2006年03月04日(土)

ウイニー! 3つの脅威と必要な対策

テーマ:個人情報保護

かなり久々、リスクマネジメント(個人情報保護)の話題です。えっ そんな事 書いてたの? と思われた方もいらっしゃるかもしれませんが、池津の本職なのです・・・

 

2月以降、京都刑務所から受刑者情報が、海上自衛隊から暗号情報が、今日は岡山県警から1,500人分の捜査情報がウイニー経由で流出したと報じられました。個人情報は、精神的苦痛と経済的損害の2つの物差しで分類できますが、犯罪歴は一番注意すべき情報の代表例です。

 

ウイニーによる情報漏洩が止まりません。さて、ウイニーって何?そう、日本ハムの皮なしウインナーです。 いや、間違いではありませんが今、問題になっているのは、ファイル交換ソフトのウイニーです。音楽や画像のファイルをインターネットを経由して交換するソフトで、ある音楽ファイルが欲しいAさんがインターネット上で外国のBさんからダウンロードする、といったことを匿名性をもって暗号化して行います。ウイニー経由の情報流出には、誤ってウイニーに乗せて流出 ウイルスによって流出 の2つのケースがあります。ウイニーは直ちに違法ではありませんが、著作権法上の問題も無いわけではありません。

 

ウイニーが恐い理由1 「よく知られていない」

ウイニーがオタク、マニア、インターネットのヘビーユーザーを中心に使用されていることから、一般によく知られていません。あなたがウイニーをよく説明できないように、大会社の情報管理責任者でもよく知らない人がたくさんいます。これが個人情報や重要な機密情報をウイニー経由で流出させてしまう大きな原因になっています。

 

ウイニーが恐い理由2 「会社の管理外で起こる」

一般的に職場のパソコンにはウイニーなどのソフトがインストールできないように制限がなされています。先に述べた受刑者情報、捜査情報などは全て、職員の私有パソコンからウイニー経由で流出しています。持ち出し禁止など、パソコンの管理はしていても、個人情報の持ち出しや管理までは管理は不十分なのが実状です。個人情報・機密情報の持ち出しを完全に禁止したとしても、ウイニーが導入された私有パソコンで客先情報、機密情報をインプットして作成した文書が流出する恐れもあります。

 

ウイニーが恐い理由3 「一旦、流出すると回収が不可能」

ウイニーを介したファイル交換は、インターネット上で、ウイニーを導入しているユーザー同士がハードディスクをあたかも共有する仕組みです。高機能の他のパソコンに一旦転送してからダウンロードするといったことができてしまい、自分のパソコンのハードディスクに、どんなファイルがあるか分からない という恐ろしい状態が発生します。ゆえに、ウイニーを経由して流出したファイルを完全に回収しようとすると、ウイニーが導入されているパソコン(世界中に数十万台)を全て回収してハードディスクを破壊しなければならず、事実上不可能です。この点の警告がマスコミでなされないのは問題です。

 

ウイニー経由の漏洩を防ぐには、下記が有効です。

1.職場のパソコンにウイニーを導入させないこと

2.できれば私有パソコンにもウイニーを導入させないこと(著作権などの問題があるからと)

3.個人情報、機密情報の持ち出し制限を強化すること

4.ウイニーが導入された私有パソコンで仕事をさせないこと

 

ウイニー経由の情報漏洩は、人間の行為に起因することなので100%防ぐことは不可能です。職員の私有パソコンにウイニーが導入されているかを完璧に把握することはできませんし導入を禁止することもできません。情報持ち出しを禁止しても、作成したファイルが流出するリスクもあります。ウイニーの3つの恐さをよく理解して、リスクを最小化することが重要です。

 

winny これは罪のないウイニー坊や。ニッポンハムのサイトはこちら

AD
いいね!した人  |  コメント(5)  |  リブログ(0)
2005年11月19日(土)

ワコール、不正アクセスで顧客情報4700人分流出

テーマ:個人情報保護

大手下着メーカーのワコール(京都市)は19日、ネットショップを運営するサーバーに外部からの不正アクセスがあり、住所や電話番号、クレジットカード番号など4,757人分の顧客データが流出したと発表しました。


 うち約1,900人分についてはクレジットカードの番号と有効期限が含まれており、カードの不正使用による被害が発生する可能性があるとのことです。外部委託会社が原因とのこと、委託先の選定は細心の注意と払わなければなりません。


ところでワコールといえば、その名を語るイタズラ電話が跡を絶たないそうです。「ワコールですが、お客様アンケートです。」と堂々と「どんな下着が好きですか?」とか「今、つけている下着の色は?」などと聞いてくるそうです。


ワコールのホームページでも「電話でのアンケートはしていませんので悪質なイタズラにご注意」とありますが、紳士然とした対応に、イタズラ電話と気づかない人が多いそう。それを聞いて喜んでいるヘンタイがいます。女性の皆さん、お気をつけ下さい。

AD
いいね!した人  |  コメント(6)  |  リブログ(0)
2005年06月07日(火)

米 シティ、390万人分の顧客情報紛失!

