2008年2月 3日

個人情報保護法ガイドラインの改正について

経済産業省が個人情報保護法ガイドライン見直し

概要

 経済産業省が2008年2月に個人情報保護法を守る為のガイドラインである 「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」の見直しを発表しました。

要点

 要点を整理すると次の2点につきます。

  • 業務委託に不要な個人データの提供の禁止
  • 委託元による委託先の監督責任の明確化
業務委託に不要な個人データの提供の禁止

 例えば、通販を行うA社が、ダイレクトメールの宛名を印刷することを印刷業B社に 委託した場合、郵便番号、住所、氏名、ダイレクメールの文章(個人情報を含むとする) 以外をA社からB社に提供してはならないということです。

委託元による委託先の監督責任の明確化

 通常委託業務は、委託先の管理監督責任で個人情報を管理するのが基本です。 これは請負契約の鉄則で、基本的にこの場合のA社はB社の管理手法に口出しできないからです。 しかし、近年、重大な個人情報の漏洩が相次いでいる為、今回の改正になったようです。

委託先企業が気をつける点

 以上のことを考えると次のような施策が必要になると思います。

  • 業務委託の際に委託先に引き渡す個人データの定義と精査の必要性
  • 委託元による委託先の監査を業務委託契約の際に取り交わすこと

 いずれにしても委託先企業の負担が増すとともに、システム監査人の必要性とスキルアップが 社会的に求められることになると思います。

参考文献:「個人情報の業務委任、監督責任増す」日経コンピュータ2008.1.15.P19
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 05:40

2007年2月 7日

セキュリティの強化と不具合の発生について

 一般にセキュリティシステムを強化すると、システムの運用が困難になると いう法則があります。つまりセキュリティとユーザのアクセサビリティとは 互いにトレードオフの関係があるということです。

電子メールの送信障害事件

 先だって当社も電子メールの送信障害事件がありました。社の電子メールが 受信はできるのですが送信できなくなったのです。

送信障害事件の原因

 部下のシステム管理者が調査した結果、原因は、当社が使用しているプロバイダによる Outbound Port25 Blockingの影響でした。
 このOP25Bは、悪意あるユーザーがプロバイダのインターネット接続サービスを利用して、 大量の迷惑メールを送信する行為を規制する仕組みです。 この結果、ユーザが知らないうちに大量の迷惑メールが送信されるという問題も回避することを目的としているのです。

 
Outbound Port25 Blocking について

OP25Bは、メールサーバを利用しないメールの送信に対して 一定の制限を加え、迷惑メールの送信を抑制する手法です。 具体的には、メール送信時に利用されるWell Known Port番号の25番(Port25) および電子メールの送信経路を監視し、特定条件のメール送信を制限します。 当社の送信メールがこのOP25Bにかかったのです。

Outbound Port25 Blockingへの対処

 対応としては「Submission ポート」(587番ポート)を使っての受送信設定を行い無事復旧しました。
 プロバイダ等から連絡があると嬉しいのですが、なかったため会社の業務が一時混乱する事態となりました。


システム監査技術者試験・小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kitta : 14:21

2005年8月28日

2005年8月28日 サイバー犯罪防止と法整備の動き

コンピュータ犯罪増大

最近のサイバー犯罪の傾向
検挙数増加するサイバー犯罪

 警察庁発表によると、今年1~6月に検挙されたサイバー犯罪は1,612件となり 昨年の同期に比べて52%増加したという。特に不正アクセス禁止法違反による検挙が 198件となり昨年の3倍、ネットワーク詐欺も前年同期に比べて2.7倍となった。 特にネットオークションを利用した詐欺が多いという。

高度なサイバー犯罪テクニック

 最近のサイバー犯罪の手口は高度となり、スパイウェアマネーロンダリング(資金洗浄)専門業者の暗躍もみられるようになっている。 例えば、学習塾修学社のネットバンキング用口座から2億5500万円が不正に引き落とされた事件では スパイウェアが背景にあるといわれている。

資金洗浄防止のための法整備
資金洗浄(マネーロンダリング)とは

 マネーロンダリング(資金洗浄)とは、犯罪で不正に入手した資金を 様々な口座を経由させるなどして、資金の出所や行き先を隠す行為のことである。漫画の 「ゴルゴ13」で主人公のデューク東郷が、暗殺で得た対価をスイス銀行 に振り込ませるのはスイス銀行が口座の秘密を守るということもあるが、資金洗浄 の意図があるものと思われる。

 資金洗浄の代表的手法は次の通りである。

  • 巨額資金を小口に分けて他の銀行口座に振り込む
  • 現金を小切手などに変えて別の口座に預金する
  • ダイヤモンドなどの他の商品取引に見せかけて多額の資金を移動する

 最近ではダイヤモンド取引の例のように資金洗浄 の手法も高度化している。

法整備の動き

 政府は資金洗浄の取締りを強化するために、 来年の通常国会に関連法改正か新法案提出を考えている。

 その概要は以下のとおりである。

  • 従来は資金移動に付いて、金融機関だけに顧客の本人確認や疑わしい取引の 都道府県などへの報告を義務付けていた
  • しかし、最近では金融機関を経由しないケースが多いので
  • 監視対象を①宝石商、②貴金属商、③不動産業、④リース業にまで広げる
  • そこで、金融機関と同様に一定金額以上の取引に免許証の提出を求める
  • このほか、都道府県に疑わしい取引を報告させる
システム監査 加藤の意見

