Appendix

広告

Entries

個人情報流出・漏洩の賠償・罰則、日本は甘い? アメリカは不正で罰金、Yelpは45万ドル


 アメリカは個人情報保護の不正や流出で罰金があるという話を知りました。罰金を課せられたというとイメージが悪いですので、良い対策かもしれません。(2014/10/4)

 個人情報流出関係ということで、別投稿で書いていた年金の個人情報が情報漏洩に関する話もこちらにまとめました。(2019/08/18)

2014/10/4:
●アメリカは個人情報保護の不正や流出で罰金 Yelpの場合45万ドル
●個人情報流出・漏洩の賠償・罰則、日本は甘い?
2019/04/28:
●よりによって情報商材サイトの個人情報が漏洩
2015/6/1:
●マイナンバー大丈夫? 初歩的なミスにより年金の個人情報が情報漏洩
●不正アクセス発見時に感染PCを隔離と説明も11日間流出し放題
●手口は巧妙と言える?内規に反してパスワードを設定しなかった可能性も
●アメリカや韓国では個人情報の大量流出・不正使用が大問題
●日本政府ずさんすぎ…サイバー攻撃といほど大げさな攻撃ではない?


●アメリカは個人情報保護の不正や流出で罰金 Yelpの場合45万ドル

2014/10/4:児童の個人情報保護問題でYelpに罰金45万ドル、TinyCoは30万ドル:ITpro(2014/09/18 鈴木 英子=ニューズフロント)という記事によると、"米連邦取引委員会(FTC)は現地時間2014年9月17日、児童の個人情報収集問題で地域レビューサイトの米Yelpおよびモバイルゲーム開発の米TinyCo"に民事制裁金を課すそうです。Yelpは45万ドル、TinyCoは30万ドルです。

 Yelpの場合は"2009年~2013年に、事前に親への通知と親からの承認獲得を行わずに、Yelpアプリケーションを通じて13歳未満の児童から個人情報を取得していた"というのが問題でした。具体的には、"ユーザーが13歳未満であることを示しているにもかかわらず、Yelpは氏名、電子メールアドレス、住所などを収集した"そうです。アメリカではこれ、ダメなんですね。

 記事でおっ!と思ったのは、個人情報保護問題で罰金があることです。金額としては大したものではありませんが、イメージは非常に悪いでしょう。

 これで思い出したのが、日本での事件。ベネッセの個人情報流出の話。このときは補償のことしか考えていませんでしたが、法で罰金を課すというのも良いですね。よりイメージを傷つけますし、制裁としては効果的です。抑止効果が増すかもしれません。
(関連:ベネッセが情報漏洩のお詫びで自社のこども基金への寄付求め批判浴びる)

 
●個人情報流出・漏洩の賠償・罰則、日本は甘い?

 アメリカで他の例はないだろうか?と探すと、未確定ですがアメリカの大手スーパーのターゲットの話が出てきました。大手スーパーのTarget、カード情報流出の賠償金額は最大36億ドル - TechCrunch(Alex Williams 2013年12月24日 翻訳:Nob Takahashi)という記事。

 ただ、この記事はタイトルだと賠償金額となっているんですが、中身を読むと罰金って書いているんですよね。よくわかりません。

 とりあえず、記事によると、Targetは、顧客のクレジットカード情報4000万件が盗まれたことを公表していました。"Targetは、データが流失したカード保有者一人につき90ドルの罰金を課される可能性があり、その場合総額は36億ドルに相当する"と見られています。

 別の部分では、「データを盗まれたカード保有者当たりの罰金は50~90ドルに上る」(Focus On PCI)という見方も伝えています。仮に50米ドルなら現在のレートで5500円程度、90米ドルなら9800円程度です。そして、36億米ドルなら3900億円。えらいことです。

 ただ、たぶんここの場合、直前に"本当の損害が明らかになるのは、カード保有者当たりの罰金が累績した時だ。仮に企業が100%PCI(引用者注:PCI DSS、カード情報セキュリティー標準)に準拠していたとしても"とあるので、いろいろなものを複合した場合なのでしょう。罰金以外のものが含まれている可能性があります。

