバンキングなど、誰しもが情報の発信者になれるSNSがすっかり浸透し、企業や団体が個人情報を扱う機会は激増しています。

　もう一つの側面は、個人情報のビジネス利用の拡大です。サイトに会員登録してある居住地や年齢などの属性、Webの閲覧履歴といったデータをもとに、企業が適切な広告を出したり、マーケティングに活かしたりといった活動をすることは当たり前になりました。しかし、こうした形で自分の情報がいつ・どこで・誰に・利用されていることに気づいていない、もしくは認識していない人がほとんどです。

　このような環境の変化のなかで、「EUデータ保護指令」に代わる新しい法体系の必要性が欧州で認識されるようになりました。また、「EUデータ保護指令」は加盟各国が独自の法制度を敷いたため、国によって個人情報の扱い方のルールが異なるという課題も生じていました。そこでEU全体の統一的な規則として整備されたのがGDPRなのです。

　このようにGDPRに対応する本質的な意義は、あらゆるステークスホルダーを通じて「人権」を保護することであり、単に規制当局の要求事項を順守すれば良いといったものではなく、その目的は、EEAの個人に関するデータやプライバシーの保護になります。

　折しもGDPRの施行直前に、米Facebookにおける利用者情報の不適切な利用が大きな問題として取り上げられ、インターネット企業を中心とするビジネスでの安易な個人ビッグデータ利用に批判が集まりましたが、欧州ではこれを権利侵害として、より厳しく捉える向きにあります。確かに、米Facebookの大量の個人情報が不正に流用された問題は、データを預けるリスクを利用者に改めて知らしめた問題です。この一件は単なるデータ流出ということだけではなく、膨大なデータを売って稼ぐビジネスモデルの安全性と透明性が問題視されており、例えば政治目的を伏せながら利用者を情報操作する目的で広告宣伝し、知らぬ間に意思決定に影響されるようなことがあってはなりません。これは日本でも同様であり、ネット各社も利用者の同意を得た上で、趣味や購買履歴などのデータを第三者に提供することもあると利用規約に明記しているものの、ネット利用者の大部分はそれを知りません。事業者による、預けた情報の倫理的で透明な利用については、その不安を払しょくする「保護」の要請を十分に満たすことが個人データを有効活用するうえでの大前提となることが問われているということなのです。

2.個人データとは？

　GDPRでいうところの「個人データ(personal data)」は何を指すのでしょうか。本人を特定できる氏名や自宅住所等の個人データが保護の対象であることは容易に想像つきますが、GDPRではさらに広範な個人データが保護の対象となります。GDPR第4条で個人データは「識別された、または識別され得る自然人に関する、あらゆる情報」と定義されています。ここで「識別され得る自然人」とは、当該自然人の氏名、識別番号、所在地データ、オンライン識別子又は身体的・生理的・遺伝子的・精神的・経済的・文化的・社会的固有性などの中から、いずれかによって、直接又は間接的に識別される個人のことを言います。もう少しかみ砕くと、様々なデータの組み合わせで個人が最終的に特定できるのであれば、すべて個人データとみなされるという、とても広範な定義がなされているのです。

　例として以下の要素が挙げられます。例えば、位置情報やIPアドレス、Cookieなどは、何らかの方法で氏名などと照合しない限り個人の特定はできませんが、個人と結びつく可能性があるデータは個人情報に含まれます。GDPRが制定された背景として、"個人情報のビジネス利用の拡大"に触れましたが、位置情報やWebの閲覧記録、カードの決済履歴などのデータが、広告などに使われることについて、GDPRにはこのような情報をコントロールする権利を、市民の側に取り戻すという狙いがあります。また、GDPRではIPアドレスやcookieといった情報が「オンライン識別子」と定義されているなど、個人データの概念という点では個人情報保護法よりも対象と"なり得る"範囲が広く、「どの情報がGDPRの対象になるのか分からない」ことが対応する際の困難な理由の一つであり、今後の情勢やGDPRの運用状況によって移り変わることが前提に、継続的に注視する必要があります。

【個人データの種類】

　・ 個人の属性
　　住所、氏名、生年月日、性別

　・ 個人の特定に結びつくデータ
　　マイナンバー、クレジットカード番号、パスポート情報、電話番号、従業員番号、各種サービスID、位置情報、
　　IPアドレス、Cookie（Webサイトでユーザー識別などに使うデータ）、
　　身体的、遺伝的、経済的、文化的などの要素に関して固有性を持つ情報、など。