 資金洗浄による、不正の発覚を迅速化したり、 未然に予防するための法的整備は大変重要なことである。しかし、以下のような点が 危惧される。

  • 1.法整備によって対象業者の業務手続が煩雑になる
  • 2.対象業者が、法整備に反対するなどして、法整備が不発になる可能性がある
  • 3.そのため、法により定めた手続が有名無実化する可能性がある<

例えば、スキミング被害者に対する法整備の遅れが被害拡大を呼んだ。これは 金融機関が法整備に反対したからだといわれている。このようなことのないように 不正の入り込む隙を与えないことが大切だ。

参考:2005年8月19日 日経新聞「サイバー犯罪52%増1-6月」
参考:2005年8月23日 日経新聞(夕刊)「本人確認義務付け 政府方針 資金洗浄を防止」
(c)アイ・リンク・コンサルタント 加藤忠宏



投稿者 kato : 23:37

2005年7月 7日

2005年7月7日 安全管理の意義の理解の重要性

許可されないホストのネット接続によるリスク

原子力発電所の内部情報が、許可されないパソコンのネット接続によって 流出した。担当者や管理者には原子力発電所運営の危機意識がないのだろうか。

事件の概要
流出した内部情報の概要

日経新聞によると、関西電力美浜原発や九州電力川内原発などの内部情報が ネットを通じて流出していることが分かったという。また、このほか、北海道電力泊原発や 関電大飯原発の「工事報告書」「点検一覧表」「点検工事概要」などの情報も流出したらしい。

原因は私用パソコンの利用

情報流出の原因は、点検を請け負った企業の社員が私用パソコンを使い工程表などの下書きを 行ったこと。この私用パソコンのなかには、ファイル共有ソフト「ウィニー」が実装されていたから。 この社員が「ウィニー」を利用したときに、ウィルスに関連し、その結果、情報をネット上に 流出させたらしい。

システムアナリスト・システム監査技術者、加藤の見解
ISO9000に学ぶ、管理技術

ISO9000というと、「品質管理ではないか」といわれる方がいらっしゃるが、それは間違いだ。 ISO9000は「品質保証のためのマネジメントシステム」として、管理技術の手続きを「要求事項」 としてうまくまとめている。そのなかに「設備承認」という項目がある。要するに管理者によって 許可されない機器は作業場に設置してはいけないのである。

保守作業を担当した企業では、私物のパソコンの業務使用についての制限をしていなかったという。 請負担当企業は電気電子会社だ。彼らがISO9000の基本的内容を良く理解して、作業指導をしていた ならばこのような問題は起きなかったと思われる。以前にも原子力発電所のなかで裏マニュアルが 存在しバケツを使った危険な作業が行われていたという。このような問題も品質というよりは ISO9000的な問題だと思う。

安全の基本的意味の理解が重要だ

安全を抽象的概念として考えるから、今回のような問題はなくならない。特に安全は 想像力のない人々には空気のような問題で、意識しにくい問題ではないか。このため、 安全がなぜ大切なのか。安全を軽視するとどのような問題に発展するのか、そのときの 経済被害や社会的問題はどのようなものか、想定される範囲でよいから、 安全を軽視する人々の心に響くような形式で、安全教育を実施する必要がある。

役に立つ情報処理技術者試験

情報処理技術者試験は役に立つと思う。無論、否定的見解の人もいらっしゃることも知っている しかし、今回の問題は「平成13年情報セキュリティアドミニストレータ試験午後II問2」に 酷似している。疑う方はこの問題を解いてみると良い。この問題にも「自分の管理するシステム は特殊なシステムだから安全だ」と主張して、セキュリティポリシに従わない課長が登場する が、今回の事例を暗示しているように思えてならない。

以上

参考:日本経済新聞2005年6月23日「原発内部情報ネット流出」



投稿者 kato : 22:48

2005年6月17日

2005年6月17日 迷惑メールで業務停止命令

出会い系迷惑メールで業務停止命令

1ヶ月で1200万通送信業者に経済産業省

経済産業省は、インターネット出会い系サイト運営会社2社に、「特定商取引法」違反3ヶ月の業務停止命令を出した。

インターネットメールの80%はスパムメールと言われている。今回は、この業者2社は特定商取引法で義務付けられている「※未承諾広告」の表示義務を守らなかった。また、同社は有料画像サイトのなかで本来必要とされる契約意思確認画面の設定もなかった。

利用される掲示板サイト

この業者は、無料掲示板を利用して電子メールアドレスを入手していた。このため、最近では、掲示板に電子メールを書き込むことがリスク要因となっている。

システムアナリスト加藤の所見

当社も電子メールサーバにフィルタリングの仕組みを実装するなどして、スパムメール対策を施している。しかし、それでも、日に何通かのメールはフィルタリングソフトを潜り抜けて受信ボックスに送られてくる。私のOCNにある個人メールは特にひどく、受信するメールの99%は未承諾メールである。

これらスパムメールは社会の敵であり、プロバイダは社会的責務として撲滅の手段を講じるべきである。また、最近、当社で問題になっているのは掲示板へのアダルト系書き込みである。これも自動書き込みソフトがあるらしく本格的な問題解決の方法が難しい。

編者の場合も、ごたぶんにもれず、経営者とネットワーク管理担当者の間で問題解決の方法で葛藤があった。管理者サイドは常識的な技術的手法にこだわることが多く、経営者の意図しない成果しかだせないことがある。私は粘り強く、管理者と話し合いを持ち掲示板の書き込み対策やスパムメール対策を説得した。これらの問題には技術的な解決法だけでなく、管理職の「情報資産は企業資産」という観点にたった粘り強い技術者説得の対策が必要である

参考:2005年6月15日 日本経済新聞「迷惑メール初の停止命令」



投稿者 kato : 18:18