 そこらへんはっきりしませんが、罰金という制裁の選択肢の可能性を考えられる話ではありました。興味あるところです。


●よりによって情報商材サイトの個人情報が漏洩

2019/04/28:有名な話じゃないのですけど、別の話を見ていて隣に情報漏えいのニュースがあったので紹介。「東京アウトローズ」で粉飾決算事件などを報じた半田修平さんによる情報サイトOUTSIDERS report(2018年5月14日)によると、スマホゲーム運営等のジャスダック上場企業の子会社において、同社サービス利用者の取引履歴が外部に漏洩したことが判明しているとのこと。

 10年間ほどという長期間の情報で、合計約97万件。購入者名、メールアドレスだけでなく、住所、電話番号なども漏洩しているといいます。

 さらに、ここのサービスが特殊だと言えるのは、情報商材のサービスだということ。情報商材の通販サイトを運営しているんだそうな。情報商材サイトですので、やばい情報が出ていったとわかります。ギャンブル攻略法も当然ありました。

 この個人情報に価値があると考えられるのは、こうした情報商材を買った人というのは、詐欺に合いやすい人だと考えられるため。悪徳業者にとっては、垂涎モノの情報でしょう。しかも、メルアドだけでなく、住所がわかっていますので、よりいろいろなやり方で稼げそうな感じ。これらの理由によって無名の会社の話であっても、かなり重要なニュースだと思います。また、日本でも情報漏えいに罰則があった方が良いのでは?と感じさせる件でもありますね。


●マイナンバー大丈夫? 初歩的なミスにより年金の個人情報が情報漏洩

2019/08/03:民間企業ではなく政府の話なのですけど、個人情報漏洩関係ということでここに追記。政府の漏洩だと罰金というのも難しいかもしれませんね。

2015/6/1:私はマイナンバー制度自体は反対していませんでした。ただ、情報漏洩は当然明らかにダメで、擁護のしようがありません。年金関係でひどい情報漏洩があり、この分ならマイナンバーの運用もダメだと考えた方が良いかもしれません。

 今回の年金での個人情報漏洩問題。情報流出のきっかけが、ウイルス入り添付メールという初歩的なミスだというのがまず問題でしょう。古典的な手法ですからね。

 流出件数は報道時点で約125万件。職員の端末に届いた電子メールにウイルスが入ったファイルが添付されており、これを開いたところ不正アクセスされて情報が漏れたとされていました。
(年金の個人情報125万件が流出 不正アクセス:朝日新聞デジタル 2015年6月1日17時59分 より)

 他に問題だった点は後述しますが、先に情報漏洩した内容について。流出した情報は、二情報(基礎年金番号、氏名)が約3万1000件、三情報(基礎年金番号、氏名、生年月日)が約116万7000件、四情報(基礎年金番号、氏名、生年月日、住所)が約5万2000件でした。
(日本年金機構、ウイルス感染で個人情報125万件流出、該当者は基礎年金番号変更へ -INTERNET Watch(2015/6/1 17:54)より)


●不正アクセス発見時に感染PCを隔離と説明も11日間流出し放題

 同じ記事では、"日本年金機構では、不正アクセスが見つかった時点で感染PCを隔離し、ウイルスの除去を進めているほか、外部への情報流出を防止するため、全拠点でインターネット接続を遮断している"としていました。いかにもちゃんと対処したようなことを言っています。

 ただ、別の記事を読むと、これが怪しいのです。"不正アクセスで年金情報125万件が流出か NHKニュース"では、以下のように書いていました。

<日本年金機構によりますと、ウイルスへの感染を確認したのは先月8日で、不正な通信が行われている記録が残っていたことから、職員のパソコンの感染を検知したということです。
その後、職員に注意を促すとともに、外部の会社にウイルス対策と調査を依頼しましたが、先月18日までの間に複数回にわたって依然として不正な通信が行われていることが分かり、翌日の19日になって警視庁に被害の相談をしたということです>
http://www3.nhk.or.jp/news/html/20150601/k10010099511000.html

