KDDI研究所は9月30日、サーバやスマートフォン、IoTにおける個人情報などの重要なデータを安全に保護するソフトウェア技術を開発したと発表した。この技術は、KDDI研究所が開発した高速ストリーム暗号「KCipher-2」を応用。メモリ内のデータを安全に保護するソフトウェア技術となる。KDDI研究所の暗号化技術とソフトウェア保護技術を組み合わせて、暗号化に用いた鍵データをメモリ内に分散してダミーを生成し、正規の利用者のみが正しく読み取れるようにして強固なセキュリティを実現している。従来方式と比較して約10倍の高速処理ながら、数KBの軽量なソフトウェアで実装できるため、高い処理能力を持たないデバイスでも十分な機能を発揮できるという。同技術で採用した、「暗号化に用いた鍵データをメモリ内で安全に保護する方式」の実用化は世界初としている。なお、この技術の一部は、科学技術振興機構(JST)の戦略的創造研究推進事業「ビッグデータ統合利活用促進のためのセキュリティ基盤技術」の体系化の成果となる。
2015年10月02日連載コラム『知らないと損をする「お金と法律」の話』では、アディーレ法律事務所の法律専門家が、具体的な相談事例をもとに、「お金」が絡む法的問題について解説します。【相談内容】10月から動き出すというマイナンバー制度が不安でたまりません。そもそも制度の概要がいまいちわかりづらいですし、運用開始となると、自分の情報が漏えいされるのではないか、自分のマイナンバーが悪用されて成りすまし被害に遭わないか、など、不安でいっぱいです。企業がマイナンバーを管理するということですが、勤務先がしっかり対策をしてくれるのかいまいち信用できません。マイナンバーは変えられないと聞きますし、トラブルなどが生じた場合には、どうしたらいいのでしょうか。【プロからの回答です】マイナンバー制度の運用開始にしたがい、トラブルへの懸念の声も聞かれます。行政機関による情報漏洩のリスクというよりは、各企業(事業者)の情報管理の不備等による情報漏洩等の危惧が懸念されるところです。これは、各企業の準備と対策をしっかりしていただくことが最も大切ですが、実際に情報漏洩等の被害に遭った場合には、慰謝料や損害賠償請求も考えられますので弁護士にご相談いただくことをお勧めします。○そもそも「マイナンバー」ってなに?マイナンバーとは、住民票を有する全ての人に、住所地の市町村長から指定される12桁の番号のことです。原則として一度指定されたマイナンバーは一生涯変更されないことが予定されているので、見方によっては、自分の番号がどんな番号になるかもひとつの楽しみといえるかもしれません。このマイナンバーは、今のところ社会保障、税、災害対策の分野で、国や地方公共団体などが効率的に情報を管理し、複数の機関に存在する個人の情報を迅速かつ正確にやりとり(情報連携)できることを狙ったものです。個人や法人に付与された番号については、平成27年10月以降、12桁の個人番号(法人には13桁の法人番号)が通知されることになります。その後、平成28年1月には実際に運用開始となりますが、その際に希望者には「個人番号カード」が交付される流れとなっています。個人番号カードには、氏名・住所・生年月日、性別、マイナンバーが記載され、写真も表示される予定です。この個人番号カードは、本人確認のための身分証明書として利用したり、ICチップに搭載された電子証明書によりe-Tax等の各種電子申請を行ったり、自治体の図書館利用証や印鑑登録証などのサービスに利用したりできるようになる予定です。○マイナンバー制度のメリットマイナンバー制度を導入する大きなメリットは次のようなものです。行政としては「個人番号」を利用して各行政機関が連携することにより、業務効率化・各機関の間のゆがみや運用のずれなどを解消することが期待されます。特に、これまで必要とされていた情報の照合・転記・入力に要する時間労力が相当削減されることが期待されます。さらに、所得や行政サービスの受給状況等を把握しやすくなることにより、義務や負担を不当に免脱する行為や不正受給を防止することが望め、これにより、本当にサービスを必要としている方への適切なサービス提供が可能となるというメリットも期待されます。また、国民としては、これまで各情報や資料を行政機関から取得したり、サービスを受けたりするのに必要だった様々な煩雑な手続きが簡略化され、行政サービスの円滑利用が望めるというメリットがあります。