日弁連コンピュータ委員会シンポジウム'04

個人情報

お題:『個人情報漏洩事件とその対策』
場所:弁護士会館2階 講堂クレオ


■基調講演
◆2004年ネットワーク法判例回顧


◆個人情報漏洩事件簿
三洋信販事件(梶谷篤 弁護士)

  • 事件の発端
    • 2004年1月5日、外部から個人情報流出の指摘があり。
    • 2004年2月21日、朝日新聞で顧客情報32万件流出の報道。内、322件の情報提供を受け、769人分の顧客データであることが判明。
    • 2004年5月20日朝日新聞で116万人分のデータを入手との報道。内、1162人分の提供を受け、確認(全データの提供をお願いしたけど拒否された)。
  • 流出経路
    • 外部調査会社によって調査されたが、流出経路は不明のまま。
    • 外部からは可能性が低く、内部からの方が可能性が高い、という程度が判明。
  • 事件の波及
    • 架空請求あり。しかも「迷惑かけたので今なら半額の金額で完済とさせていただきます」というもの。
  • 問題点
    • 結局流出経路は不明のままとなった。
    • 誰が侵入したのかも不明。


office氏事件(鈴木誠 弁護士)

  • 事件の概要
    • 2003年11月8日、AD200Xのプレゼン資料で某サーバの脆弱性等を公開。また、事前に入手した個人情報4人分をプレゼン資料に記載。
  • 背景事情
    • ACCSはデジタル著作権著作権侵害の実態を調査する社団法人であり、ユーザからの問い合わせをWebサーバ上のCGIで行なっていた。
  • ACCSとレンタルサーバ会社のコメント
    • 本質的な原因として、「ACCSは、ASKACCSのホームページについて、セキュリティチェック等の充分な検証を実施していなかった。また、当該CGIプログラムを採用するに際しても、特にセキュリティ上の検証を行っていなかった」と記載されている。
  • レンタルサーバ会社側
    • CGIに問題があるという情報は知っていたが、ACCSへの通達が行なわれなかった。
    • レンタルサーバ会社のWebサイトでは「脆弱性情報の公開がお客様の二次被害につながる恐れがあることに鑑み、脆弱性情報を原則として非公開とすることをポリシーとしております。しかしながら、今回の事件を受け、当社のポリシーが必ずしも最善の策とならないことを認識いたしました」という発表あり。
  • 弁護側の主張
    • アクセス制御機構はなかった。


Yahoo!BB事件(岡澤成彦 弁護士)

  • 事件の概要
    • 新聞報道によると漏洩した個人情報は660万件にのぼる。
    • 同時に2つの恐喝未遂事件(それぞれ、Y事件、K事件とする)が発生した。
  • K事件
    • Kは、勤務していた中部サポートセンターのPCに外付けHDDをつけ約90万件の加入データを持ち出した。
    • 電子データのプロパティにKの名前が記載されてあり、それが決め手となった。プロファイルは重要です!(きぱ
  • Y事件
    • 登場人物
      • 派遣社員:SoftbankBBに勤めていた。リモートメンテナンス用のIDとパスワードを所有。
      • TY:元派遣社員からIDとパスワードを借りる。
      • MT:MHの婿
      • MH:主犯。
      • Y:恐喝犯
      • ある会社社長:MHにYを紹介。
    • 派遣社員からIDとパスワードを聞き、インターネットカフェからSoftbankBBのデータベースに侵入(アカウント自体は共有アカウントであり、2年以上パスワードが変更されていなかった)。
    • 660万件の個人情報のほか、140件のBBフォンの通話記録を不正に入手。
    • 会社社長と元派遣社員は起訴されていない。


◆情報漏洩の企業における管理策

  • 背景
    • 管理の不徹底が顕在化した
      • ITに関する脅威の技術が現れたわけではない
      • 企業の管理が不十分だったり、不徹底だったりした影響
      • 環境が変化したのであれば、それに追従する必要がある
    • 企業における機密情報
      • 自社の機密情報
        • 何があるのか推察しやすい
      • 預かり機密情報
        • 何があるのか推察しにくい
        • 顧客の個人情報はこちらに分類される
      • 預かり情報の中の個人情報
        • 見れば個人情報だとわかる。
        • 狙われやすい(お金になる)
  • 対策の考え方
    • 性悪説だけでは企業は成り立たない
      • 性善説を前提にして性悪説を想定する。性善説を前提としないと、ぎすぎすする。かといって性悪説を忘れてはならない。
      • 会社に備品を持って帰ることは“横領”です。
      • アメリカでは、性善説の対策が完了している。完了しているから性悪説への対応へシフトしている。
    • 不正アクセスの類型
      • アクセス権がないのにアクセスを試みる
        • 技術的な対策が必要
      • アクセス権限をもっているものの不正アクセス
        • 過失誤操作→誤操作を軽減するための仕組みを考える
        • 故意:権限の悪用→業務上必要な権限とITで必要となる権限の範囲は同じではない。-----IT技術としては、アノマリ検出で多少は回避できる?
          • あまり悪いとは思ってないケースもある(IDとパスワードを教える)
          • 教育を徹底する
        • 確信犯:業務上の権限で悪いことを行なう
          • IT技術では対応不可能?(アノマリ検知で検知できない可能性が高い)
          • 教育を行なっても無駄。
    • 情報漏洩防止の基本原理
      • 企業における2種類の個人情報
        • 持たざるを得ない個人情報
        • 持たなくてもよい個人情報
          • 利用しない情報は聞かない。
          • 郵送物を送る計画がない場合、予算を確保していない場合は、住所を聞かない
          • 再利用しない情報は、利用後消去を義務付ける。
    • 委託関係との注意事項
      • 委託発注者は一次的な個人情報取り扱い事業者。
      • 「ちゃんとやってね」という発注の仕方はありえない。
      • 発注者は安全仮措置を明確にして発注すること。
      • 指示をすればするだけ、見積もりはあがる。安いと予算なりの対策しか実施できない。
      • 具体的に書いてなかった場合、発注部署の責任となる。
    • 個人情報のライフサイクル
      • 処理が次に移るときに情報漏洩が発生しやすい。
      • 取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・破棄の各処理で、権限を持っている人とそうでない人を明確にし、対応策を考える。
    • 事故対応≠事後対応
      • 個人情報保護対策だけを行なうのはありえない。
      • 全部デスクトップPCにします!というのもアリエナイ。
      • 遅延ない対処の確立が必要(事故の発生を想定した体制の確立が必要)
        • 事前に様々なケースを考え、計画を立てておく。
        • 例外処理も考える(重要)。
  • オプトイン/オプトアウト
    • 個人情報保護法は「利用目的を明確にし、情報元に合意を得る」というものが主旨。
    • 個人情報の利用の可否を個々人に対して明確にする必要がある。
  • 企業における個人情報の位置づけ
    • 取得した情報をどう活用するか、ということを考える。
    • 郵送でつまらないDMを送ると、顧客から住所の利用停止を請求される可能性もある。
    • 全国民から情報の利用停止を請求されると、何もできなくなってしまう。→こっちの方も大切。


