日弁連コンピュータ委員会シンポジウム'04
お題:『個人情報漏洩事件とその対策』
場所:弁護士会館2階 講堂クレオ
■基調講演
◆2004年ネットワーク法判例回顧
- 判例の紹介
◆個人情報漏洩事件簿
●三洋信販事件(梶谷篤 弁護士)
- 事件の発端
- 流出経路
- 外部調査会社によって調査されたが、流出経路は不明のまま。
- 外部からは可能性が低く、内部からの方が可能性が高い、という程度が判明。
- 事件の波及
- 架空請求あり。しかも「迷惑かけたので今なら半額の金額で完済とさせていただきます」というもの。
- 問題点
- 結局流出経路は不明のままとなった。
- 誰が侵入したのかも不明。
- 事件の概要
- 2003年11月8日、AD200Xのプレゼン資料で某サーバの脆弱性等を公開。また、事前に入手した個人情報4人分をプレゼン資料に記載。
- レンタルサーバ会社側
- 弁護側の主張
- アクセス制御機構はなかった。
●Yahoo!BB事件(岡澤成彦 弁護士)
- 事件の概要
- 新聞報道によると漏洩した個人情報は660万件にのぼる。
- 同時に2つの恐喝未遂事件(それぞれ、Y事件、K事件とする)が発生した。
- K事件
- Kは、勤務していた中部サポートセンターのPCに外付けHDDをつけ約90万件の加入データを持ち出した。
- 電子データのプロパティにKの名前が記載されてあり、それが決め手となった。プロファイルは重要です!(きぱ
- Y事件
- 二次流出
- 当初はないと思われていたが、最近発覚?
- Yahoo!BBで新たな個人情報流出か - 900件を確認
◆情報漏洩の企業における管理策
- 背景
- 管理の不徹底が顕在化した
- ITに関する脅威の技術が現れたわけではない
- 企業の管理が不十分だったり、不徹底だったりした影響
- 環境が変化したのであれば、それに追従する必要がある
- 企業における機密情報
- 自社の機密情報
- 何があるのか推察しやすい
- 預かり機密情報
- 何があるのか推察しにくい
- 顧客の個人情報はこちらに分類される
- 預かり情報の中の個人情報
- 見れば個人情報だとわかる。
- 狙われやすい(お金になる)
- 自社の機密情報
- 管理の不徹底が顕在化した
- 対策の考え方
- 性悪説だけでは企業は成り立たない
- 不正アクセスの類型
- 情報漏洩防止の基本原理
- 企業における2種類の個人情報
- 持たざるを得ない個人情報
- 持たなくてもよい個人情報
- 利用しない情報は聞かない。
- 郵送物を送る計画がない場合、予算を確保していない場合は、住所を聞かない
- 再利用しない情報は、利用後消去を義務付ける。
- 企業における2種類の個人情報
- 委託関係との注意事項
- 委託発注者は一次的な個人情報取り扱い事業者。
- 「ちゃんとやってね」という発注の仕方はありえない。
- 発注者は安全仮措置を明確にして発注すること。
- 指示をすればするだけ、見積もりはあがる。安いと予算なりの対策しか実施できない。
- 具体的に書いてなかった場合、発注部署の責任となる。
- 個人情報のライフサイクル
- 処理が次に移るときに情報漏洩が発生しやすい。
- 取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・破棄の各処理で、権限を持っている人とそうでない人を明確にし、対応策を考える。
- 事故対応≠事後対応
- 個人情報保護対策だけを行なうのはありえない。
- 全部デスクトップPCにします!というのもアリエナイ。
- 遅延ない対処の確立が必要(事故の発生を想定した体制の確立が必要)
- 事前に様々なケースを考え、計画を立てておく。
- 例外処理も考える(重要)。
- オプトイン/オプトアウト
- 個人情報保護法は「利用目的を明確にし、情報元に合意を得る」というものが主旨。
- 個人情報の利用の可否を個々人に対して明確にする必要がある。
- 企業における個人情報の位置づけ
- 取得した情報をどう活用するか、ということを考える。
- 郵送でつまらないDMを送ると、顧客から住所の利用停止を請求される可能性もある。
- 全国民から情報の利用停止を請求されると、何もできなくなってしまう。→こっちの方も大切。
■パネルディスカッション(目指せライブ中継!(違
主旨:
目指すものは高信頼性社会。事故がおきたときでもビジネスが継続できるように、という社会システムを作る必要がある。「では、実際に起きた事件から何を学ぶ必要があるのか」という点を基調講演で触れてきた。
議論:
3つの情報漏洩事件の比較表から。
まずは“何が漏れたか?”。
2番目は“何件漏れたか?”
3番目は“どうして個人情報が入手できたのか?”
焦点になるのは、宇治市の情報漏洩事件。
(事例自体は、最高裁判所からダウンロード可能)
宇治市からソフト開発を委託。実態は、孫受けのアルバイトの学生が開発を実施。
学生がデータをHDDにコピーし、MOにコピーして名簿業者に売却(21万件)。
売りに出されただけで十分侵害している、という判断。
では、企業としては?
企業としての対策は、ルールと手順を決めることが重要。
一番最初にすべきことは、所有している情報資産の洗い出し。
それらに対してどのように対策するかを検討する。
ITセキュリティアーキテクチャーを書き、バランスの取れた対応策を考える。
情報資産の洗い出し方法:
- 新たにできるもの→資産価値を評価し、検討する(100%徹底させる)。
- 既存のもの→未評価としておき、使うときに評価する
という手法もある。
弁護士としては、金銭的なものに換算して考えがち。
情報元に対する金銭的なものを検討してみる。
三洋信販の場合、与信情報まで漏れている。また、回収しにくいという状況である。
会社側の損害費用としては、情報の回収費用も含まれてくる。
流出した情報の価値を考える。
- 基本情報
- 犯罪歴に関する情報
- 病歴に関する情報
- 経済的情報
企業側の対策はどうすればいいのか?
ここまでやってたらならしょうがない、と言われるようなレベルまでやらないと「対策が不十分」と評価される可能性がある。
外部からの不正侵入だけではなく、内部犯行についても考える必要がある。最近の新しい技術を導入することが必要で、「社員を信用しないのか?」という議論になりかねない。しかし、悪いことをしなければ問題はないはず。
性悪説を前提としていた場合、ことが起こったときだけ「信用するから調べて」という議論は成り立たない。少なくともツールを使って管理する人は信用できる人である必要がある(絶対条件)。
「良かれと思ったのに・・」というケースもある。土日に自宅で仕事をしようとしたが、帰宅途中で情報漏洩事件を起こす等。
「コンサルタントに高いお金を払って作ってもらったポリシーなのに、がちがちで使い物にならない」という相談がある。いったん受け取って他とのバランスを考えて使う、という方法もある。まず、まかせっきりにするのは間違い。*1
Forensicsについて(Forensicsは最近注目されている概念)
ユーザ操作を記録する。そのため、やってないということも明確になるかと思われる。
警察の協力体制も必要。そのとき、どのような形で協力をお願いするかを検討する必要がある*2。
●Q&A
PCのバッテリーがなくなったりで、バタバタしてたのでメモれてません(^-^;