« 2005年05月 | 戻る | 2005年07月 »
2005年06月23日
セキュリティ・ガイドライン花盛り
今週の情報漏洩、栄えあるチャンピオンは... ♪ジャガジャガジャーン
米国クレジット会社のカード4000万枚情報流出 に決まりました
今週のチャンピオンどころか、年間チャンピオンもほぼ決まり。
なんて言ってる場合ではなく、日本にもカード不正使用の被害が出ています。大変だ。
大変だって何が大変かというと、この事件を対岸の火事とは見なせない日本の銀行業界、証券業界、信販業界、カード業界 などの個人情報をたっぷり持っている業界のセキュリティ対応です。
4000万枚分のクレジットカードのデータを流出させてしまった米国のカードシステムズ・ソリューションズ社は、米国カード業界のセキュリティー業界基準の適合認定を受けていたにもかかわらず、実はその基準を遵守していなかったようです。ウイルス対策を十分に実施していなかったばっかりに、トロイの木馬型の不正プログラムに感染し、昨年9月から今年6月まで延々と情報を流出し続けていたのです。
日本の金融業界にもそういうセキュリティ基準があるのかというと、あるんですね、これが。
金融庁が、金融分野における個人情報保護について といういわゆる「金融庁ガイドライン」 というものを出しています。興味のある方は読んで見てください。憲法みたいなものですね。文章も憲法みたいです。だから読む人によっていろいろと解釈できちゃうわけで、銀行業界はこれを受け、その解釈版として
全国銀行協会(通称:全銀協) が 個人情報の保護と利用に関する自主ルール といういわゆる「全銀協ガイドライン」を出しています。これは、憲法に基づいた銀行業界の法律ですね。
憲法と法律では、具体的にどうすりゃいんだかわからないので、FISC(金融情報システムセンター) というところが、金融のシステムの安全対策基準を設備的対策、運用的対策、技術的対策の具体的な実施方法などをまとめた 「FISC安全対策基準・解説書(FISCガイドライン)」 というものを出しています。こちらは、ホームページで公開されていませんが、一般価格¥40,000で購入することは出来ます。FISCは、FISCのホームページで紹介されている言葉を借りると、「昭和59年11月、当時の大蔵省の許可を得て、金融機関、保険会社、証券会社、コンピュータメーカー、情報処理会社等の出捐によって設立された財団で、金融機関等における金融情報システムの活用や安全性確保等に関する諸問題について調査・研究を行うとともに、必要に応じて指針の提示及び提言を行っている機関」ということになります。FISCは、第三者機関ですが、金融庁が監査の基準としてFISCのガイドラインを使用しますので、事実上の強制力を持ちます。基本的には、銀行、証券会社は、このFISCの出すガイドラインに従わなければなりません。
では信販会社やカード会社はというと、信販会社、カード会社の監督官庁は金融庁ではなく、経済産業省なんですね、これが。なんでですかね。それぞれ譲れない縄張りなんでしょうか。なので、信販会社、カード会社は、金融庁ガイドラインやFISCガイドラインではなく、経済産業省の出すセキュリティのガイドラインに対応しなければならないことになります。
経済産業省は 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン というものを作っていて、信販会社、カード会社にとっては、こちらがセキュリティ基準になります。
銀行も証券も信販もカードもお金を扱うことには同じなのに、ややこしいですよね。
それぞれ、セキュリティ基準が異なるとはいえ、セキュリティ対策は避けては通れなくなっている状況です。米国のこんな大規模な情報漏洩事件が起きたら、金融庁の監査が厳しくなるのは目に見えています。
とはいえ、セキュリティ対策には金がかかります。安全性とコストは相反するもので、そのバランスをどう取るかです。金融庁の監査に通るための最低限のセキュリティ対策をするのか、それとも金融業としてあるべきセキュリティ対策を徹底するのか という企業の姿勢が問われるところです。セキュリティへの投資は、その投資が売上げや利益に直接結び使いないため、渋くなりがちです。