テーマ:個人情報保護

 アメリカ金融最大手のシティグループは、390万人分の顧客情報を記録したテープを紛失したと発表しました。信用情報センターにデータを届ける途中に、輸送を受け持つUPSが紛失しました。


 アメリカでは2月、バンカメが120万人の顧客情報を紛失。個人情報の管理においては日本より厳しいはずのアメリカでも事件が多発しています。


 ところで、今回のような輸送を委託した先が原因で情報が漏洩した場合の企業の責任はどう考えればいいでしょうか。委託先が原因で情報が漏洩した場合でも、企業の責任を免れることはできません。個人情報保護法では、委託先の監督を具体的に求めています


 宛名ラベルの作成や、データのインプットなど、社外にアウトソースしている仕事を洗い出して、アウトソース先の情報管理体制やプライバシーマークなどの認証を受けているか、確認した方がベターです。今回のアメリカでの情報漏洩事件、対岸の火事といわず他山の石としたいものです。

AD
いいね!した人  |  コメント(5)  |  リブログ(0)
2005年05月28日(土)

個人情報保護法対応にとどまらない情報管理の必要性

テーマ:個人情報保護

 4月1日に全面施行された個人情報保護法に基づく初の勧告を受けたのは、131万人の個人情報を紛失!  で書いたみちのく銀行でした。

 

 個人情報保護法は、個人情報の適正な取り扱いを求める法律ですので、不正な情報の取り扱いが即、罰則につながるわけではなく、主務大臣(今回は金融庁)による勧告、命令でも改善が見られないと、6カ月以下の懲役または30万円以下の罰金が課せられることになります。


 「当社はバッチリ対策しているから大丈夫!」という企業も増えていますが、懸念されるのは、個人情報保護法への対応のみに目がいって「個人情報保護法に違反していないからいい」という認識が見られることです。


 個人情報保護法に違反していなくても、個人情報の取扱が不十分であれば、損害賠償責任を負う可能性があります。たとえば、abc123@xyz.ne.jp  というメールアドレスは、個人情報保護法で定める個人情報ではありません。よって、このようなメールアドレスが大量に漏洩しても個人情報による罰則は受けません。だからといって、損害賠償を請求されると、対応を余儀なくされます。


 個人情報保護法が求める情報管理にとどまらず、「いかにして情報を漏洩させないか」という観点からも情報管理体制を見直すことをお勧めします。いずれにしても企業のイメージダウンは多大なものになりますので。

いいね!した人  |  コメント(3)  |  リブログ(0)
2005年05月09日(月)

川崎の小学校、無施錠ロッカーで成績表紛失!

テーマ:個人情報保護

 学年末の3月、川崎市宮前区の市立富士見台小学校で4年生の成績表38通が紛失しました。同校は「学期末なので子供たちに混乱を与えたくなかった」と説明しますが、保護者からは不満の声が上がっています。

 4年生を担任する20代の女性教諭が学校で成績表をつけ、成績表38通を茶封筒に入れて校長室にある学年のロッカーに保管。1週間後、再び成績表をつけるためロッカーを開けると、茶封筒はあったものの成績表はなくなっていました。ロッカーは無施錠でした。

 同校は市教育委員会へ紛失を連絡しましたが、警察へは20日間も連絡せず、教員らで校内を探す作業を続けました。 保護者は「個人情報保護法が施行直前なのに、子供たちの情報があまりにもずさんに扱われている」と憤っています。  

 この小学校って・・・ 池津の母校なのです・・・

いいね!した人  |  コメント(5)  |  リブログ(0)
2005年04月23日(土)

みちのく銀行、なんと131万件の顧客情報を紛失!

テーマ:個人情報保護

みちのく銀行(青森市)は個人、法人を含む約131万件分の顧客情報が入ったCD―ROM3枚を紛失した。氏名や生年月日、預金額、貸出額などが記録されていた。同行のほぼ全顧客数とみられる。同行は誤って廃棄した可能性が高いとしている。

 同行によると、今月12日、青森市の事務センターからデータを複製したCD―ROMを本店に送付したが、本店で受け取った形跡がなく、20日に紛失が確認された。

 最近、金融機関では、個人情報の漏洩や紛失を回避する目的で、外部媒体に保存ができないようにしている企業が多くある。預金、貸出といったセンシティブ情報を、そして全顧客のデータを外部媒体に落として送るというのは金融機関の行為として信じられません

 報道では「送付した」としかありませんが、その手段も問われるでしょうね。運送の手段は? 業者は? 運送契約はどうなっているか? 運送業者の監督はどうしていたか? 個人情報保護法が4月1日から全面施行されたばかりで、企業の対応は確かに十分ではありませんが、ちょっとひどすぎると思いませんか?

いいね!した人  |  コメント(4)  |  リブログ(0)
2005年04月15日(金)

札幌と旭川の刑務所から受刑者の個人情報が漏えい

テーマ:個人情報保護

 

 北海道の札幌、旭川の刑務所で、受刑者計8人の名前などが書かれた書類が、ファクス番号の押し間違いなどで外部に漏えいしていた。札幌矯正管区は受刑者に謝罪したという。

 

 札幌刑務所で2003年と2004年、受刑者2人の名前、生年月日、前科など個人情報が書かれた書類を他部署にFAX送信した際、担当者が誤って民間の会社などに送信した。FAXを受け取った会社から同刑務所に指摘があり誤送信が判明。書類は処分してもらった。

 

 旭川刑務所では2003年、同市内の書店の店員が、いったん刑務所に納入した雑誌12冊を間違って持ち帰り、店で販売した。雑誌には受刑者の名前などが書かれた紙が挟まれており6人分の名前などが流出した。

 

 犯罪情報、身体の情報などは「センシティブ情報」として特に厳重な管理が求められます。民間会社であれば記者会見と謝罪広告は免れませんが、お役所仕事ではどうだったのでしょうか。お粗末ですね。


いいね!した人  |  コメント(1)  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。