【保護対象となる範囲】

　・ 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合

　・ 日本企業から EEA内に出向した従業員の情報（元は日本から EEA内に移転した情報）

　・ 日本から EEA 内に個人データを送付する場合（基準に沿って EEA内において処理されなければならない）

　・ 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

3.GDPRの骨子

　GDPRの骨子をおおまかに示すと、"EUが定めた個人情報の「移転」と「処理」に関する取り決め"です。対象地域は、EU加盟店28カ国にノルウェー、リヒテンシュタイン、アイスランドを加えた「EEA：欧州経済領域」です。

　「移転」とは、EEA域内で取得した個人情報を外に持ち出すことで、原則的に禁止されています。例えば、域内にある支社が業務で得た市民の個人情報を、日本の本社に送ることも「移転」と見なされます。

　「移転」基本的な考え方として、「EEA内の個人データをEEA外になんらかの形式で移動する」といったものであると解されます。

【個人データの移転（例）】

　・ EEA内から個人データを含んだ電子形式の文書を電子メールで EEA 外に送付する

　・ EEA内の子会社から従業員個人データをEEA外の親会社に移転する

　・ EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する

　「処理」は、メールアドレスの収集、顧客データベースの作成、個人の属性に応じたグループ化、購買履歴の参照など、いわゆる「データ処理」から連想されるさまざまな局面が含まれます。

　企業や団体が個人情報を扱う際は、"個人情報の収集や処理には個人の同意が必要""個人情報の取得目的が明白になっている""要請に応じて削除できる"などの要件が定められています。

　GDPR施行時に早速Facebook（Instagram、WhatsApp含む3件）とGoogle（Android）4社が、プライバシー保護団体から提訴されましたが、これは各社の個人情報の扱いに関するもので、"個人情報の収集や処理には個人の同意が必要"という取り決めに対する4社の解釈に問題があるとしたものです。

※ いわゆるGAFA（Google、Amazon、Facebook、Apple）などサービスが普及し、プラットフォーム化が進むことにより、個人は無償のサービスの便益の代償として自らのデータを差し出す形になりました。欧州のGDPR（一般データ保護規則）が生まれてきた背景には、このような個人データの収集への警戒から「データの主権を個人に取り戻す」という理念があります。GDPRが米国に独占を許している事態を打開するために取られた措置であることは否めません。いわば米国の情報独占から欧州市場を守るための障壁という部分も多分にあると言えるでしょう。

　GDPRでの処理（Processing）の定義とは以下のようになっています。

　「処理とは、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することをいう。」（GDPR　第4条（2））

　個人情報保護のプロセスでよく定義される、取得、利用、提供、保管などに加え、参照、構造化、整列、結合といった内容まで含まれており、幅広い事項で定義されています。様々なケースが考えられますが、シンプルに「移転以外の個人データに係る何らかの処理」というようなイメージすると良いかと思われます。

【個人データの処理（例）】

　・クレジットカード情報の保存

　・メールアドレスの収集

　・顧客の連絡先詳細の変更

　・顧客の名前の開示

　・上長の従業員業務評価の閲覧

　・データ主体のオンライン識別子の削除

　・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

4.GDPRと日本企業の接点

　GDPRの対象は、EEA域内に居住する市民の個人情報を扱う企業や団体です。事業者の規模は問いません。具体的には、以下のような形態が含まれます。

　・ EEA域内で活動する企業、団体

　・ EEA域内の市民に商品、サービスを提供している企業、団体

　・ EEA域内の企業、団体と業務上の接点を持ち、個人情報を扱う事業者

　域内に拠点はなくとも、商品やサービスを提供する企業や、域内の会社と業務上の接点があり、個人情報を扱う事業者は対象です。この条件には、多くの日本企業が含まれるのではないでしょうか。

　例えば、オンラインショッピングやオンラインゲームなどで、個人情報を取得する企業、EEAからの旅行者を受け入れるため個人情報を入手する宿泊施設なども、"個人情報の取得目的が明白になっている"など、前述したような要件が適用されることになります。

　EEA市民の個人情報は、社内利用であっても原則的に「移転」は認められませんが、"EEA域内と同等の情報保護体制が整っている"と認定を受けた地域は、従来通り移転が可能です。