先日、飲んで帰る電車の中で、網棚に乗せた鞄を紛失してしまった人がいました。鞄の中には銀行のキャッシュカード、クレジットカード、そして、一緒になくした手帳にはご丁寧に、それらのパスワードがメモされていたそうです。当人は、あわてて各銀行やクレジット会社に電話したそうですが、会社によってカードを停止できるタイミングがまちまちだったそうです。直後に停止できた会社、停止までに数時間かかってしまった会社、そして翌日にならないと停止できない会社。最近はお金の引き出しも24時間できますから、翌日にならないと停止できないカードからはまんまとお金が引き出されてしまったそうです。
このように表に表れない緊急時のサービスの優劣も比較して、銀行を選び、カードを作らないといけませんね。金融業界も他行、他社より優れた安全対策、セキュリティ対策をもっと前面にアピールして顧客確保に役立てれば良いのです。そうすれば、セキュリティ対策に投資する価値や理由が明確になってきますよね。
今日はちょっと硬かったかな。
デンの今日のTake IT Easy:銀行、証券業界は、FISC という第三者機関のセキュリティ・ガイドラインに沿った安全対策を迫られています。
レイジーの今日のおとぼけ:私にも守らなければいけない食事基準があります。間食しない、偏食しない、そして、おかわりしない 非満3原則です。
2005年06月17日
BCC:(ビーシーシー)
いやいや、またレイジーにトップページに書かれてしもうた。Take IT Easy じゃなく Take IT Heavy かって。それでは久々に一筆。
前回、個人情報保護法のお話をしましたが、実はこの法律の対策で最近忙しいんですよね。ITの世界にはいろいろな分野がありますが、今もっとも注目され、そして必要とされているのはセキュリティの分野ですね。そういう意味で、日本ベリサイン-3722 という会社に注目しているんですが、株価の方はさっぱりですね。
さて、相変わらず情報漏洩の事件が毎日のように発生していますが、個人情報は不正アクセスで盗まれてしまうというよりも、実は自らばら撒いてしまうことの方が多いんです。その代表格がメールの送信です。例えば、メールを複数のお客様に送る時、宛先の欄に全員のメールアドレスを入れてませんか? これはもう立派な情報漏洩になるんです。
社内の人や同一の会社の複数人にメールする場合は問題ありませんが、それぞれ違う会社の複数の人にメールを出すときに、宛先の欄にメールアドレスを並べると、受け取った人が他の人のメールアドレスを知ることになります。メールアドレスは「特定の個人を識別できる情報」という意味で個人情報です。メールに慣れている人でも、よくやっちゃうんですよ、この失敗。そして最もよく苦情がくるのもこれです。
ではどうすれば良いかというと、
1. ひとりひとりにそれぞれメールを送る
でも100人もいたら100回もメールを出さなきゃいけないし面倒ですよね。
2. 宛先ではなく、BCC: にメールアドレスを入れる
BCC は、Blind Carbon Copy の略で、メールの受信者は、自分以外の誰にメールが送られたのかわからない。
3. 複数メールアドレスをグループに登録して、宛先にはそのグループ名を指定する
Notesメールなどは、この方法が有効(ただし、メールアドレスが展開されない というオプションにしておかなければならない)ですが、Outlook Express では、グループに登録したメールアドレスが宛先に展開された状態で送信されてしまうので、意味がありません。
最も安心な方法は、2.のBCC: にメールアドレスを書く です。
皆さんがよく使っているであろう Outlook Express ですが、BCC: という欄がありませんよね。BCC:の欄を表示させるには、
表示(V) → すべてのヘッダー(A) をクリックしてみてください。
ほら、BCC:の欄が表示されたでしょ。
もうひとつ、アドレス帳から宛先を指定した場合は、登録した名前も相手に届きますから注意してください。あんまりうるさいお客さんなので、佐藤傲慢部長 とかで名前を登録すると、受け取った側のメールの宛先に「佐藤傲慢部長」って表示されますから、名前はちゃんと入れましょうね。
