SECURITY CLINIC
TOP
会社概要 コンサルティング業務 お問合わせ
トピックス セキュリティ情報 エコロジー情報 ビジネス情報 専門家インタビュー セミナー開催のご案内

セキュリティ情報
セキュリティ情報一覧
『2003年情報セキュリティインシデントに関する調査報告書』発表 [2004/07/02]

日本ネットワークセキュリティ協会が、03年における個人情報漏洩やウィルスによる被害をまとめた“2003年情報セキュリティインシデントに関する調査報告書”によると、03年1月から12月までに発生した個人情報漏洩事件は57件で、被害者数は前年比約3.7倍増の155万4592人に及び、損害賠償額の総計は280億6936万円にのぼることがわかった。

その中で犯罪や、個人情報データを記録および記載したメディアを置き忘れるなどの非技術的要因による個人情報漏洩の割合は、02年では7%であったのに対し、03年は27%と4倍弱に増加しており、文書に代表されるアナログメディアへの対策強化の必要性や、人間の脆弱性に触れないセキュリティ対策の無効性などが改めて浮き彫りとなる調査結果となった。

日本セキュリティネットワーク協会 http://www.jnsa.org/

経済産業省が「個人情報保護に関するガイドライン」発表 [2004/06/25]

来春に個人情報保護法が施行されるのに先立って、経済産業省は個人情報の漏洩を防ぐ企業の対応策を定めたガイドラインをまとめた。

これによると、個人情報に接することのできる担当者を限定するなど、責任体制を明確にした上で、社員との雇用契約に漏洩を禁じる規定を盛り込むことや、個人情報にアクセスした社員の記録を残して不正を行いにくくしたり、個人情報をあつかう部屋に出入りできる社員を一部に限ることなどの具体的対応策も指摘されている。

また、他の業者に個人情報をあつかった業務を委託する場合も、社内同様の取り扱いをすることを求め、漏洩が起きれば委託した企業の監督責任を問う可能性もあるとしていることから、今後個人情報にまつわる業務を外部委託する際には、業者選定により厳しい精査が必要となることは避けられない状況となった。

情報漏えいに高まる不安「個人情報保護に関する世論調査」発表 [2003/12/15]

行政機関や民間事業者による個人情報の取り扱いをめぐり、情報 漏えいに不安を感じる人が14年前の前回調査(1989年)の 39.8%から69.0%に、「承認した目的以外に利用される 不安」も40.0%から66.0%に増大し、ITの実態に詳しい 20代、30代では漏えいに対する懸念が8割を超えていることが 内閣府の「個人情報保護に関する世論調査」で分かった。

個人情報のコンピューター処理化に伴うプライバシー侵害につい ては82.2%が「多くなりそうだ」と回答。政府は今年5月の 個人情報保護法の制定などでデータ漏えい、悪用の防止に取り組 んでいるが、過去1ヶ月の間に新聞紙上で取り上げられた、企業 による個人情報漏洩の事故を見る限り、不安解消にはほど遠いの が実態のようだ。

経済産業省がクレジット各社に個人情報の安全管理を指導 [2003/10/09]

経済産業省 商務情報政策局は、本年8月22日大手クレジット、 信販会社300社に対し、個人情報の安全管理について具体的な指導 要請を行ったことが、当社独自の調査により判明した。

指導内容は、社内管理から処分方法まで詳細にわたり、指導の対象 となった各社は、個々の指導項目に対し、不測の事態への対策も含 めた報告書をすでに提出した。

さらに同局取引信用課では、9月末から10月上旬にかけて、大手 25社の社長に直接ヒアリングを実施することにより、業界に対し て徹底した改善を求めていく模様。

個人情報文書の事故が後を絶たないクレジット産業だが、ここ10 年に起こった事故の経緯を見る限り、業界において過去の体制を根 本的に見直して、改善に取り組んでいる企業はごく少数だ。

今回の経済産業省の指導内容は、過去に例を見ない徹底ぶりだが、 これを機会にクレジット業界全体が、本件に必要な体制とコストを 見直すようになることが大いに期待される。

自治体の文書保管外部委託に激変の兆し?(関東某政令指定都市で 仕様を大幅見直し) [2003/03/20]

改訂された個人情報保護法案が、今国会において通過する可能性が 濃厚と報道される中、地方自治体の多くが、個人情報を取り扱う業 務の外部委託に関して、仕様項目の大幅な見直しに着手しているこ とがわかった。