特に、住民票の添付など、添付書類が必要とされていた手続きの一部が、添付書類不要となることで、国民の負担が軽減されるといえるでしょう。また、運転免許証等の身分証がなかった方はこれが身分証代わりになりますし、コンビニなどで住民票等の公的な書類を受け取ることも想定されています。現在の日本では、「年金」や「健康保険・雇用保険」、「パスポート」、「税金」、「運転免許証」、「住民票」など、それぞれに付された番号はそれぞれの管理機関において全く共有されることなくバラバラに管理されています。それを一本化することで国民にとってもマイナンバーさえあれば行政手続きが全てできることになるわけです。このように、以前よりも行政のサービスが使いやすくなるということで、国民の利便性が向上することが期待できます。○マイナンバー制度で危惧されること一方、マイナンバー制度には次のような危惧の声が聞こえてきます。やはり危惧されるのは、「マイナンバーの流出」や「なりすまし被害のおそれ」ですね。マイナンバーに関する個人情報が漏えいされたり、悪用されたりするのではないかという不安は、みなさん共通にお持ちではないかと思います。法律的には、マイナンバーは必要性がある場合を除いては利用・収集が禁止されるほか、本人確認義務、第三者機関による監視監督、法律に違反した場合の罰則の強化等の規定により、なるべくこのような事態を防止するよう制度化されています。また、システムの上でも、個人情報の分散的管理(特定の機関が一括管理することはない)や、情報へのアクセス権限の制限、通信の暗号化等により、安全な制度運用を図っています。ですので、行政機関における情報漏洩については、漏洩等のリスクは、これまでとあまり変わらないように思います。ただ、実際にマイナンバー利用の促進により、個人情報へのアクセスが容易になることは否定しがたいので、何らかのかたちでマイナンバーや特定個人情報の漏えい、不正利用が起こってしまう可能性は、これまでに比して高まる可能性はあるとはいえるでしょう。また、今回のマイナンバー制度により、事業者(民間企業など)が労働者のマイナンバーを管理することとなります。事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければならないという義務を負うこととなります。また、マイナンバーの管理利用については、従業者に対する必要かつ適切な監督を行うという義務も負うこととなります。そして、事業者は、マイナンバーにつき、「利用する場面をしっかり把握」するとともに、「取得の際の規制」、「目的外の利用・提供の禁止」、「必要がなくなった場合の廃棄義務」「安全管理措置」など、事業者として確認注意しておくべき事項をしっかりと見据え、対策を講じることが必要となります。これらの義務違反行為については、厳しい罰則が用意されているので、事業者側は相当な費用・時間・労力を投じなければなりません。さらには、実際に漏洩等の問題が生じてしまった場合には、損害賠償責任や事業者としての評価が下がる等の社会的責任を負うこととなるでしょう。また、従業員が勝手に顧客のマイナンバーを漏洩すると、企業自体はそれに加担していなくても責任を負うことがあります(両罰規定といいます)。このような事態を予想して、各種損保会社では、マイナンバー漏洩の補償を想定した保険商品を売り出しているようです。マイナンバー制度運用開始にしたがい、全ての事業者が万全な準備や対策を講じることができるのかは相当危惧されるところです。これまで個人情報の管理がずさんだった企業はなおさらですが、これまでしっかり管理していた企業についても、さらに厳格な保護措置が要求されていますので、あらためて対策を見直し、管理担当の従業員も含め研修、制度の問題点がないかの確認、システム再構築といった更新作業を対策し続ける必要があります。企業のずさんな対応により、個人情報が漏えい・不正利用されないためにも、企業側の事前の準備は少なくともこの時点から始めておくというべきでしょう。マイナンバー制度に向けた企業のコンプライアンスは、何よりも重要と言えますので、この点も弁護士にご相談いただくことをお勧めします。○マイナンバー制度が開始される場合の影響は?マイナンバーは、年金、健康保険、介護保険、雇用保険、労災保険、生活保護、公営住宅の入居申請その他社会保障制度、税務当局に提出する確定申告書、届出書、調書等、日本学生支援機構への奨学金の申請等に関する手続きに利用されます。