第6章 個人情報漏洩の実態 (57KB)

第6章
個人情報漏洩の実態
(1) 業界団体における把握状況(電話及び訪問ヒアリングより)
平成 17 年 12 月から平成 18 年 1 月にかけて行われた業界団体への電話・訪問ヒアリン
グでは、業界における事業者の事故発生状況の把握についてについて設問項目を設けてい
る。
全体的な傾向としては、マスコミに掲載された事例や業界の人脈の中で流れてきた事故
事例の情報をランダムに認識している程度であり、体系的な情報収集と一定のストックと
整理が行われている団体は認定個人情報保護団体となっている業界団体程度であった。
また、認定個人情報保護団体になっている業界団体についても、その役割・責務として
の事件事故情報の情報の収集は行っているが、認定団体となって間もないことや会員事業
所数も少ないためか、わずかな件数という状況であった。なお、業界団体ヒアリングおい
て把握した事件事故等の把握状況は下表の通りである。
また、中小企業においては、事件事故の公表については、なるべく回避したい意向が強
く、マスコミに掲載されるような大きな事件事故でなければ、公表や監督官庁への報告は
せずに穏便に処理したいはずであるといった声も見られた。いずれにしても、現状では中
小企業における事件事故の発生と対応の状況を体系的に把握することは、かなり難しいこ
とであることが推察される。
図表 3−3 業界団体ヒアリングにおける事件事故等の把握状況
業界団体名
(社)日本自動車販売協会
事件事故の把握状況
認定団体として役所に報告するため事故状況は把握している。公表する予定はない。
連合会
小さな事故が多く、悪意で多数の情報をハッキングされたような事故は発生していな
(認定個人情報保護団体)
いと把握。
事故として件数が多いのは「名前の入った書類を紛失してしまう」といった小さな
情報漏洩。
(社)全国学習塾協会
特に調査していない。来年度にはやりたいと思っている。ただし、現在の正会員約
670 社に対して事業者は5万と言われており、業界の組織率は 10-20%(1社 10 教室
(事業所と想定))くらいであり、アンケートをやっても回収されない危惧がある。
過去に日能研で外部講師による情報漏洩があったと記憶している(故意によると記
憶)。福岡の件(九大進学ゼミ講師の私物パソコンからの情報流出)は、事業者によれ
ば、現在イントラネット等の構築中で次年度からは稼働予定という時期であり、不運
な面もあるが、自主規制やガイドラインの主旨が徹底されておらず、結果的に管理面
がずさんであったことは否めない。
(社)日本エルピーガス連
合会
(社)不動産流通経営協会
各県の協会にアンケートは採った。しかし、各県の協会でも把握していないようで
あったため、成果はほとんどなかった。
体系的に収集していない。ただし、事故件数は非常に少ないと思う。
−123−
特に把握はしていないが、比較的風通しは良いので、情報はある程度入ってくる。
(社)日本ダイレクトメー
ル協会
当協会は、加盟団体が通販のみならず、保険、広告代理店、印刷と他業種にまたがっ
ており、業界団体という性格ではないため、一斉的な調査はやりにくいと考えている。
中小事業者では、車上荒らしで個人情報の入った PC を盗難されたという事例を知
(社)全国宅地建物取引業
協会連合会
っているが、個人情報保護法に関して特殊な管理策を検討することに役立つような事
例ではないと捉えている。
事故については、国交省には相当数報告があるらしいが、主に大手業者の小さな事
故がほとんどではないか。また、各都道府県の宅建協会に無料相談所があるので、問
題が多ければ、連合会にもあがってくる仕組みになっているが、今のところ特にあが
ってきていない。
(2) 内閣府による調査
内閣府国民生活局が平成 17 年 11 月に発表した「個人情報保護用の施行状況について(平
成 17 年度上半期)」では、事業者からの個人情報漏洩事案(平成 17 年度上半期)を下表
の通りとしている。
個人情報の漏洩件数は 894 件であり、省庁別では金融庁(409 件、45.7%)、経済産業省
(336 件、37.6%)が多く、この 2 省庁で 83.3%を占める。
漏洩した情報の種類は、顧客情報が 98.9%とほとんどを占める。また、漏洩した情報の
種類について、うち基本情報(氏名、生年月日、性別、住所) のみが流出したものは 5.4%
とわずかであり、ほとんどの情報漏洩は、基本情報以外の情報(センシティブな情報も含
まれる可能性がある)とともに漏洩している。
漏洩元、漏洩した者の内訳は、事業者が 77.9%、委託者が 21.4%となっている。また、
漏洩原因は、不注意(677 件、75.7%)に対して意図的な漏洩(165 件、18.5%)と不注
意が 3/4 を占めている。また従業者による意図的な漏洩は 6 件(0.7%)にすぎないが、第
三者によるものはすべて意図的な漏洩である。
事業者による改善措置の内容については、組織的対策(安全管理責任者の設置、社内規