関東の某政令指定都市では保管文書の外部委託について、 “保管期限満了後の文書を自社内の設備で破砕による機密抹消を行 う”ことを筆頭に、建物の立地条件から、集配時の封緘方法に至る まで、微細にわたるたる情報セキュリティの条件が検討されており、 仕様項目が現在の数倍になることもやむなしとの判断にいたってい る模様。

多くの保管業者は期限切れになって廃棄される文書を、リサイクル 業者に再委託しているが、これらの文書はバインダーにファイルさ れているなど、紙のリサイクルにおいて製紙工場が禁忌品と呼んで いる不純物が数多く混入されており、箱ごと溶解をうたっている製 紙工場でさえ、そのままの状態で受け入れることは不可能と言って いる。

ここ数年、箱詰めされた状態で行き場を失った書類が不法投棄され る事件はあとを絶たず、文書保存箱には委託事業者名から部署まで 記入されているため、行政罰の対象が請け負い、下請け業者に止ま らず、委託事業者にまでおよんだケースは、当情報でもお伝えした 日本通運の事故が記憶に新しい。

保管から集配、廃棄ルートにいたるまで、広範な仕様書の見直しが避 けられない事態となっている自治体の文書保管外部委託だが、今後公 正の原理に基づいて入札参加が幅広く呼びかけられたとしても、そこ に突きつけられる厳しい仕様書に対して、応札できる保管業者はごく 少数に限られそうだ。

環境塾が関東の某自治体からの依頼で策定した仕様書案 (PDFファイル)

複写機が深刻なセキュリティーホールに?「大手予備校の受験生データ流出」 [2003/02/18]

大手予備校「河合塾」は、同校本部の部長が、平成13年および14年実施の模擬試験 を受験した群馬県下の受験者7381名分の個人データを紙にコピーし、群馬県所在の 進学予備校2校に渡していたことを発表した。
流出した個人情報は、A4版の紙に「カタカナ氏名」「模試成績」「高校名」が記載され ており、入手した群馬県下の予備校のうち1校が、翌年度の生徒募集DMの資料として 利用。昨年末に「群馬県内の模試データが流出している」という匿名の手紙が同塾に送 られ発覚した模様。

当社では、市場価値の高いデータを、紙にコピーして渡している点に着目 した。
少子化の影響で淘汰がとりざたされる予備校や学習塾では、下級学校の名簿入手から、 上級学校の合格者に関するデータの入手など、生き残り対策として、個人情報の収集に 余念がない。そのため進学対象となる学生の個人情報は、一人あたりで病歴、失業、フ ィナンシャル同様に市場価値が高く、全国規模で模擬試験を実施している大手予備校の データは、地域規模で経営をしている中小の予備校にとって最も欲しい情報の一つだ。

高度なセキュリティシステムが導入されている情報ネットワークでは、端末に書き込み 可能なドライブ(フロッピー、CD-Rなど)を搭載せず、データをネットワークプリンタ で打ち出したログも、セキュリティシステムに記録されている。
一方、複写機はネットワークに接続されていないので、セキュリティシステムの監視下 に置かれておらず、データをコピーしたログは記録されない。紙によるコピーをいくら 持ち出したところで、ネットワークプリンタで打ち出した原本が組織内に止まってさえ いれば、情報漏洩の痕跡は残らない。
わずかに残る糸口は、打ち出されたデータの枚数と、コピーの使用枚数との照合だが、 コンビニエンスストアなどの外部の複写機が使用されていれば、流出先で発覚するまで はお手上げの状態だ。

河合塾では、「持ち出された個人データは、模擬試験受験者に不利益に利用されたわけ ではない。」「現状では今後使用される可能性はない。」との判断をホームページ上で コメントし、「同部長による出来心」として決着をはかりたいようだが、データを持ち 出せる立場にあった職員が、セキュリティの盲点を突く手法で流出させていたとすれば、 今回の事件が氷山の一角である可能性は否定できない。

総務省が個人情報等重要データの外部委託について通知書  [2003/02/05]

昨年12月26日、福島県岩代町の住民基本台帳に登録されている、全町民 の個人情報を収めたマイクロテープが盗まれた事件を受けて、本年1月6 日、総務省大臣官房政策統括官ならびに自治行政局市町村課長より、 「個人情報等重要データの管理の外部委託における安全措置の徹底」と 題した通知書が、各都道府県知事および総務部長あてにそれぞれ発せら れていたことがわかった。