また、勤務先、口座を開設している証券会社や契約している生命保険会社等にもマイナンバーを通知することになります。今後の運用次第にもよりますが、税務署が納税内容をチェックするための調査が容易になることにより、税金の適切な納付が可能になる等のメリットも考えられます。また、相続や贈与に関する適切な納税を実現することも可能となるかもしれません。ちまたでは、「払うべき税金が上がるの?」などの声も聞かれるようですが、何ら理由なく税金の金額が上がることはありません。仮に税金が上がるとすれば、適切な納税が行われていない現状から、「納税額が本来支払うべき金額となった」に過ぎないため、むしろそれがあるべき姿だったということでしょう。その他、銀行口座のお金の動きが管理されるような危惧を感じている方も多いようですが、例えば、税金滞納者の税務署による銀行口座の調査等はこれまでも法律に基づいて実施できたことですし、何ら理由なく銀行口座を調査することにはなりませんので、過大な心配は不要といえるでしょう。その他、「貯蓄税・富裕税」が導入される等の声も聞かれますが、今後政府の検討課題ということで、あくまで経済政策の問題なので、今後の行方を見守りましょう。○マイナンバーの漏洩被害に遭ったら?マイナンバーの漏洩トラブルとしては、「マイナンバー自体の漏洩」と「マイナンバーにより管理される個人情報の漏えい」とおよそ2つの側面が想定できると思います。マイナンバー自体の漏洩により実際に被害が出ていない段階であれば、「不正利用のおそれがある」ということで、手続きを踏んでマイナンバーを変更することが視野に入るでしょう。一方で、個々の個人情報の漏洩となれば、その漏洩された内容により、場合によっては多額の損害が生じる可能性はあります。法的な対応や請求内容は、過去に起きた情報漏洩事件と基本的に同一ですが、マイナンバー制度により幅広い分野の情報が容易にリンクできるシステムに変わりますので、抽象的には、「これまでの個別の情報漏洩事件に比して多岐にわたる情報が漏えいする可能性」は高まるといえそうです。仮に情報漏洩被害に遭った場合には、これによって被った経済的な損害の賠償や慰謝料などを請求することになりますので、その際は弁護士にご相談いただくことをお勧めします。まず何よりも、マイナンバー制度の運用開始に向けて、今まさに企業の意識改革が必要となっています。今までの個人情報保護法よりもさらに重い責任が発生し、企業への罰則も強化されていますので「企業のリスクが拡大」したことを今一度各企業が認識することが大切です。すでに今年10月にはマイナンバーの取得が開始され、その3カ月後である翌年1月にはマイナンバー制度の運用が開始しますので、まだ準備が万全ではない企業においては、「今すぐ準備が必要」といえます。また、個人の方々も、マイナンバー制度の仕組みをしっかり理解するとともに、自身のマイナンバー管理も慎重に行わないとトラブルに巻き込まれるおそれがあります。個人の方は実際にトラブルに遭った場合やトラブルに遭いそうな場合、企業の方はどのような準備や対策が必要かをしっかりと考え、不安がある場合は、弁護士にご相談いただき、不安を解消していただくのが良いと思います。<著者プロフィール>篠田 恵里香(しのだ えりか)東京弁護士会所属。東京を拠点に活動。債務整理をはじめ、男女トラブル、交通事故問題などを得意分野として多く扱う。また、離婚等に関する豊富な知識を持つことを証明する夫婦カウンセラー(JADP認定)の資格も保有している。外資系ホテル勤務を経て、新司法試験に合格した経験から、独自に考案した勉強法をまとめた『ふつうのOLだった私が2年で弁護士になれた夢がかなう勉強法』(あさ出版)が発売中。『Kis-My-Ft2 presentsOLくらぶ』(テレビ朝日)や『ロンドンブーツ1号2号田村淳のNewsCLUB』(文化放送)ほか、多数のメディア番組に出演中。 ブログ「弁護士篠田恵里香の弁護道」