■パネルディスカッション(目指せライブ中継!(違
主旨:
目指すものは高信頼性社会。事故がおきたときでもビジネスが継続できるように、という社会システムを作る必要がある。「では、実際に起きた事件から何を学ぶ必要があるのか」という点を基調講演で触れてきた。

議論:
3つの情報漏洩事件の比較表から。
まずは“何が漏れたか?”。
2番目は“何件漏れたか?”
3番目は“どうして個人情報が入手できたのか?”

焦点になるのは、宇治市の情報漏洩事件。
(事例自体は、最高裁判所からダウンロード可能)
宇治市からソフト開発を委託。実態は、孫受けのアルバイトの学生が開発を実施。
学生がデータをHDDにコピーし、MOにコピーして名簿業者に売却(21万件)。
売りに出されただけで十分侵害している、という判断。

では、企業としては?
企業としての対策は、ルールと手順を決めることが重要。
一番最初にすべきことは、所有している情報資産の洗い出し。
それらに対してどのように対策するかを検討する。

ITセキュリティアーキテクチャーを書き、バランスの取れた対応策を考える。

情報資産の洗い出し方法:

  • 新たにできるもの→資産価値を評価し、検討する(100%徹底させる)。
  • 既存のもの→未評価としておき、使うときに評価する

という手法もある。

弁護士としては、金銭的なものに換算して考えがち。
情報元に対する金銭的なものを検討してみる。
三洋信販の場合、与信情報まで漏れている。また、回収しにくいという状況である。
会社側の損害費用としては、情報の回収費用も含まれてくる。

流出した情報の価値を考える。

  • 基本情報
  • 犯罪歴に関する情報
  • 病歴に関する情報
  • 経済的情報

企業側の対策はどうすればいいのか?
ここまでやってたらならしょうがない、と言われるようなレベルまでやらないと「対策が不十分」と評価される可能性がある。
外部からの不正侵入だけではなく、内部犯行についても考える必要がある。最近の新しい技術を導入することが必要で、「社員を信用しないのか?」という議論になりかねない。しかし、悪いことをしなければ問題はないはず。

性悪説を前提としていた場合、ことが起こったときだけ「信用するから調べて」という議論は成り立たない。少なくともツールを使って管理する人は信用できる人である必要がある(絶対条件)。

「良かれと思ったのに・・」というケースもある。土日に自宅で仕事をしようとしたが、帰宅途中で情報漏洩事件を起こす等。


コンサルタントに高いお金を払って作ってもらったポリシーなのに、がちがちで使い物にならない」という相談がある。いったん受け取って他とのバランスを考えて使う、という方法もある。まず、まかせっきりにするのは間違い。*1

Forensicsについて(Forensicsは最近注目されている概念)
ユーザ操作を記録する。そのため、やってないということも明確になるかと思われる。

警察の協力体制も必要。そのとき、どのような形で協力をお願いするかを検討する必要がある*2

●Q&A

  • office氏事件について。ACCS側は、cgiの安全性を検証できるだけの技術的な尿力能力が十分ではなかった。だとすると、それは紙ベースで処理を行なうべきであってcgiを利用すべきではないのかと思われる。スーパーカー等の速度の速い車を十分に乗りこなす能力が無いならそれは使わない、という選択肢をとるしかない。しかし、ITの分野では「他のWebサイトがそうしているから」という理由で簡単に色々と利用されているのが現状。個人情報保護法が施行されれば「安全管理措置」の名目のもと、Web運営側の責任を問えることになるだろう。

Q&Aは他にもあったんですけど・・・(^-^;
PCのバッテリーがなくなったりで、バタバタしてたのでメモれてません(^-^;

*1:個人的な意見としては、「現状を考え、実施できないことはポリシーとして定義しない。次回ポリシー改定で検討しなおす」というふうにした方がいいと思うんだけどなぁー

*2:どういう被害を受けて、犯人を捕まえてどうしたい、というのが明確になってないと・・・、だったと思います(汗