通知書では、冒頭で岩代町のマイクロテープ盗難の件に触れ、個人情報 の運搬、保管等、取り扱いを民間業者へ管理委託する際には、事前協議、 や定期監査も含めた適切な措置を徹底するだけでなく、委託先事業者に おいても万全の安全保護措置がとられていることが必要とし、業者選定 における厳しい精査をうながす内容となっている。 さらに行政に対する住民の信頼を確保するため、すべての地方公共団体 における個人情報保護条例の制定や情報セキュリティーポリシーの策定 など、制度面における早急な対策の実施も求めており、住民基本台帳ネ ットワークシステム開始早々に起こった事故に、神経を尖らせている。

住民基本台帳のデータに限らず、個人情報の運用、保管や処分方法は各 自治体まちまちで、独自の判断に任せられているのが実態。 それゆえに仕様書の精査こそが重要なはずなのだが、安全保護対策とな ると、「万全を期する」などという抽象的な表現に止まっているケース がほとんどだ。今回の通達により、これらがどれだけ具体的に踏み込ん だ内容となるか注目されるところと言えよう。

またか!「大手信販会社のクレジットカード情報が路上に散乱」 [2003/01/28]

また同じ理由で同様の事故が起きた。
大手信販会社ライフは、業者に溶解処分を委託した社内文書のうち1箱が、24日夕刻、 東京都墨田区の首都高速6号線で、運送中のトラックから落下し、周辺に散乱したと発 表した。散乱した文書には顧客の名前とクレジットカード番号の記載があり、通行人か らの連絡を受けた同社は回収作業をしたものの、すべての文書は回収しきれていない模 様。当社独自の調査では、同社では機密文書も清掃などを請け負うビル管理会社の手配し た古紙回収業者に依頼しており、「手配した業者は責任を持って溶解処理しているから 大丈夫」という管理会社の発言を受けて業者と個別の契約を結び、任せていたものと推測される。

金融業界全般に、機密文書を業者に出すことを“溶解処理”と言う傾向にある。これら は1980年代に、銀行から排出されるストックフォーム用紙を“行員立会いのもと”で 直接製紙工場に持ち込み、パルパー(溶解釜)に投入したことに由来しているようだが、 溶解処理そのものは、チリ紙と交換した新聞紙もいずれたどるリサイクル工程に過ぎない。 今回の事故も、「業者に溶解処分を委託していた社内文書」と言えば聞こえはいいが、 要は、個人情報をビルの管理会社が仲介した、一般の古紙回収業者に出していたということのようだ。

古紙を再生するうえでの一工程を、あたかも機密抹消の手段であるかのように売り込む 一部の古紙業者にも問題はあるが、業者との守秘義務契約だけに頼って、搬送車両から 処理ルートの確認もしないまま、単価の安さと"溶解"という言葉の響きにまどわされて いる業界全体の認識が変わらない限り、今回のような事故は跡を絶ちそうもない。

「データ消去ソフト、人まかせは危険!」電子情報技術産業協会がガイドラインで警告 [2003/01/28]

市場へ出す前の工程で、データ消去ソフトの使用を約束する中古パソコン業者が増加 する中、JEITA(社団法人 電子情報技術産業協会)が、パソコンのデータ消去はユー ザーの視野の元で行うよう、強い警告を発している。

同協会は、発行したパソコンの廃棄・譲渡時におけるハードディスク上のデータ消去 に関するガイドライン ≠フ中で、「HDD(ハードディスク)内データの消去というのは、 あくまでもユーザの責任である」とした上で 、「そのデータ自身は利用者以外の第三 者が勝手に消去すべきものではない。」と、データ消去は廃棄、もしくは譲渡以前に、 ユーザーが確認できる状況下で行うように、繰り返し訴えている。

ガイドラインではさらに、「データ読出し技術とデータ消去技術が今後とも表裏一体の 進歩を繰り返す」と懸念している他、ユーザー向けQ&Aでは、消去作業の途中にエラー が発生してしまうケースなどを取り上げ、データ消去ソフトが完全に機能しないことも あるということを、併せてよびかけている。

データ消去ソフトの性能が進化する一方で、データ(ファイル)を復元するソフトウェア の開発も活発に行われている。これらのソフトは、誤って消去したHDDを救済するとい う健全な思想から開発されているものの、結果としてデータ消去を無効とするソフトと しても機能してしまう。

事業系パソコンを処分する方法として、コスト面で注目されていた中古市場への売却 だが、対象となるパソコンに記憶されたデータ如何では、情報セキュリティーの観点 を重視した処分方法への見直しが避けられない状況のようだ。

社団法人 電子情報技術産業協会 http://www.jeita.or.jp/japanese/index.htm

「中古ハードディスクは宝の山?」ハードディスクからの情報漏洩の実態 [2003/01/23]