定の整備、教育・研修の実施、監査の実施等)が 91.2%に対して技術的対策(ファイアウ
ォールの構築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等)
は 11.2%とわずかであり、事故の要因が技術的な要素よりも組織的な要素によるものが圧
倒的に多いことが伺える。これは漏洩原因が不注意による漏洩の割合が高いことにも通ず
るものがある。
−124−
図表 事業者からの個人情報漏えい事案の状況(平成 17 年度上半期)
漏えいした人数
府省名
件数
漏えいした情報の種類
府省名
件数
漏えいした人数
顧客情報
−125−
金融庁
409
総務省
62
法務省
3
財務省
4
文部科学省
7
厚生労働省
36
農林水産省
28
経済産業省
336
国土交通省
86
合計
971
合計
894
(重複分を除く) (100.0%)
500人
501〜 5,001〜 50,001人
以下
5,000人 50,000人 以上
172
87
117
31
45
3
6
1
3
0
0
0
4
0
0
0
5
0
2
0
22
8
6
0
20
7
1
0
297
31
6
2
78
6
2
0
646
142
140
34
583
133
135
34
(65.2%) (14.9%) (15.1%)
(3.8%)
不明
2
7
0
0
0
0
0
0
0
9
9
(1.0%)
(注)漏えいした人数とは、漏えいした個人情報によって識別される特定の個人の数をいう。
漏えい元・漏えいした者
府省名
件数
件数 従業者
事業者
第三者
金融庁
409
総務省
66
法務省
3
財務省
4
文部科学省
7
厚生労働省
37
農林水産省
29
経済産業省
341
国土交通省
87
合計
983
合計
894
(重複分を除く) (100.0%)
うち基本
情報のみ
8
9
0
0
0
0
0
28
5
50
48
(5.4%)
408
59
3
4
7
33
27
329
83
953
884
(98.9%)
漏えいした情報の種類
従業員情報
その他の情報
うち基本
うち基本
うち基本
情報のみ
情報のみ
情報のみ
8
0
0
1
0
9
5
0
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
4
0
0
0
0
2
0
0
0
28
10
0
2
0
5
3
0
1
0
50
24
0
6
0
48
22
0
4
0
(5.4%)
(2.5%)
(0.0%)
(0.4%)
(0.0%)
(注)1.基本情報とは、氏名、生年月日、性別、住所を指す。
2.一つの事案で複数の情報が漏洩した場合は、全ての項目について記入。
3.合計欄の( )内は、全体の件数に対する割合を指す
4.表中の「うち基本情報のみ」は、基本情報のみ漏えいした事案の件数(内数)及び漏えい事案全体に対する割合。
その他 不明 件数 従業者
委託先
第三者
不明
その他 不明
件数 意図的不注意 不明 件数 意図的不注意 不明
件数 意図的不注意 不明 件数 意図的不注意 不明
金融庁
409 375 364
1 348
15
4
4
0
0
0
7
32
26
0
26
0
5
5
0
0
0
1
2
総務省
62
29
24
2
22
0
3
3
0
0
0
2
30
18
1
17
0
7
7
0
0
0
5
3
法務省
3
2
2
0
2
0
0
0
0
0
0
0
1
1
0
1
0
0
0
0
0
0
0
0
財務省
4
4
1
0
1
0
3
3
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
文部科学省
7
5
3
0
3
0
2
2
0
0
0
0
2
0
0
0
0
1
1
0
0
0
1
0
厚生労働省
36
35
26
0
26
0
9
9
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
農林水産省
28
26
18
0
18
0
7
7
0
0
1
0
2
2
0
2
0
0
0
0
0
0
0
0
経済産業省
336 205 136
2 133
1
62
62
0
0
1
6 130 108
0 108
0
21
21
0
0
0
1
1
国土交通省
86
80
33
1
30
2
44
44
0
0
0
3
6
3
0
3
0
3
3
0
0
0
0
0
合計
971 761 607
6 583
18 134 134
0
0
2
18 203 158
1 157
0
37
37
0
0
0
8
7
合計
894 696 555
5 532
18 122 122
0
0
1
18 191 146
1 145
0
37
37
0
0
0
8
7