　この認定を「十分性認定」と言い、9月5日、欧州委員会は、EU域内の個人データの域外持ち出しを例外的に認める移転先として日本を承認する手続きに入ったとしており、年末までに正式に承認される見通しです。

　「十分性認定」を受けているのは、スイスやイスラエル、ニュージーランドなど11の国と地域（2018年6月現在）で、認定がない地域へ個人情報を移転するルールとして、以下が定められています。

　・ SCC（Standard Contractual Clauses）

　個人情報を移転する組織間で、案件単位で契約を結ぶ。適用する組織は、契約の履行に則した情報保護の体制が整備されていることが前提。

　・ BCR（Binding Corporate Rules）

　企業グループなどの単位で移転する際の契約形態。定められた規則に沿った契約内容を文書化し、EEAが認定したデータ保護機関（後述）から承認を得た上で移転が可能。

　※ 十分性認定が合意後も留意が必要

　日本とEUの間で移転に関する合意が形成されれば、日本企業の負担は大幅に減るはずです。ただ、認定が下りたとしてもSSCとBCRが完全に必要なくなるというわけではありません。例えば、SSCの契約を交わしている場合、日本とEEA以外の国の企業が含まれているとしたら、従来の方法を踏襲すべきでしょう。認定は日本とEUの間ですから、それ以外の地域が入れば、SSCに則ったデータの移転が必要になるからです。もっとも、「十分性認定」を日本が受けたとしても、手続が一部免除されるだけで、GDPRが適用されるかどうかとは別問題となります。

　十分性認定は、所定の契約書を作成したりすることから開放されるだけで、GDPR対応している企業の負担が一部軽減されるだけであり、GDPRの適用を受けなくなるというのは大きな誤解です。

5.国内で留意すべきポイント

　企業が取り組むことは、まず自社の情報管理の実態把握です。どのような場合に、どのような個人情報を集めているのかを整理し、以下のような要素をまずは明確にする必要があります。

　-個人情報を、どのような場合に、何のために収集するのか
　-個人情報の保存場所と期間
　-個人情報の削除要請に対する基準や方法
　-個人情報を共有する事業者

　また、EU域外にある日本企業のGDPRへの対応としては、まずは「日本の個人情報保護法を守る」ことが重要です。2017年に改正された日本の個人情報保護法では、GDPRの内容が多分に加味されており、まずは、国内法の定める個人情報保護体制を確立することがGDPR準拠の第一歩となります。

　その上で、企業はGDPR対応を進めるために、どのような個人データの取り扱いがあるかを可視化し、整理することが大事です。そして、組織の整備や業務プロセスの把握、対象データの確認、システム（セキュリティ対策）、グローバル拠点での対応などを包括的に進めていく必要があります。GDPR対応の基盤となるものは、言うまでもなく個人情報管理と情報セキュリティ対策の強化です。基礎的な安全対策が疎かになっては、プライバシーポリシーの改定や事故時の連絡体制の強化を図ったとしても、意味をなしません。

　まずは、もう一度、どこにどれだけ個人情報を保有しているのか個人情報の棚卸を行い、現状を把握することから始めてはいかがでしょうか。他部門・他拠点を含め棚卸をすることによって、これまで把握していなかった情報や管理実態が把握できることもあります。

　特に、グローバルにビジネスを展開する企業は、現地と日本本社との間で課題認識を共有し、GDPRをはじめとする各国の個人情報保護規制への対応を進めていくことが求められます。

※その他、留意事項

① データ保護責任者（DPO）の設置

　一定の要件を満たす企業・団体は、個人情報保護に関する専門知識を有する「データ保護責任者（DPO：Data Protection Officer）」を置く必要があります。要件の一例として、データ処理が公的機関、または団体によって行われる場合、データ処理を行う事業者の業務が、大規模、定期的かつ系統的な監視を必要とする場合などとされています。

　要件に当てはまらない場合は、設置は必須ではありませんが、大規模、定期的、系統的に個人情報の処理や移転を行うケースは含まれますから、多くの企業・団体が該当するはずです。

② GDPRを管轄する「当局」

　GDPRを管轄する組織は「データ保護機関（DPA：Data Protection Authority）」です。DPAは個人情報を扱う企業などの組織（情報管理者）や、情報管理者からデータの管理や処理を受託する組織（情報処理者）が、適切にデータを扱っているか否かを定期的に監視します。