米マサチューセッツ工科大学(MIT)のSimson GarfinkelとAbbi Shelatの両氏が発表したIEEEコンピュータ学会発行の『IEEE Security and Privacy』2003年1/2月号に掲載の「Remembrance of Data Passed: A Study of Disk Sanitation」という研究報告書によると、両氏は158台の中古ディスクを総額1000ドル未満で手に入れ、これらドライブの内容を調べたら、5000件のクレジットカード番号、医療記録、詳細な個人/企業財務情報、および数ギガバイト相当の個人電子メール/ポルノが見つかった。

この調査報告において、158台における個人使用と法人使用の比率は不明だが、パソコンのハードディスクはもはや使用者のパーソナルデータベースとなっており、企業で使用したものについては、会議資料などの機密情報だけでなく、事業の根幹に関わる社内ネットワークへのパスワードなども含まれている可能性が高い。

一方国内で大手通信関連会社が実施した、秋葉原で販売されている中古パソコンを対象とした調査では、調査対象の実に50%のパソコンにおいて、なんらかの方法でデータを消去をした痕跡が認められるにも関わらず、複数の方法でデータ復旧を施した結果、旧所有者の情報が復元された。

今後はパソコン廃棄時におけるハードディスクのデータ消去を、口約束や契約書の書面上だけで人任せにすることは、非常に危険だという認識が必要であろう。

「続けざまの文書不法投棄」成田市の河川敷に公文書散乱 [2002/06/12]

本年4月25日、保管期限を過ぎた千葉県栄町の公文書が、同県成田市荒海の根木名川の河川敷で散乱しているのを巡回していた県職員が発見し、同町に通報。職員が駆けつけゴミ回収用のポリ袋約7袋分の文書を回収していたことが、5月9日に判明した。

散乱していた文書には、町民の氏名や口座番号などが記載されている学校給食費の口座振替に関する文書が含まれおり、保管期限が切れたため3月29日以降、同町が町内の業者に廃棄委託し、業者は印西市内の紙問屋にリサイクル用として引き渡すことになっていた。

本件ではすでに成田署が廃棄物処理法違反の疑いで捜査を始めており、個人情報のありかたについて町民の間にも波紋を広げている。

自治体における文書廃棄については、特に個人情報を有する文書が多く、情報処理の特性を持ち合わせているため、昨今その仕様書は一般の廃棄物と一線を画す傾向にある。

しかしながら競争入札に伴う現在の業者登録の制度下では、大半の自治体が現行登録してある廃棄物処理業者か、古紙回収業者が可能な範囲での仕様書で入札しているのが実情。安直に機密保護を宣言してしまう回収業者の存在や、それを鵜呑みにしてしまう行政担当者の情報蒐集不足が、更に事態を複雑化させている。

「廃棄書類を不法投棄」物流大手に異例の警告書 [2002/05/30]

昨年3月に日本通運の池袋支店が、都内の事業所より処分を請け負った廃棄書類約100箱が、再々委託の業者により他県に不法投棄されていたことに対して、東京都環境局より異例の警告書が発せられた。今回の事件では、再委託先の産廃収集運搬業者にて、一部はリサイクルされたものの、残りは更に別の産廃収集運搬業者に引き渡され、最後は無許可の業者に流れたあげく、千葉県内に不法投棄されていたことが判明。同社では、このほかにも昨年5月に同様の再委託で20トンのゴミ不法投棄が判明している。

これに対して東京都は今年1月、間に入った二次業者を廃棄物処理法違反で35日間の許可取り消し処分としたうえ、日本通運に対しても「委託した産廃の処分先を確認する義務を怠った」として警告書を同社社長あてに出した。

処分を依頼した事業者は日通というブランドに信頼を置いてリサイクルを委託したものと推測されるが、一部しかリサイクルされず果ては不法投棄という結果に終わった顛末に、丸投げされる産廃古紙の実態が改めて浮き彫りとなった。

本件該当の文書より情報漏洩があったか否かについては現在不明だが、同社では一連のサービス中に、法人の保管文書を預かる業務も執り行っており、保管期限満了となったものについての廃棄も請け負っている。同サービスのユーザーは確実な処理ルートの見直しを迫られていると言えよう。

パソコンの中古市場拡大で、情報流出に危機感 [2002/01]

2002年1月上旬、重要データが消去されないままのパソコンが、名古屋と福岡の中古パソコン店で見つかったとの報道。

名古屋の中古パソコン店では、健康保険組合の診療データが、福岡では福岡県警の捜査情報データというように、いずれも重大な問題になりかねないデータであることが恐いところ。