(重複分を除く) (100.0%) (77.9%) (62.1%) (0.6%) (59.5%) (2.0%) (13.6%) (13.6%) (0.0%) (0.0%) (0.1%) (2.0%) (21.4%) (16.3%) (0.1%) (16.2%) (0.0%) (4.1%) (4.1%) (0.0%) (0.0%) (0.0%) (0.9%) (0.8%)
(注)合計欄の( )内は、全体の件数に対する割合を指す
資料;内閣府国民生活局「個人情報保護法の施行状況について(平成 17 年度上半期)
」
−125−
事業者による改善措置
府省名
件数
金融庁
総務省
法務省
財務省
文部科学省
厚生労働省
農林水産省
経済産業省
国土交通省
合計
合計
(重複分を除く)
409
62
3
4
7
36
28
336
86
971
894
(100.0%)
事業者による改善措置
安全管理対策
406
57
3
4
7
36
28
336
85
962
885
(99.0%)
374
50
3
4
7
36
27
336
82
919
843
(94.3%)
組織的
技術的
372
14
46
15
3
0
4
4
7
2
36
13
26
3
315
42
80
18
889
111
815
100
(91.2%)
(11.2%)
改善措置
その他の 実施せず
対策
395
50
3
4
7
33
26
334
83
935
862
(96.4%)
2
0
0
0
0
0
0
0
0
2
2
(0.2%)
不明
1
5
0
0
0
0
0
0
1
7
7
(0.8%)
所管省庁等による対応
個人情報 その他の
保護法に
対応
基づく対
2
0
0
5
0
0
0
1
0
0
1
3
0
0
0
0
0
0
3
9
2
9
(0.2%)
(1.0%)
−126−
(注)1.表中の「組織的」安全管理対策とは、安全管理責任者の設置、社内規定の整備、教育・研修の実施、監査の実施等を指す。
「技術的」安全管理対策とは、ファイアウォールの構築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等を指す。
「その他の対応」とは、詫び状の送付、専用窓口の設置、カードの差し替え等を指す。
2.「安全管理対策」と「その他の対応」は複数回答。
3.合計欄の( )内は、全体の件数に対する割合を指す
資料;内閣府国民生活局「個人情報保護法の施行状況について(平成 17 年度上半期)
」
−126−
(3) 新聞記事検索、WEBサイト検索による事例収集
本来、本章においては、中小企業の事件事故事例について抽出することを目的としてい
るが、以下に本章節に示す調査においては、収集できた事例のほとんどが大企業のもので
あり、中小企業事例の抽出は事実上不可能であった。ただし、事例の中には大企業の系列
の販売代理店、F.C といった中小企業性を含む事例や公立の学校、病院などの事例もあり、
中小企業にとっても参考になると考えられる。
A.事件事故に関する検索件数
インターネットには個人情報関連の情報を収集・整理したサイトがいくつか存在し、個人
情報漏洩事故に関するニュースが整理・掲載されている。
例 え ば 、 日 経 ネ ッ ト の IT-PLUS に お け る セ キ ュ リ テ ィ ー の サ イ ト
( http://it.nikkei.co.jp/security/index.aspx )、 ヤ フ ー ニ ュ ー ス の 個 人 情 報 の 流 出
(http://dailynews.yahoo.co.jp/fc/domestic/customer_information/)、IT 保険ドットコム
の個人情報漏洩事件一覧(http://www.it-hoken.com/cat_aeieoieioeie.html)等である。
また、日経テレコンの新聞記事検索(対象は日本経済新聞朝刊。同一事件事故の重複掲
載や事件事故以外の記事も含まれる、かなりその割合は高い)において、
「情報漏えい OR
顧客情報流出」を検索キーワードにした 17 年度上半期のヒット件数は 119 件、
「個人情報
AND 流出 OR 紛失 OR 漏洩」のヒット件数は 245 件となっている。
いずれも前掲した内閣府の調査による事業者の情報漏洩件数(894 件)よりも大幅に少
ないが、これは主な情報源がマスコミやインターネットからによるためと考えられる。こ
れらか見ると、現状では内閣府のデータが最も充実している可能性が高い。
B.検索事例における事件事故の内容
次に上記の事件事故についてその内容を見る。A.における新聞記事検索(「個人情報
AND 流出 OR 紛失 OR 漏洩」のヒット件数 245 件)において、各新聞記事の見出しに
含まれる用語から事件事故の内容を類推する。
見出しに「紛失」が含まれる件数は 26 件(10.6%※245 件を分母とする。以下、%につ
いては同様)
。
「盗難」が含まれる件数は 6 件(2.4%)、
「不正アクセス」が含まれる件数は
5 件(2.0%)となっている。
前掲した内閣府における調査では、漏洩原因は、不注意(677 件、75.7%)に対して意