2015年10月01日公的年金に対する不安から、関心の高い方が多い個人年金保険。しかし、個人年金保険と一口にいっても、さまざまな種類があることをご存じですか?年金の受取期間による分類まず、年金の受取期間により、「確定年金」「終身年金」「夫婦年金」の大きく3つに分類されます。それぞれの内容を整理してみましょう。「確定年金」は、文字通り、契約時に定めた一定期間、年金が受け取れる個人年金です。一定期間は被保険者の生死に関係なく受け取れますので、年金受取期間中に被保険者が死亡した場合は、残存期間分は年金か一時金で遺族などに支払われます。なお、年金受取期間前に被保険者が死亡した場合は、それまでに払い込んだ保険料相当額が死亡保険金として支払われるのが一般的です。「終身年金」は、契約時に定めた年齢から被保険者が死亡するまでの間、年金を受け取ることができる個人年金です。「終身」ですから、死亡したら年金支払いがストップしてしまいます。もしも年金を受け取り始めてすぐに死亡してしまった場合、受取年金総額が払込保険料総額を下回ってしまう可能性があります。そのため、一般的には生死に関係なく年金が受け取れる期間、保証期間をつけた「保証期間付終身年金」として販売されることが多く、保証期間中に被保険者が死亡した場合は、保証期間の残存期間に対応する年金、または一時金が遺族などに支払われます。「夫婦年金」は、「夫婦連生終身年金」ともいいますが、夫婦いずれかが生存している限り年金を受け取ることができる個人年金です。やはり、保証期間がついた商品もあります。年金の運用方法による分類次に、年金の運用方法による分類をみていきましょう。まず、契約時の予定利率により積立運用を行うのが、「定額年金」です。定額年金は、運用の成果に関わらず、契約時に将来の受取年金額が確定します。定額年金は安定的ではありますが、運用環境によっては予定利率が低いこともあります。一方、リスクはありますが、価格変動幅の大きい金融商品などで年金原資を運用し、運用効果を高めることを目的とする年金商品もあります。それが、「変額年金」です。変額年金は、年金額が運用実績によって変動します。株や投資信託など金融商品での運用実績に応じて将来の年金額が大きくなる可能性もありますが、その逆の可能性、つまり、将来の受取年金総額が払込保険料総額を下回る場合もあるので注意が必要です。なお、変額年金では、元本(払込保険料総額)は保障されませんが、最低保証金額が定められている場合もあります。さまざまな種類がある個人年金保険。その内容や特徴をよく理解して、加入を検討したいものです。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年09月17日大日本印刷(以下、DNP)は10日、生活者自身が自らの個人情報(パーソナルデータ)を管理し、データを開示するサービス事業者を選択できる「VRM(Vendor Relationship Management:ベンダー関係管理)」事業を2016年4月に開始すると発表した。2018年度に300億円の取扱高を目指す。○生活者自身が個人情報の提供先を選択VRM事業は、サービス事業者が会員の個人情報を管理するCRM(Customer Relationship Management:顧客関係管理)とは異なり、生活者自身が個人情報の提供先を選択できる。生活者はVRM事業を運営するサイトで、個人情報管理ツールPDS(パーソナルデータストア)に自身の情報を登録してIDを取得し、受けたいサービスの事業者に自身の意思で個人情報を提供する。DNPは、日本アイ・ビー・エムおよび日本ユニシスと連携し、VRM事業用システムを開発。同システムを使用し、経済産業省が推進する「ID連携トラストフレームワーク」に準拠したVRMサイト「Kirei-Safety(キレイセーフティ)」(運営サイブリッジ)の試行サービスを10日に開始した。現在、同サイトのIDで、美容情報サイト「kirenavi(キレナビ)」と共同購入型クーポンサイト「tokupo(トクポ)」のサービスを利用できるという。
2015年09月10日今年は、5年に1度の国勢調査が行われる年です。ちなみに今回で20回目。初めて国勢調査が行われたのは大正9年(1920)ですが、そのときの日本の人口は5,596万3,053人でした。前回の2010年の調査では1億2,805万7,352人でしたので、95年で人口が倍以上に増えたということになります。さて、5年たった今回はどうなっているでしょう?■国勢調査が行われている理由そもそも国勢調査は、人口や世帯の最新の実態を明らかにするために行われるものです。今回の調査の速報結果は来年(2016年)2月に公表されますが、年齢別の人口や世帯の状況などは国や都道府県、市町村の行政基礎資料として活用されるほか、起業の活動や学術的な分野など幅広く利用され、私たちの暮らしに役立てられます。