デンの今日のTake IT Easy:複数の人に同じメールを出す時は、BCC: にメールアドレスを書けば、受け取った人には他の人のメールアドレスが知らされません。
レイジーの今日のおとぼけ:100人にそれぞれメールを出したら、メールアドレスの間違いで50通は戻ってくるね。打率5割ってとこかな by Miss.Lazy
2005年06月07日
個人情報保護法
2005年4月1日に個人情報保護法が全面施行されました。簡単に言えば、「個人情報を適切に取り扱いなさい。これは義務です。義務に従わない場合は、罰します」という法律です。これがまたやっかいな法律なんです。ほとんどの企業がこの個人情報保護法の対応に追われていると思います。もう少し正確に言うと、
「個人情報取扱事業者は、個人情報の適切な取り扱いの義務があります。違反した場合は、監督官庁からの業務改善勧告などのきつーい行政指導が行われ、指導に従わない場合は刑事罰(6ヶ月以下の懲役または30万円以下の罰金)が課せられる」というものです。
個人情報取扱事業者? これは名簿業者のことではありません。5000人以上の個人情報を持っていて、それを事業で使用している者 という意味ですから、上場しているような企業でしたらほぼ全てが個人情報取扱事業者 ということになります。
では、個人情報って何か というと「特定の個人を識別できる情報」のことです。つまり、氏名、住所、生年月日、性別、電話番号、メールアドレス、免許証番号、パスポート番号、会員証番号、取引履歴、勤務先、部門 などの個人データが集まったものになります。名前だけのリストは個人を特定できませんから個人情報ではありませんが、名前と住所と生年月日が並んだデータは個人情報になります。お客様から頂いた名刺も個人情報ですから、これからはうかつに名刺入れも紛失できません。個人情報はなにも顧客のデータばかりではなく、社員の情報に関しても個人情報の扱いになります。年賀状用に筆まめで作った社員住所録も個人情報です。
つい先日もNTTデータ-9613の社員が、自社の全社員1万2千人分の個人情報を入れていたUSBメモリーを帰宅途中の電車で紛失してしまい、新聞、テレビで大きく報じられていましたね。きっと重たい処分が下るんでしょうね。かわいそうに。飲んだら乗るな じゃなく、飲んだら寝るな です。
これらの個人情報を適切に取り扱う というのは、
1.個人情報は、使用目的を特定かつ明示して収集しなければならない。
2.個人情報を、使用目的以外で使ってはならない。使用目的以外で使用する場合は、本人の同意が必要
3.個人情報の漏洩を防ぐ安全管理措置をしなければならない
4.個人情報を取り扱う従業員(社員、派遣、アルバイト)、委託先(取引先、ビジネスパートナー) を適切に監督しなければならない
あー、もう面倒くさいったらありゃしない ですね。特に大変なのは、個人情報の漏洩対策でしょう。まずは、
個人情報を紛失したり、盗まれたりしないようない仕組みや運用ルールを作ること。
万が一個人情報を紛失した場合、その被害の範囲がわかるように個人情報の棚卸ができていること。
そして、個人情報が流失しても漏洩しないようパスワードや暗号化で保護しておくこと。
この3つを実施するには多くの時間と費用がかかりますね。それに引き換え、
罰金がたったの30万円と思っている人がいると思いますが、これは表のお金ですからね。もし実際に個人情報の漏洩を引き起こしたら、被害者からの損害賠償請求やお詫び金などで十数億円の費用が発生する場合がありますし、社会的信用の失墜、営業自粛などで 裏のお金の損害は、表の何百倍にもありますから、そりゃも企業は必死になって、個人情報保護法の対策をとっています。従業員教育、個人情報の洗い出し、ファイル類のパスワード保護、データの暗号化、アクセス履歴の取得と分析。これから、この法律のための特需が発生しますね。いったい儲かる企業はどこでしょうか。
次回は、個人情報紛失の当事者にならないための対策 についてお話しましょう。
デンの今日のTake IT Easy:企業は特定の個人を識別できる個人情報を適切に取り扱う義務があります。これが個人情報保護法です。
レイジーの今日のおとぼけ:私の体重が少しずつ増えているというマル秘情報は保護されないのかしらね。
デンのメールアドレスは