　DPAはEU加盟国に設置されています。日本を含むDPAが設置されていない国や地域の組織が、EU市民の個人情報を扱う場合、取り扱う個人情報がもっとも多い国のDPAが窓口になって、データを移転する際の契約内容の確認やインシデント時の対応などに当たります。

③ 制裁金

　GDPRに違反した場合の制裁金は、以下が定められています。どちらが適用されるかは、義務違反の形によって異なり、DPAが判断するとしています。

　　・1,000万ユーロ（約13億円）、または企業の全世界での前年度の総売上の2％の高い額
　　・2,000万ユーロ（約26億円）、または企業の全世界での前年度の総売上の4％の高い額

　GDPRの認知度が上がった理由として、"26億円か総売上の4％"という巨額の制裁金が要因の一つになったことは否めません。

　ただ、違反が認められた場合、いきなり制裁金を求める訴状が届くことはなく、警告、懲戒などのプロセスを経るとされています。いずれにしても、制裁金は大企業であっとしても経営に深刻なダメージを与える額ですから、最悪の事態として認識しておく必要があります。

6.事故時の対応

　GDPRでは、個人情報の漏えいなどが発生した場合、72時間以内にデータ保護機関に通知することが義務付けられています。同時に個人情報を保有しているすべての人に、遅滞なく通知しなければなりません。GDPRに関わらず国内の情報漏えい事案でもそうですが、過去の情報漏えいの事例では被害を受けていること、または加害の立場となってしまっていることに自ら自発的には気が付かないこと（消費者や特定団体等の第三者からの通報で発覚）も多くあります。また、被害の全貌を把握してから公表するという手順を踏むことが多く、従来のやり方では「3日以内の報告」は難しいと言わざるを得ません。情報漏えいは、外部からの指摘で判明することも多いため、社内のチェック体制の点検や、インシデントの発生時に円滑に関係機関に報告を行う体制作りが求められます。

　直近では、以下の事案について、GDPR違反の可能性が指摘されています。

　日本のホテルが外国語Webサイトの運営を委託している「ファストブッキングジャパン株式会社」の親会社であるフランス法人「ファストブッキング社」のサーバに対して不正アクセスがあり、欧州からの宿泊者の氏名や住所、クレジットカード情報などの個人情報が流出したものです。

　GDPRの条文第8章第83条「制裁金を科すための一般的要件」によれば、制裁金を科すか否か、制裁金の額を判断する場合には、損害の程度のほかに、その違反に対して管理者または処理者がどのような対策をとったかを重視するとあります。違反の通知の有無や、どの範囲で通知したのか、過去に関連する違反がなかったか、あった場合はそれに対する対応がされているかなど、その管理者または処理者の取り組みの姿勢が審査されるということです。

　ファストブッキングの事案は、EU域内に拠点がある処理者にWebサイトの運営を委託している会社にとってはまさに参考にすべき重要なケースと言えるでしょう。ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けになります。

　例えば、IT部門が外部業者に自社収集の個人情報の処理を委託している場合だけでなく、購買部門が扱う業務委託契約全般で「個人情報を収集させていないか」、「収集させている場合、セキュリティ対策は大丈夫か」というチェックを、サプライヤー選定時の必須確認項目として考える必要があります。本件がもし制裁金には発展しなかったとしても、それをもって安心材料とするのは早計です。同じような情報漏えいや個人情報の流出などが発生した場合に、管理者としてGDPRに則した適切な対策をとっていないと見なされれば、制裁金が発生する可能性もあります。

２．最近のトピックス

◆トレンドマイクロ「ビジネスメール詐欺に関する実態調査 2018」

　8月14日、トレンドマイクロ社は「ビジネスメール詐欺に関する実態調査 2018」を公開しました。これは、企業などの組織で情報セキュリティやIT、経理などに関する意思決定に携わる1,030人を対象に、2018年6月に行われた調査の結果です。回答者の39.4％にあたる406人が、ビジネスメール詐欺のメールを受信した経験があり、実際にビジネスメール詐欺のメールを受信した人のうち62.3％(253人)が、「送金依頼」のメールを受信したと回答。そして、「送金依頼」のメールを受信した253人のうち、8.7％にあたる22人は指定口座に入金したことがわかりました。