現在の実態を正しく把握しなければなりませんから、すべての人が正しく調査項目に回答する必要があります。■実は個人情報保護法の対象外とはいえ、「名前や住所、電話番号のほかに、学歴や年収まで答えるなんて、プライベートに踏み込み過ぎでは……?」「個人情報保護法があるんだから、答えなくたっていいんじゃないの?」と、思ってしまいがちかもしれません。ですが実は、国勢調査をはじめとする国が行う統計調査は、個人情報保護法の対象外になっているのです。「国の統計調査によって得られる情報は、統計法によって保護されています。調査員に守秘義務が課せられているのはもちろんのこと、違反した場合には罰則も設けられています。過去に統計調査に従事していた人にも同様の義務と罰則が規定されています。個人情報保護法が施行されるずっと前から、統計調査は個人情報に細心の注意を払って行われているんですよ」(地方自治体統計担当)つまり「個人情報保護法」の適用外ではあるけれど、「統計法」という法律によって統計調査の個人情報は守られているということ。調査員も、ふつうのおじさんおばさんに見えますが、全員が非常勤公務員という身分。情報を洩らした場合は、2年以下の懲役または100万円以下の罰金に処せられます。個人情報保護法をタテに調査を断ることはできません。むしろ、統計法13条に「報告を求められた者は、これを拒み、又は虚偽の報告をしてはならない」とあり、調査には必ず報告(つまり回答)しなければならない義務があるのです。■今年の国勢調査に協力しよう!5年に1度とはいえ、回答するのはなかなか面倒。とはいえ年齢や学歴、年収、職業などは、その違いごとに異なる実態を正しく表す統計を作るために必要な要素です。全部で17項目ありますが、もれなくすべて回答しましょう。なお今年は、前回東京地域だけで行われたインターネットを使用した国勢調査が初めて全国的に実施されます。これまでどおりの調査票による回答に先駆け、9月10日~20日に、パソコン、タブレット、スマートフォンで回答が可能です。期間中は24時間いつでも、自宅にいなくても回答できますから、日本のリアルを明らかにするためにもぜひ調査に協力しましょう。(文/宮本ゆみ子)【参考】※国勢調査2015 キャンペーンサイト-総務省統計局
2015年09月04日北海道旅客鉄道(JR北海道)は8月28日、標的型攻撃を受けたことを明らかにした。列車運行管理システムへの影響や利用者の個人情報流出などは確認されていない。同社が事態を確認したのは8月12日で、外部機関から「サーバーへの不審なアクセスを確認した」という連絡があったという。その後の調査で、11日に同社宛に送信された標的型メールの添付ファイルの開封によって業務用PCがマルウェアに感染したことがわかったという。なお、マルウェアは開封したPC以外にも6台、計7台に感染が広がっていた。感染したマルウェアは、PCから情報を盗み取るタイプのものだったという。JR北海道ではこれを受け、13日に感染を確認したPCそれぞれをネットワークから切断して感染拡大・情報流出を防ぐとともに、専門機関への調査依頼を行った。また、18日からは不審なサーバーへの通信を防ぐため、業務用PCからのネット接続も必要最小限なアクセス先に制限しているという。外部通信の監視体制も強化しているが、現時点で不審なサーバーへのアクセスは見られないとしている。これらの事態を受け、同社では標的型メールの受信と添付ファイルメールの開封取り扱いを全社員に改めて周知したほか、ネットワーク監視の強化といったセキュリティ対策を更に強化するとしている。
2015年08月31日昨今のニュースでもたびたび報道されているように、現在、生活保護を受ける人が増えています。なかでも、「生活保護の不正受給問題」はなにかと話題にもなっていますね。今回、「生活困窮者の早期発見・早期支援」と「生活保護の不正受給」を取り扱っている、さいたま市生活福祉課の「生活保護ホットライン」にお話を伺ってみました。■生活保護の不正受給額はさいたま市だけで2億円弱さいたま市内で生活保護を受けている人は2万166人(平成27年3月現在)。そのうち不正受給が発覚し、生活保護法第78条により徴収が決定した件数は462件、金額では1億8,910万6千円(平成26年度)にも上るとのことでした。件数の割合でいえばそれほど多くないのかもしれませんが、とても多い金額です。また、不正受給で気になるのが「どのように発覚するのか」といった点ではないでしょうか。