図的な漏洩(165 件、18.5%)と不注意が 3/4 を占めている。「紛失」については
不注
意 によるものと捉えることができる。
「不正アクセス」については、ほぼ 意図的 と捉
えることができる。
「盗難」については、対象が鞄、PC 等の場合、必ずしも個人情報を目
的にしていない可能性がある場合も多く、一律に意図的と言えない場合もあるが、どちら
かといえば第三者による
意図的
な漏洩と捉えることができる。
新聞記事検索等の結果は、総件数には事件事故以外の検索結果が含まれるため、総件数
におけるパーセンテージは、内閣府の調査に比べて低くなる。また、規模の小さい紛失事
−127−
故は新聞に掲載される確率も下がると考えられる。一方、盗難や不正アクセスは紛失に比
べると刑事事件性もあり、新聞に掲載される確率は上がると考えられる。このような要素
を勘案すると、不注意(=「紛失」)と意図的(=「盗難」、「不正アクセス」)として捉え
ると、その比率は内閣府の調査と比べて妥当と考えられる。
C.個別事例に対する詳細調査
A.の新聞記事検索等の結果から、B.の見出しの用語により分類した事件事故の事例につ
いて、企業のサイトにアクセスすることにより情報を収集し、ケーススタディとして整理
する。
なお、以下の事例の選択に当たっては、極力、事故のバリエーションの網羅性の確保に
努めること、大企業の系列の販売代理店、F.C といった中小企業が関係する可能性が高い
ものを重視することを念頭において行った。
a.紛失
紛失については、内部管理における誤廃棄、外出先や現場における置き忘れ・落とし物
といった要因とされているが、紛失物の発見や拾得者からの連絡がない限り、実際の状況
は不明である。また、当然のことではあるが、紙媒体に比べて CD-ROM やフラッシュ・
メモリ等の電子媒体の紛失の場合、漏洩する情報件数は格段に多くなっている。
いずれにしても、これらの事例からは、ネットセキュリティといった技術的な管理策よ
りも、個人情報とそれを含む媒体の管理策の徹底(紛失に気づかないことがないようにす
ること)。営業等の外出における個人情報の持ち出しは最小限にとどめるといった、組織的
な管理策のなかでも基本的な事項の遵守を徹底することが重要である。
図表 3−4 紛失の事例詳細
漏洩経緯
対応策
企業名
概要
漏洩件
「株式会
誤廃棄
任意保
社ホンダ
(未裁
険証券
プリモ新
断で廃
控(紙) 生年月日、電話番号、車種、車輌登録番号、車台番号、初度
お詫び。
福岡」中
棄)
157 件
登録、車検完了日、証明書番号、保険の契約内容、保険の保
販売店共々管理体制
険期間、保険料が記載されていた。
の強化に努める。
(本
数
央営業所
平成 17 年 3 月 28 日、お客様の「任意保険証券控」などの
当該期間のお客様に
コピー29 名分が同封された投書があり、お客様の氏名、住所、 販売会社より報告・
販売会社での調査の結果、上記 29 名分 29 枚を含む「任意
保険証券控」など 157 名分が裁断処理しないまま廃却されて
田技研工業(株)で
対応)
いた可能性があった。お客様情報の不正使用等の事実は確認
されていない。
http://www.honda.co.jp/news/2005/c050405.html
大阪ガス
社外に
領収書
大阪ガスは、株式会社ヤマキにガス料金等の収受、ガスの
株式会社
て紛失
控(紙) 開閉栓等の業務を委託している。
(業務委
(原因
26 件
託先は株
不明)
9月7日から該当さ
れるお客さまを個別
9月6日にヤマキの作業員が、
「領収証」
(1冊 50 部綴り。) に訪問し、事情説明
を持ち、社有車で顧客先数件を訪問、予定作業終了後、事務
式会社ヤ
所へ帰社し書類の確認を行ったところ、当該「領収証(控)」
マキ)
(領収証(控)には、お客さまの情報として氏名、住所、ガ
−128−
とお詫びした。
スのご使用番号、領収日、領収金額、件名が含まれている)
を紛失していることに気がついた。
直ちに、当日の経路、事務所内、車中および駐車場を捜索
するとともに、所管の警察署に遺失届を提出いたしました
が、現時点で発見には至っていない。
紛失したお客さま情報が外部に流出し利用された事実は
確認されていない。
http://www.osakagas.co.jp/Press/pr05/050908_2.htm
みちのく
誤廃棄
銀行
お客さま情報が記録された CD−ROM(バックアップ用)3
今後、本件 CD-ROM
ROM3
枚が行内で紛失していることが判明(お客さま情報:氏名、
(バックアップ用)
枚
住所、電話番号、生年月日、年齢、預金残高、貸出金残高な
を各部へ送付するこ
約 131
ど)。
となく、事務システ
CD
−
万件
紛失が明らかになったのは 4 月 20 日(水)。搬送ルートを遡
ム部で一括管理する
ると 4 月 12 日(火)から所在不明となっていると考えられる。 こととした。