 ウイルスに感染した後ものんきな感じ。少なくとも11日間は放置されていたような状態で、これが二つ目の大きな問題だと思った点です。また、"個人情報が流出したことについては、先月28日に警視庁からの情報提供で初めて分かった"ということで、個人情報の漏洩についても把握していなかったようです。


●手口は巧妙と言える?内規に反してパスワードを設定しなかった可能性も

 私は古典的なものでこりゃダメだろうと思ったんですが、「標的型メール」という名に反して巧妙だといった感じでNHKは擁護していました。

<政府機関や企業など、特定の標的を狙ってウイルスに感染するメールを送りつけて機密情報を盗み取ろうとするサイバー攻撃は「標的型メール」と呼ばれ、去年1年間で1700件確認され前の年の3倍以上に急増しています。
メールの内容としては、企業の健康保険組合から医療費の通知が届いたことを装ったり、防衛産業のメーカーや研究者に対して研究会や展示会の開催を知らせる内容になったりしていて、思わずメールを開いてしまう手口になっています。
警察庁は、政府機関や企業の情報をつかみ、周到に準備をしてメールを送りつけているとみて、攻撃を受けた企業などに対してウイルス対策のソフトを最新のものにするとともに知らない発信元からの添付ファイルは開かないよう注意を呼びかけています>

 ただし、やはり問題だと思うのは、さらに3つ目の問題があったため。本来なら当然情報漏洩防止のためにしていなくてはいけない作業すら、していなかった可能性があるということです。

<流出した個人情報125万件のうち、70万件はパスワードが設定されていましたが、それ以外は設定されておらず、内規に違反した状態だった可能性がある

 パスワード設定したものも盗まれており、どっちにしたって漏洩した可能性がありますが、そもそもセキュリティに関するルールを守っていないというのは、非常に大きな問題です。こんな組織を信用しろという方が無理であり、信頼以前のところで終わっています。問題外でしょう。


●アメリカや韓国では個人情報の大量流出・不正使用が大問題

 このような状態でマイナンバーの運用を国に任せるというのは、論理的に無理があります。しかし、神戸新聞は以下のように報じており、このまま強行されそうな感じがあります。
神戸新聞NEXT|社会|マイナンバー個人情報流出懸念は? 反対運動は影潜め 2015/5/10 10:36

 全国民に番号を割り振り、行政が個人情報を広範囲に利用する制度は、国が国民を監視する「総背番号制」につながるとして批判を受けてきた。住民基本台帳ネットワークの稼働に伴い国民に11桁の住民票コードが通知された2002年は激しい反対運動が起きたが、マイナンバー制度では10月の番号通知まで5カ月を切った現在も、反対運動は大きなうねりとなっていない。

 神戸新聞は「総背番号制」などと書いていますが、私はそういう反対理由ではないです。ただ、まさに今回の問題のようなセキュリティ的なところでは、話が別です。しんぶん赤旗も私と違う理由で熱心に反対していますが、一部情報流出の問題にも触れているところがあります。
マイナンバー制度/施行前から利用拡大/徴収強化・給付削減狙う 2015年5月5日(火) (深山直人)

 政府は「行政手続きが便利になる」といいますが、年に一度あるかどうかの申請などのさい所得証明書の添付などを省略できるといった程度です。

 「メリット」を一番受けるのは国や行政のほうです。一人ひとりの社会保障と保険料・税の利用・納付状況を一体的に把握・監視し、徴収強化と社会保障費の抑制・削減に活用していくことができるようになるからです。

 しかも国民にとってはプライバシー情報の漏洩、不正使用などそれ以上の危険性を抱えることになります。

 年金、医療、介護、雇用や所得・納税などの情報は、それぞれの制度ごとに管理されていますが、共通番号で一つに結ばれることになります。個人番号が流出すれば、さまざまな個人情報が「芋づる式」に流出する危険が現実となります。

 同様の制度を導入しているアメリカや韓国では個人情報の大量流出・不正使用が大問題になり、制度見直し議論が起こっています。


●日本政府ずさんすぎ…サイバー攻撃といほど大げさな攻撃ではない?