そこで、詳しい情報を教えていただきました。■不正受給の約8割は「福祉事務所の調査」で発覚!なんと不正受給の多くが、生活保護の相談や申請を行っている福祉事務所の調査で発覚しているとのことでした。生活保護を受ける人は年金、給与、仕送りなどの収入や資産をすべて申告する義務があります。そこでごまかして申告してしまうと、収入額と課税情報とを突き合わせる調査で見つかって大変なことに!発覚後は、ごまかした分の金額を後から全額返還しなければならなくなります。悪質なものは罰せられることも!もちろん、不正受給の発覚は調査ばかりではありません。「生活保護ホットライン」のような専門のダイヤルには、ご近所さんからの情報が入ってくることもあります。周囲の目はなかなかごまかせないようです。■不正受給はご近所さんの情報で調査を開始することもさいたま市にある「生活保護ホットライン」のような専門のダイヤルでは、ご近所さんからの通報が少なくありません。たとえば、「母子家庭で生活保護を受けているはずなのに、最近男性がいっしょに住んでいるようだ」とか、「2軒先の●●さんは生活保護を受けているといっていたのに、他人名義の車を乗り回しているようだ」などなど。そんな通報をもとに調査を開始することも多いようです。他にも、「本人から直接“生活保護を貰っているけどズルをしている”と聞いた」なんていう連絡もあるとのこと。通報された側は「密告された」と思うかもしれませんが、不正をしている方が悪いのは明らかです。一定条件に当てはまる人に対して、「健康で文化的な最低限度の生活」を保障してくれる生活保護制度。ありがたいものですが、不正に受け取るのはいけないことです。管轄の福祉事務所は申告された収入が正しいかどうかをしっかり調べるので、嘘は見抜かれてしまいます。本人のウッカリした申告ミスも、発覚後はきっちりその分を返還しなくてはなりません。みんなの税金で支払われている生活保護ですから、正しく申告し、必要な場合はありがたく使わせてもらうようにしたいですね。(文/齊藤カオリ)【取材協力】※さいたま市生活福祉課「生活保護ホットライン」
2015年08月26日日本年金機構は20日、不正アクセスにより個人情報が流出した人に対し、新しい基礎年金番号を24日から通知すると発表した。 対象は、個人情報が流出した約101万人のうち、6月に詫び状を送付した約96万人(年金受給者約52万人・被保険者約43万人、2015年8月14日時点)。○簡易書留で送付、9月中には全員に発送送付内容は、基礎年金番号を変更した旨と新しい基礎年金番号を記載した書類、新しい年金手帳、年金証書もしくは基礎年金番号通知書。簡易書留により順次送付し、9月中には対象者全員に発送する予定という。同機構は利用者に対し、改めて謝罪するとともに、二次被害が発生することのないよう最大限の努力を続けていくとしている。
2015年08月21日富士通システムズ・ウエストは8月19日、個人が所有するスマートフォンの位置情報とプッシュ配信技術を活用して病院をとりまく各種サービスを提供できる「FUJITSU ヘルスケアソリューション eMe delivery (エミデリバリ)」の提供を開始した。同ソリューションは、外来・入院患者やその家族、院内スタッフ・医療関係者が病院でのさまざまな時間を有効に、かつ快適に過ごせるよう、スマートフォンを活用して満足度向上を実現するもの。提供に先立ち、愛知県厚生連安城更生病院で3週間にわたって実証実験を行ったところ、「eMe delivery」の院内機能である診察順番表示やメール通知が外来患者にとって有効であること、医師・医療関係者コミュニケーション機能が医師へのアポイントメントや医療関係者の来院情報の把握が、医師にとって有益であることを確認できたという。スムーズな来院を支援する機能として、スマートフォンのGPS機能を用いて、病院までの行き先案内(バス時刻表やルート地図、経路)を確認できるほか、病院のWebサイトや患者へのお知らせをアプリケーション上からいつでも閲覧できる。また、患者のスマートフォンから診察待ち情報の確認ができるほか(病院内、病院外問わず)、診察時間が近づくとお知らせメールが自動配信される。病院内では位置情報を検知するビーコン技術の活用により、病院や受診診療科からのコンテンツを必要な場所で適切なタイミングで通知することができる。そのほか、院内スタッフと医療関係者のコミュニケーションツールとしても活用でき、例えば、スマートデバイスを携帯したMRが来院した際に、自動的に来院情報を通知するといった使い方が可能。実証実験の評価を踏まえ、入院患者向けに1日のスケジュール参照機能、医師や看護師をはじめとする院内スタッフとのコミュニケーション機能、周辺薬局への処方箋の事前送信機能、ジェネリック変更通知機能などの機能拡張を実施していくという。