　また、組織の幹部や従業員に関する個人情報などの「情報の送付依頼」のメールを受信したのは51.5％(209人)にのぼりました。トレンドマイクロ社は、ビジネスメール詐欺の被害を未然に防ぐには、セキュリティ対策製品の導入に加え、社員に対して攻撃手法に関する注意喚起や教育を行うことも重要な対策になると指摘しています。

　特定の企業を狙ったケースでは、あらかじめ企業内に潜入して飛び交うメールの内容を把握し、実際に送信されたメールの内容を数時間後に再利用するフィッシングメールも存在します。これを悪意ある者の仕業だと判断することは、極めて困難だといえますが、詐欺の手口や狙いを知り、勤務先に金銭被害をもたらさないよう慎重に行動する必要があります。日々受信するメールから騙される可能性があるということを客観的に理解し、社内での情報共有体制を整え、不審なメールや犯罪の手口等の情報を集約し会社全体での脅威への認識を高める必要があります。

◆情報処理推進機構「【注意喚起】偽口座への送金を促す"ビジネスメール詐欺"の手口（続報）」

　8月27日、独立行政法人 情報処理推進機構(IPA)は、「偽口座への送金を促す"ビジネスメール詐欺"の手口（続報）」という注意喚起を公開しました。2018年7月には日本語のメールによる攻撃事例が確認され、IPAへの情報提供は2015年11月から2018年7月の約2年半で計17件、うち5件で金銭的被害が確認されています。IPAに情報提供があった日本語のメールは、本物のCEOの名前とメールアドレスを詐称し、偽の弁護士をメール本文に登場させ「機密扱いでお願いしたい」「国際送金の必要がある」という内容でした。IPAは、英語のメールのやりとりの習慣がない国内企業も、今後、被害に遭う可能性が高まると指摘しています。

　実際、業務にWebメールを利用している企業への攻撃では、経営幹部や人事担当者をかたって業務メールのシステムに再ログインを促すフィッシングメールを送りつけ、受信者を偽のログインページへ誘導する手口が確認されています。もし、誘導先ページでアカウント情報を入力してしまうと、メールアカウントを乗っ取られてしまう可能性があります。また、メールアカウントの乗っ取りでは、受信者にメールの添付ファイルを開かせることでキーロガーと呼ばれるウィルスに感染させ、IDとパスワードを割り出す手口も確認されています。BECに引っかからないよう、以下のポイントを確認しておきましょう 。

・ 送金がらみのメールは詐欺を疑う

　経営幹部や取引先の担当者などから緊急の送金や振込口座の変更、メールアカウント情報の確認を求めるメールを受け取ったら、その正当性を慎重に判断してください。メールに記載されている電話番号ではなく、いつも使用している電話番号に連絡するか直接本人に会って話すなど、メール以外の手段で事実確認してください。

・ 勤務先が定めるルールに従って行動する

　経営幹部や取引先などから高額の送金や振込口座の変更をメールで依頼されたら、社内の承認プロセスを経るなど、必ず社内ルールに定められた手順に従って処理してください。

・ メールのURLリンクや添付ファイルを不用意に開かない

　たとえ、経営幹部や取引先から届いたメールでも、無条件にURLリンクや添付ファイルを開いてはいけません。Webメールのサイトに見せかけたフィッシングサイトに誘導されたり、ウィルスに感染させられたりしてメールのアカウント情報を盗み取られる可能性があるためです。

◆フィッシング対策協議会「2018/07 フィッシング報告状況」

　8月1日、フィッシング対策協議会は、2018年7月の月次報告書を公開しました。

　フィッシング報告件数は1,977件で、前月(2,009件)より32件減少、フィッシングサイトのURL件数は996件で、こちらは前月より160件増加しました。そして、フィッシングに悪用されたブランド件数は41件で、こちらも前月から7件増加しています。7月中旬にかけてAppleやAmazonをかたるフィッシングメールが何度も大量配信されており、7月後半は、短縮URLを用いて本文内に記されたURLをメールごとに変える手口も多く確認されています。

　メールの件名は【重要：必ずお読みください】というもので、「MUFGカードWEBサービス」に対し第三者によるアクセスが確認されたため、暫定的にIDを変更したという内容です。そして、任意のIDに変更するために「MUFGカードWEBサービス」にログインするよう促そうというものです。フィッシングサイトでは、カード番号や有効期限、セキュリティコードの入力を促され、これらの情報を犯罪者にだまし取られる可能性があります。