パソコンの低価格化と新しいOSの発売で、大量の買い換えで企業から中間業者を経て店頭にならぶ。すべての業者が中身をチェックしている訳ではない。パソコン販売大手のソフマップだけでも昨年の買い取り持ち込み数は23万件、まさに中古市場は拡大している。今回の事件はまさに氷山の一角。ユーザーがゴミ箱へ入れたと思っているデータは、ハードディスク内から完全に消去されたわけではない、実際には残っていたり、特殊なソフトで復元される恐れは十分あることに注意していただきたい。

都道府県のセキュリティポリシーに疑問 [2001/10]

総務省の発表によると、地方公共団体において個人情報に関する条例が制定され始めたのは昭和50年代前半のこと。コンピュータによる個人情報の処理が進展するにつれ、個人情報の保護を条例によって制度化する団体が年々増加しているが、2001年4月1日現在に条例制定が行われているのは全体(3,296団体)の60.1%(1,994団体)。

そのうち、紙による事務処理(マニュアル処理)にかかる個人情報も対象としてる地方公共団体はさらに減って982団体(規定している団体の49.2%)。外部委託に際しての規制についても受託業者等の責務を規定しているのは60.3%(1,202)。罰則規定も職員5.8%。受託業者・従業員8.6%という低さ。

年々規定する団体は増えているものの、電子政府を推進させるなか、プリントアウトされた個人情報への危機意識をもっと高めていただきたいと願うばかり。

関東某市で機密文書に「お絵書き」 [2001/09]

9月12日の関東の地方公共団体の市議会で「個人情報流出」に関する質議が行われ、流出の事実はなかったとの市側の答弁があった。実際には、市内の公立保育所に通う子供が自宅にもちかえった「お絵書き」の裏に、健保滞納者のリストがあったというもの。市側では、経費節減のために使用済みの用紙の裏をメモ用紙として再利用していたが、それが保育所にも配付されて、子供の「お絵書き」用紙として利用されていた事が原因。リストには個人7件、法人3件が記載されていたが、住所等は判読できる物ではなかったと市側は弁明している。

商工ローン日栄・北海道4支店の顧客台帳が流出 [2001/08]

商工ローン最大手の「日栄」(本社・京都市)は2001年8月1日、札幌、旭川など道内4支店の顧客法人457社に関する情報が掲載された台帳のコピーが社外に流出していたと発表。顧客台帳には業者の口座番号のほか、不渡りなどの「事故歴」の極秘情報が記録してある。同社は社員か元社員が持ち出したとみている。その後、台帳のコピーを所有していた札幌市中央区の雑誌出版社を相手取り、日栄がコピーの引き渡しなどを求めて訴訟。高金利で問題になった商工ローンだけに、情報漏洩ついての印象は少ないかも知れないが、日栄の子会社「東栄」でも2000年初めに、顧客の信用情報が元社員から流れて市販書籍に掲載された事件がある。

ドコモ代理店依頼の業者、風で飛び散った個人情報 [2001/03]

埼玉県では廃棄を依頼された業者の管理がずさんで個人情報が行方不明。
富士見市のNTTドコモ代理店は、A4判の書類で、顧客の住所、氏名のほか携帯電話の番号などが記載された、携帯電話の新規申込書類の焼却処理を業者に依頼。「ひと月以内に焼却処分してほしい」と同市内の運送業者に依頼した。

しかしこの業者は20〜30枚程度を一束にしてひもで縛り、ビニールシートをかけたまま屋外に5ヶ月間放置。5年前から作成された数千枚の書類というが、正確な枚数は不明。NTTドコモでは代理店に対し「書類は溶解処理またはシュレッダーで裁断」するよう文書で指導していたが、処理が適正に行われたかどうかはチェックしていない。指示や管理の不徹底、業者の選定も問題。その企業だけでなく関係会社にまで問われるという事例。

病歴付き名簿、関東で300人の個人情報を販売 [1999/11]

「全国医療情報センター」と称する業者が、全国の薬局や健康食品会社へチラシを送りつけ、病名のほか氏名、年齢、住所、電話番号などが記載されたリストを販売している事が朝日新聞で報道された。「他では入手不可能な貴重な《病名付き病人リスト》を開拓、ご提供できるようになりました」などと書かれたダイレクトメールなどで、購入者を募り販売をしているもの。取材に対し、業者は個人からの購入としながら、入手ルートは300名のリストの人に共通点が確認されておらず、不明なまま。

ページトップへ

copyright(c)2005SECURITYCLINICAllrightreserved.