それ以降、探索を続けているが、発見されていない。
誤って廃棄した可能性が高いと認識。パスワード等による
セキュリティ対策を講じているため、お客さま情報の漏えい
懸念は極めて低いものと考えている。現在のところ二次被害
等の事実は確認されていない。
原因は行内における部門間の情報関連電子媒体の授受確
認が不明確で、相互牽制機能が働かなかったことによる。
http://www.michinokubank.co.jp/news_release/20050422_
03/
佐賀県庁
立寄先
フラッ
当該職員は、9月 23 日午前1時過ぎに業務を終え帰宅す
10 月 13 日に警察
での紛
シュメ
る際、9月 24 日の教員採用候補者選考試験に使用する可能
に紛失届けを提出。
失
モリ
性があると判断し、フラッシュメモリをセカンドバッグに入
教員採
れ持ち出した。
関係者(2,119 人)
に事故経緯等の説明
用試験
当該職員は、9月 23 日午後5時頃さが健康ランドに行っ
及び謝罪と二次被害
受験者
た際に、フラッシュメモリを入れたままのセカンドバッグを
の注意喚起のための
(1,606
持ち歩いた。
(その際紛失)
信書を 10 月 16 日ま
人分)等
当該職員は、10 月1日にフラシュメモリを使用するため、 でに発送。
セカンドバッグの中を見て入ってないことに気づき、10 月3
日まで心当たりを探したが見つからず。
17 日、教育庁内各
課長に口頭で、教育
10 月3日正午過ぎにフラッシュメモリを拾得した旨匿名
事務所長にはメール
の男性から電話があり、当該職員に確認したところ、紛失し
でプライバシーポリ
たことが判明。 当日、この男性からこの他2回電話があり、 シー及び行動プログ
拾得した場所(さが健康ランド駐車場)や 10 月6日に会う
ラムの周知徹底を図
こと、そのために 10 月4日に連絡してもらうことを約束し
る。
10 月 15 日から教
た。
その後、男性から連絡はない。
http://www.pref.saga.lg.jp/portal/public/WH/FWHM0000A
職員課に相談窓口を
設置。
ction.do
b.誤送付・プログラムミス
誤送付については、大半は電子メール、FAX の送付先を誤りといったものであるが、シ
ステムのプログラムミスにより他人の個人情報が閲覧可能となるといったものや宅配業者
−129−
のミス(宛先ラベルの二重添付)の事故も発生している。
電子メールについては、日常的で瞬間的なワンクリックの作業・動作の誤りにより、送
付先の秘匿等大きなミスが発生する上、FAX 等に比べて一度に大量の誤送付を発生させる
可能性が高い。
誤送付については、メールソフトの設定やシステムプログラムなど可能な限り技術的な
管理対策を行った上で、その使用方法や作業における注意の徹底など組織的な管理対策が
重要になる。
図表 3−5 誤送付・プログラムミスの事例詳細
企業名
概要
漏洩件
東京電力
メールアド
メ ール アド
レスの誤
送信
漏洩経緯
対応策
数
東京支店品川支社では、送信先のメールアドレスを表示し
送 信 先 に お 詫び
レス
ないように設定すべきところを、誤って氏名及びメールアド
のメールを送信。流
170 件
レスが互いに知りうる状態で 170 名に送信。
出防止のために誤
翌日に送信先のお客さまからご指摘を受け、確認したとこ
送信メールの削除
ろメールアドレスを表示した形で送信したことが判明。
をお願い。個別に電
http://www.tepco.co.jp/kaifuku/kojin/jishou/05081801-j.html
話連絡を行い、お詫
びとご説明。
茨城銀行
Fax の
平成 17 年 3 月 31 日、お客さまの外国送金依頼書 3 件(送金
誤送信
依頼人さまおよび受取人さまの住所、氏名、口座番号、送金
金額等が記載)を外為事務委託銀行宛ファックス送信。その際
に、ファックス番号を誤入力したために、誤送信となった。
平成 17 年 4 月 4 日、誤送信した相手さまより電話による苦
情の申し出となり、情報流出したことが判明。
誤送信した相手さまからの電話での苦情受付の中で、書類
回収のために住所をお尋ねしましたが教えていただけず、さ
送 金 依 頼 人 には
直接訪問しお詫び。
フ ァ ッ ク ス 送信
時における行内ル
ールの再整備を進
めており、4 月中旬
には体制が整う見
通し。
らに、相手さまのファックスには非通知設定がなされており
特定することができていない。現在も誤送信先の特定に全力
をあげておりますが、当該依頼書が回収不可能となることが
予想される。
http://www.ibagin.co.jp/news/2005/0413/index.htm
トヨタ自
プログラ
500 件
トヨタ自動車が開発し、全国トヨタレンタリース店のリース
動車株式
ムミスに
(閲覧
のお客様が使用する TCM サポート
(車両管理 WEB システム) てしまったお名前
会社