2015年08月20日シャトレーゼは30日、同社Webサーバーに対し、第三者による不正アクセスが発生したと発表した。これにより、シャトレーゼWeb会員209,999件分の個人情報が流出した可能性があるという。シャトレーゼは7月28日11時40分ごろ、不正アクセスの痕跡を確認。調査の結果、第三者によるSQLインジェクション攻撃により、シャトレーゼWeb会員の登録情報が流出した可能性があることを確認した。攻撃を受けたのは7月27日21時30分ごろだと見られている。流出した可能性がある情報は、シャトレーゼWeb会員209,999名分のユーザーID、暗号化されたパスワード、メールアドレス、電話番号、誕生日。うち13件は、氏名と住所も流出した恐れがあるという。これを受けて同社は、シャトレーゼ公式Webサイトのサービスを停止。情報流出の可能性があるユーザーに向け、相談窓口を開設した。30日に公開された告示書では、今回攻撃を受けた箇所に関して既に対策済みであると説明。停止中の公式Webサービスは、セキュリティ専門の第三者機関による安全確認を受けた上で再開をアナウンスするという。
2015年07月31日東芝情報システムは7月28日、従業員のPCに保存されているマイナンバーや個人情報、設計図面などの機密情報を含むファイルを検出し、自動で暗号化するソリューション「File Secure-Protection」の販売を9月より開始すると発表した。同製品は、あらかじめ指定したルールに従って従業員のPCに保存されている機密ファイルを定期的に検索する。検索の結果、機密ファイルを発見すると、閲覧制限(閲覧期間や回数、印刷可否等)を付与して機密情報ファイルを自動で暗号化する。これにより、機密ファイルが社外に流出した際も、ファイルの中の機密情報が流出することを防ぐ。管理者は、機密ファイルが「誰」の「PC」の「どこに」保管されているかを把握可能になる。
2015年07月29日日本年金機構による個人情報流出事件が連日報道されていたが、サイバー攻撃による被害は堪えることがない。われわれはどうしたら、自分の端末や個人情報を守ることができるのだろうか。今回、ウェブルートのマーケティング最高責任者のデイヴィッド・ダンカン氏に、サイバー攻撃が高度化する今日に有効なセキュリティ対策について話を聞いた。○従来のセキュリティ対策製品ではもう守りきれない初めに、ダンカン氏は従来のオンプレミス型のセキュリティ対策製品では、新たな脅威に対応しきれないことを指摘した。「例えば、シグネチャ・ベースのウイルス対策ソフトは、脆弱性が発見されてからシグネチャを作成して配布するため、エンドユーザーがシグネチャを入手できるまで時間がかかってしまいます。また、検出される脅威の数は増える一方であり、すべてのシグネチャをタイムリーに作成することは困難です」(ダンカン氏)そのほか、ファイアウォールは「エクスプロイト攻撃を理解できない」といった短所を、攻撃シグネチャ・ベースでマルウェアを検出するIPSは「浅いアプリケーション分析」「高い誤検知率」といった短所を抱えているという。昨今では、1日に2万5000個の不正なURL、6000個のフィッシングサイト、8万5000個の悪質なIP、79万の未知のファイル、12万個のマルウェアが検出されており、シグネチャ・ベースの製品では、この膨大な数の脅威に対抗しきれないというわけだ。そこで、同社が効果がある対策として提案するのが、クラウドコンピューティングを活用したセキュリティ・サービスだ。○クラウドベースのデータ分析で未知の脅威のふるまいを予測ダンカン氏は、クラウドを活用して未知の脅威に関する膨大なデータを解析して、脅威を予測することで防御すべきと語る。同氏は、クラウドベースのセキュリティ対策のメリットとして、「端末にインストールしないので、バッテリーの消耗が抑えられること」「脅威に関する情報をクラウドに接続している端末で共有できること」「ネットワークさえつながれば、どこにいても保護されること」を挙げる。ダンカン氏によると、不正なURL、IP、ファイル、アプリは検出されることを逃れるため、常に変化しているそうだ。