　「セゾンNetアンサー」は、パソコンやスマホなどから会員が利用明細の確認やポイント交換などを行えるサービスです。フィッシングメールは「【重要：必ずお読みください】」という件名で、第三者によるアクセスが確認されたとして、アカウントを暫定的に変更したという内です。そして、任意のIDに変更手続きを行うため、本文に記載されたURLをクリックし、ID、パスワードを変更するよう促しています。

　メールの件名は、「あなたのアカウントはブロックされています [日付]」「[受信者の氏名] Amazonのアカウントが盗まれました。 変更してください [日付時刻]」「[受信者の氏名] Amazonアカウントの有効期限が切れました。 変更してください [日付時刻]」などで、個人情報が無効、または古いという理由で一時的にアクセスを無効にしているという内容です。

　上記のように、フィッシングサイトでは、クレジットカード番号や有効期限、生年月日やセキュリティコードといった情報の入力欄があり、これらの情報が盗み取られる可能性があります。

　利用者がフィッシングの被害を未然に防ぐためには、個人情報の入力を求めるメールは疑ってかかるなど、メールの取扱いに注意するとともに、アクセスしたサイトが本物かどうか「アドレスバー」のドメイン名を確認するなど、Webサイトを目視確認することを習慣づける必要があります。

　また、パソコンのOSやアプリケーションなどのソフトウェア、ブラウザーのプラグインなどを最新の状態に更新し、最新のセキュリティソフトを使用し、ウィルス定義ファイルを常に最新の状態に保つといった基本的なマルウェア対策も併せて継続することが推奨されます。

３．最近の個人情報漏えい事故（2018年7月、8月）

　下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトである▼Security Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
　

　「42」「54」「56」は、元従業員や退職者が情報の持ち出しに関与した事案です。企業情報は事業・営業活動などにより形成・蓄積されていきますが、その中には、独自に開発した技術やノウハウ、計画段階にある販売戦略や顧客リストなど、数多くの企業秘密や個人情報が存在します。これらは紙の書類や、パソコン・サーバなどにデータとして保管されているだけでなく、従業員が身に付けたノウハウといった目に見えない形のものもあります。そのため、全てを把握して完璧に管理することは難しい、というのが現状ではないでしょうか。

　情報が漏えいする経路は複数ありますが、情報処理推進機構が昨年3月に公表した「企業における営業秘密管理に関する実態調査―調査報告書―」によれば、営業秘密の漏えいルートで一番多いのが「現職従業員等のミス」で 43.8％、次は「中途退職者（正規社員）」の24.8％で、正規社員以外の契約社員や派遣社員、役員などを含めた退職者全員を合わせると 34.4％になります。漏えい先に関しては、同報告書によると「国内の競合他社」が 32.4％と一番多く、外国を含めると競合他社への漏えいが 42.9％となり、自社の事業へ大きな影響を及ぼす可能性が高いことがうかがえます。

　一般的な内部不正対策としてまず挙げられるのは、権限の管理とログの収集です。権限の管理では、従業員それぞれに適切な権限を設定するとともに、退職した際には遅滞なくアカウントを消去するといった対策も重要です。情報漏えい事案の中には、退職者のアカウントをすぐに消去しなかったことで、退職者が退職後も重要情報にアクセスするために当該システムへログインできるケースもありました。また、従業員の操作ログを収集、保管することで、問題が発生した際の原因を突き止めやすくできるほか、「常に監視されている」という意識を持たせることで不正抑止効果も期待できます。

　さらに最近では、AIや機械学習を内部犯罪の検知に活かすものもあります。例えば、内部犯罪を起こしてしまう人は、それを実行に移すまでに、かつての同僚とメールをやり取りして愚痴を書く傾向があるので、それをAIや機械学習によって検知し、未然に防ぐようなソリューションもあります。この場合は、あらかじめメールを検閲することを従業員に伝える必要がありますが、それ自体も抑止力になるかも知れません。そして、何より重要なことは、従業員に対する教育による意識の向上です。会社に勤めることとはどういうことなのか、会社の目的や従業員の目的になど基本的な心構えをあらためて理解させる必要があるでしょう。

　こうした教育は入社時だけでなく、定期的に実施することが重要なのです。

ページ先頭へ

セミナーや研修について

　当社ではSNS利用上のリスクや情報管理（主に情報漏えい対策）に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
　セミナーや研修を通じて、新社会人（新入生）に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail：souken@sp-network.co.jp
TEL：03-6891-5556