より、
された
において、入力した車両データの一部が、他のお客様から閲
他人の
可
覧可能となる不具合が発生していたことが判明。
個人情
性)
能
閲 覧 可 能 と なっ
等は既に削除済み。
プ ロ グ ラ ム のミ
この不具合は、お客様に再リースいただいた契約について、 スについてもすで
報が閲
お客様にてご入力いただいた運転者名、駐車場情報等のデー
覧可能
タが、旧契約のデータから新契約のデータに引き継がれる際、
となる
プログラムの作成ミスが原因で、誤って他の契約データに引
に修正済み。
き継がれてしまったことにより発生した。
http://www.toyota.co.jp/announcement/050810.html
株式会社
宅配便
DVD 通信販売において、お客様に 8 月 5 日より宅配便で商
8 月 11 日付のお
ソニー・
の宛先
品をお届けする際に、一部の方に宛先ラベルが二重に貼られ
詫びとお知らせ(弊
マガジン
ラベル
た状態で発送してしまった。
社ホームページ/
不明
−130−
ズ
を二重
(配送業
に張る
http://www.sonymagazines.jp/popup2.html
メール/文書)。
8 月 20 日から順
務を佐川
次、宛先ラベルを回
急便に委
収と再生不可能な
託)
形での破棄。
委 託 先 に 作 業行
程の注意と改善を
促し、委託先の作業
監督を強化。
c.winny による流出
winny(ファイル共有ソフト)による個人情報の流出が相次いでいる。これは winny が
インストールされた PC(個人&企業所有)のにおいて、個人情報を含む業務用のファイ
ルを使用し、その情報がネットワークを介して漏洩するものである。
概して、企業では規則等において、個人所有 PC の業務における利用は禁止されており、
企業所有の PC に許可なくソフトウエア(winny 含む)をインストールすることも禁止さ
れているはずである。問題は規則の徹底とともに社員が業務を遂行する上で実質的にそれ
が確保できるようになっていることである。
図表 3−6 winny による流出の事例詳細
企業名
概要
漏洩件
漏洩経緯
対応策
数
九大進学
winny
ゼミ(運
による
4941 件
営は(株) 流出
校舎責任者が私的に所有するパソコンがウィルスに感染
①個人所有パソコ
し、同パソコンを会社の業務に流用していたため、パソコン
ンの「会社への持
内にある個人情報を流出させた。
ち込み禁止」と「会
ご迷惑をおかけしたご家庭に対してはお詫びと説明をさせ
ヒューマンネット
ワーク)
社業務での使用禁
ていただくとともに、2次的な被害の発生についても確認さ
止」
せていただいておりますが、現在まで、第三者による個人情
②個人情報を取り
報の不正利用等の事実は確認されていない。
扱うパソコンの社
流出件数は 4941 件(うち 4640 件は氏名・学年・校舎名、 外持ち出し禁止
学費が記載、301 件は、電話番号・住所等、個人の家庭を特
(個人情報を取り
定できるデータが含まれる、この 301 件のうちテスト結果・ 扱うノート PC の
九州電力
〃
不明
通知表の結果等の成績が含まれているものが 99 件、口座番
廃止)
号が流出している情報が 23 件)
③新イントラネッ
http://kyushin.acz.jp/051226.pdf
トの早期導入
平成 17 年 9 月、当社社員の個人パソコンから,ウイルス感
染により Winny ネットワーク上に火力発電プラントに関す
る技術資料等が流出していたことが判明。
流出した情報は,火力発電所の技術資料,出張報告書及び
社内手続きの記入要領書と資料に記載されていた個人情報。
http://www1.kyuden.co.jp/press_h050916-1
−131−
再発防止に全力で
取り組む所存。
d.盗難(車上荒らし、不法侵入)
盗難については、車上荒らしの件数が多くなっている。盗難については、PC データの
暗号化等技術的な管理対策も必要であるが、それ以前に営業等の外出における個人情報の
持ち出しは最小限にとどめ、必ず身の回りに携帯するといった基本的な組織的な管理策や
お客様が出入りするような場所には個人情報を保管しないといった物理的対策の確立と遵
守を徹底することが重要である。
図表 3−7 盗難(車上荒らし、不法侵入)の事例詳細
企業名
概要
漏洩経緯
漏洩件
対応策
数
常陽銀行
盗難(車
対象顧
平成 17 年 9 月 20 日(火)23 時頃、利根支店の営業係の
上荒ら
客は 56
行員が同僚と竜崎市内の飲食店で飲食後、乗り着けた自家用
し)
先(うち
車の代行を頼んで帰宅しようとしたところ、車助手席側後部
お客様の情報の
個人 32
の窓ガラスが割られており、後部座席に置いていた鞄が盗難
厳格な取扱いを継
名)
されているのを発見。直ちに、警察に届け出するとともに、
続的に教育し、再発
当行で近辺を捜索したが、現在まで未発見。
防止に努める。