 情報の一体的な管理で徴収強化と社会保障費の抑制・削減ができるのであれば、それは最終的にむしろ国民の利益になると私は考えます。ここは反対しません。

 ただ、しつこく強調しているように、情報漏洩は看過できません。特に情報密度の濃いマイナンバーでの情報漏洩は被害が大きく、他の情報漏洩とは比べ物になりません。マイナンバーで被害が大きいというのは、逆に言うと、情報を盗む側にとっても非常にメリットが大きいわけですから、今まで以上に狙われるでしょう。年金情報すら守れない政府に、マイナンバー制度は任せられません。

2015/06/02:ITジャーナリストのツイートがあったので追記。


 あと、専門家じゃありませんが、地方の行政の方も。


【本文中でリンクした投稿】
  ■ベネッセが情報漏洩のお詫びで自社のこども基金への寄付求め批判浴びる

【関連投稿】
  ■Yelpがお店の評価を人質に金銭を要求するのは問題ない 裁判で決定
  ■体内埋込マイクロチップで電車賃を支払い スウェーデンで流行のバイオハッカー
  ■カスペルスキーは危険?ロシア政府が利用して米政府にハッキング
  ■ハッカー(クラッカー)を犯罪者扱いする日本はおかしい…は本当か?
  ■日本の迷惑メール対策は甘い?シンガポールは1通65万円の罰金
  ■生体認証の問題点 エラー多発の一方、寝てる親の指で指紋ロック解除 ネット写真のピースサインから読み取りの危険性も
  ■ネット・コンピュータ・ハイテクについての投稿まとめ

Appendix

広告

ブログ内 ウェブ全体
【過去の人気投稿】厳選300投稿からランダム表示









Appendix

最新投稿

広告

定番記事

宝くじ高額当選者3000人のその後……10年後の彼らの生活は?
歴代首相の身長ランキング 背の高い、低い意外な総理大臣 野田佳彦・麻生太郎・鳩山由紀夫・小泉純一郎・安倍晋三など
日本で馴染みのある韓国系企業一覧
国別ノーベル賞受賞者数ランキング 日本は8位、上位はどこの国?
橋下徹大阪市長の出自 同和地区(被差別部落)と父・叔父と暴力団
意外に有名企業があるファブレス企業・メーカー 任天堂・ダイドードリンコ・やおきんなど
飛び降り自殺は意識を失うから痛みはない…は嘘 失敗した人の話
白元・鎌田真の経歴と派手な交友関係 神田うの,松本志のぶ,妻も美魔女など
楽天Edyはコンビニの公共料金の支払い(収納代行)に使える?
楽天Edyの使えるコンビニ・使えないコンビニ
主な緑黄色野菜一覧 と 実は緑黄色野菜じゃない淡色野菜の種類
のれん代とのれん代の償却のわかりやすい説明
消滅可能性都市ランキングと一覧 1800市区町村中896自治体が危機
カルシウムの多い食材ランキングベスト20 牛乳以外に取れる食品
堀越二郎の妻は死んでないし菜穂子でもない モデルは堀辰雄の婚約者矢野綾子
創価学会、会長候補の正木正明氏左遷で谷川佳樹氏重用の理由は?
インチキで効果なし、活性水素水詐欺 誇大広告であるとして排除命令が出た商品も
高カロリー食品ランキングベスト20(100グラムあたり)
EPA、DHA(オメガ3脂肪酸)の魚油サプリ 効果なしどころか危険という説
リチウムイオン電池の寿命を長持ちさせるのは、使い切って満充電?継ぎ足し充電?

ランダムリンク
厳選200記事からランダムで









アーカイブ

説明

書いた人:千柿キロ(管理人)
サイト説明
ハンドルネームの由来

FC2カウンター

2010年3月から
それ以前が不明の理由