個別に報告し、お
詫び。
情報の内容は会社名(氏名)
、住所、取引状況(預金、貸
出金)、所在地を印した住宅地図等。なお、許可なく顧客情
報を持出すことは規定違反。
http://www.joyobank.co.jp/
17 件
埼玉県保
盗難(車
平成17年8月31日、児玉福祉保健総合センター職員
該当者にお詫び。
健医療部
上荒ら
が、母子寡婦福祉資金償還事務実施のため出張し、最後に、
早急に地域機関
し)
母子寡婦福祉資金の就学資金貸付者の様子を見に立ち寄ろ
の所長を招集し、管
うとした。(11:20 頃)
理のあり方の徹底
相手方自宅前は狭く、車が止められないため、近くの薬局
を指示する。
駐車場を拝借した。何も買わないのは気が引けたため、薬局
へ立ち寄り買い物をした。
買い物後車の側を通ったところ、車上荒らしに遭い、ケー
スとバックを盗まれてしまったことに気づく。持っていた書
類についてはケースに入れ、私用のバックとともに車内に置
いたが、外から直接見えないように布で覆っておいた。
ただちに、警察に連絡した。(11:30 頃)
http://prosv.pref.saitama.lg.jp/scripts/news/news.exe?mode
=ref&yy=2005&mm=8&seq=255
7 月 12 日未明、東京都町田市のコスモ石油系列特約店のサ
直ちに管轄警察
え
ービスステーション店頭において、クレジットカードでお買
に被害届を提出。対
152 件
い上げいただいたお客様の伝票控え(合計 152 件)の盗難事
象カードホルダーのお客
件が発生いたしました。
様を全員特定し、連
コスモ石
盗難(店
伝票控
油
頭)
伝票上には氏名、カード番号、有効期限などの情報が記載。 絡。個人情報の不正
http://www.cosmo-oil.co.jp/press/p_050713/index.html
利用を未然に防ぐ
手続きを実施。
−132−
9 月 11 日夜半から 9 月 13 日未明にかけて、同社春日店が
クレジットカー
事務所荒らしの被害に遭い、金庫が抉じ開けられて、現金や
ド会社各社に連絡
岡株式会
使用済み領収証などと共に保管されていたお客様のクレジ
を取り、万一にもお
社
ットカードご利用に係るカード売上票(カード会社用)が盗
客様にカード不正
まれる。
利用などの被害が
トヨタカ
盗難(不
ローラ福
法侵入)
不明
カード売上票(カード会社用)には、お客様のお名前(自
発生することのな
筆サイン、アルファベット表記)、ご利用いただいたクレジ
いように万全の対
ットカードの会員番号・有効期限、ご利用金額などが記載。
策を依頼。
直ちに筑紫野警察署に被害届けを提出し、捜査を開始して
もらった結果、9月 20 日犯人逮捕。
http://www.tns.ne.jp/tcfsaiyo/corolla_f/tounan/index.html
ミサワホ
盗難(不
ーム東海
法侵入)
株式会社
34 件
平成 17 年6月 15 日(水)午前 3 時頃、委託先の警備会社
お客様には、既に事
より弊社分譲地内事務所のガラスが割られ、何者かが不法侵
実関係の報告及び
入したとの通報あり。すぐに社員が事務所まで向かい確認
謝罪。
し、ノート型パソコン2台、社員本人所有の鞄1つが盗難。
警察署に盗難届けを提出いたしました。鞄については、6
再発予防は以下
の通り。
月 15 日(水)午前6時頃に発見され、24 件分のお客様情報
(1)会議用資料か
が含まれていたファイルは全て回収できた。
ら個人情報に関連
34 件のお客様情報には、氏名、住所、建築地、請負金額、 する項目を削除。
勤務先等の内容が含まれていた。なお、コンピュータシステ
(2)ノート型パソ
ムを管理するセクションから6回に亘って個人情報対応の
コンの保管場所及
通達を発行しておりましたが、今回の事務所では「パスワー
び保管方法など、盗
ド化」「暗号化」が未処理だった。
難対策を行う。
http://www.misawa-toukai.co.jp/info/050620.html
(3)「起動パスワ
ード」設定とデータ
の「暗号化」等の再
徹底。
(4)システム担当
にて全パソコンの
状況調査と、適切な
指導を実施。
(5)さらなるセキ
ュリティ技術の導
入の検討。
−133−
e.不正アクセス
不正アクセスについては、外部の第三者の対策のみならず、従業員等の内部の人間に対
してもネットワークシステムの強化など技術的管理対策が重要である。
図表 3−8 不正アクセスの事例詳細
企業名
漏洩経緯
対応策
概要
漏洩件
従業員
個人情
による
報の流
情報流
出が確
楽天市場の取引情報であると判明したものの全てが、すで
新顧客情報管理体制
出
認され
にご報告済みの店舗(株式会社センターロード、店舗名:
(個人情報のうち、
数
楽天
7 月 22 日にマスコミからの情報提供により、警察当局へ相
談すると共に事態の確認と調査を開始。
お詫びのご連絡をメ
ールにてご案内。
たのは、 AMC)のものであることを確認。
クレジットカード番
36,239
件
なお、10 月 27 日に当該店舗の元従業員が逮捕。また、漏
号、メールアドレス
洩経緯は明確に記述されていないが、システムが店舗は取引
が店舗側では見られ
情報(含むカード情報)をダウンロードにより取得可能にな
なくする等)の導入。
っており、それに利用して当該元従業員が情報を引き出した
と見られる。
http://www.rakuten.co.jp/com/faq/information/20050723.ht
ml
株 式 会
不正ア
5,124
社 ワ コ
クセス
件
ール
による
11 月 7 日、ワコールオンラインショップご利用のお客様か
11 月 17 日より 2 月
ら、インターネット上でのクレジットカード不正使用につい
7 日までワコールオ
てお問い合わせがあり、調査を開始。
ンラインショップの
11 月 17 日、これらのクレジットカードの不正使用とワコ
流出
ールオンラインショップのお客様に関連があると判断し、デ
ータ流出経路の特定作業を実施。
11 月 18 日、サーバーに外部からの不正アクセスの形跡を
発見。ワコールがインターネットショッピングシステムの運
サービスを停止。
個別にお詫びとお
知らせ。カスタマー
センターのフリーダ
イヤルにて対応。
用業務を委託しているNECネクサソリューションズ株式会
強化策の実施後、
社が管理するサーバーに外部からの不正アクセスがあり、顧
第三者によるセキュ
客データが流出したことが判明。
リティ診断を行うこ
流出したデータは、注文番号、クレジットカード番号、有効
とで安全を確認。
期限、お客様番号、住所、電話番号が含まれる。
なお、不正アクセスをした者の特定に関する情報は掲載さ
れていない。
http://www.wacoal.co.jp/owabi0511/index4.html
(1)2005 年 3 月 27 日、6 月 27 日に顧客情報を対象とした
ガ ン ホ
不正ア
550 件
ー・オン
クセス
(3/27) データ(ID のパスワード、メールアドレス、秘密の質問、
ラ
イ
による
502 件
ン・エン
情報改
(6/27) に関しましては、改ざんの事実はない。
タ ー テ
ざん
各種パスワード変更。
お客様へ状況報告と
秘密の答え等)の改ざん。クレジット情報を含む「信用情報」 お詫び。問い合わせ
顧客情報データがダウンロードされていた痕跡が確認されな
窓口の設置。
技術担当役員等 3
イ メ ン
かったこと、第三者から流出の指摘がこれまでになされてい
名を譴責処分。
ト 株 式
ないことなどから、当該顧客情報が流出した可能性は現時点
再発防止策として、
会
では極めて低いものと判断。
①ルール厳格化、重
なお、改ざんした者を最終的に特定はできず。
要情報取扱い部署の
http://www.gungho.jp/important/2005_10_13.asp
物理的なセグメント分け
等の運用面の対策。
−134−
②セキュリティポリシー制定
と厳格な運用、教育、
監査、委託選定基準
の見直し等制度面の
対策
③アクセス許可ルー
ト、管理 ID/パスワ
ードと管理者区分の
見直し、データベー
スへのアクセスログ
確認とデータの整合
性チェック実施の強
化等ネットワークシ
ステム面の対策
(4) 事故事例調査のまとめ
ヒアリングによる業界団体の把握状況は概して事故事例の情報をランダムに認識してい
る程度であった。ヒアリングをした認定個人情報保護団体の業界団体でも、認定団体とな
って間もないことや会員事業所数も少ないためか、把握しているのはわずかな件数であっ
た。このような点から現状では中小企業における事件事故の発生と対応の状況を体系的に
把握することは、かなり難しいと考えられる。
一方、内閣府による調査では、事業者からの個人情報漏洩事案(平成 17 年度上半期)
の件数は 894 件となっており、漏洩原因は不注意 75.7%、意図的な漏洩 18.5%と不注意
が 3/4 を占めている。改善措置は組織的対策(安全管理責任者の設置、社内規定の整備、
教育・研修の実施、監査の実施等)が 91.2%に対して技術的対策(ファイアウォールの構
築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等)は 11.2%
とわずかとなっている。
また、新聞記事やインターネットの検索による事例調査によると事件事故の内容は、誤
廃棄等による紛失が最も多く盗難や不正アクセスは少ない。不正アクセスについては技術
的管理対策が重要であるが、それ以外は個人情報保護に限らない基本的な組織的管理対策
の遵守を徹底が重要である。
誤送付については、メールソフトの設定やシステムプログラムなど可能な限り技術的な管
理対策を行った上で、その使用方法や作業における注意の徹底など組織的な管理対策や物
理的管理対策が重要である。
−135−