そこで、同社はクラウド上で独自の機械学習エンジンを利用してPCのふるまいを記録・分析しているという。これにより、脅威のルールを見出して見えない脅威を予測し、対策を講じているというわけだ。実のところ、"クラウドベース"のセキュリティ対策製品を提供しているベンダーはウェブルートだけではない。ダンカン氏に、同社が提供するクラウドベースのセキュリティ・サービス「BrightCloud Security Services」は、競合のサービスとどう違うのかを聞いてみた。まず、「BrightCloud」は数百万のOEMパートナーのネットワークとエンドポイントからデータを収集しているため、分析対象のデータが膨大な量となっている。さらに、BrightCloudでは、エンドポイントからのデータは30秒ごとに収集しており、URLは200億個、IPは40億個、ファイルは70億個検出して、分析を行っている」(ダンカン氏)という。同社のパートナーには、ヒューレット・パッカード、パロアルト・ネットワークス、インテルなどの大手ベンダーが名を連ねており、各社の製品にBrightCloudが組み込まれている。そして、収集したデータは、前述の機械学習エンジンによってふるまいが分析される。具体的には、「リスクが高いことがわかっているWebサイトにもかかわらず開いてしまう」といった人間のふるまいをベースに解析が行われているという。そして、BrightCloudではふるまいを解析することで、これまで見たことがないIP、URL、ファイル、モバイルアプリについて、悪質なものであるかどうかを予測する。○ユーザーを邪魔せず効果をもたらすことが大切さらに、ダンカン氏はセキュリティ対策製品として、重要な要素を説明してくれた。同氏は、セキュリティ対策製品は、ユーザーの邪魔にならないよう、かつ、ユーザーが見えないように動作することが大切だと話す。加えて、ユーザーの端末のパフォーマンスを阻害しないことも必須だ。これらを実現しながら、製品の効果を上げるには、リアルタイムで処理することが求められているという。その点、BrightCloud Security Servicesは、クライアントにインストールするエージェントは1MBにも満たないため、負担がかからない。また、ユーザーに対しては、データが改竄されるなどのセキュリティ侵害を受ける可能性があることを認識したうえで、被害を受けた時に迅速に対処できるようなソリューションを持っているべきとアドバイスする。インターネットを利用するなら、未知の脅威との遭遇を常に想定しておかなければならない現在、自分の端末や情報を守るには、脅威を予測して手を打つことが必須なのかもしれない。
2015年07月29日住信SBIネット銀行は、日本年金機構において5月28日に判明した年金情報(最大で「基礎年金番号」「氏名」「生年月日」「住所」の情報)流出事案に関して、同機構より(1)顧客に電話すること、(2)顧客にお金を要求すること、(3)顧客にATMの操作をお願いすること、(4)顧客の個人情報(家族構成など)を確認することはないとして、注意喚起している。○日本年金機構や年金事務所を装った詐欺や個人情報の詐取が想定される(1)から(4)に加え、年金情報流出事案を悪用し、日本年金機構や年金事務所を装った以下のような手口による詐欺や個人情報の詐取が想定されるという。(5)顧客の通帳・印章やキャッシュカードを預かること(6)キャッシュカードの暗証番号やインターネットバンキングのパスワードを聞き出すことまた、日本年金機構や年金事務所以外にも、住信SBIネット銀行の職員または関係者、全国銀行協会職員、警察官などを装った(1)~(6)の手口による詐欺や個人情報の詐取も想定されるので、あわせて注意してほしいとしている。
2015年07月28日MobileIronは7月16日、同社が行った2015年の企業のモバイル環境における信頼格差調査の結果を発表した。これによると、個人のモバイルデバイス上で行われる業務の量は増加傾向にあり、従業員は雇用主がデバイス上にある個人情報を保護すると期待しているという。調査によると、モバイルワーカーの86%がスマートフォンを所持してそれを仕事目的で使用しており、同様にタブレットを使用しているのは37%だった。61%のユーザーはモバイルデバイス上の個人情報保護について雇用主を信頼し、30%は、会社が個人のメールと自分のスマートフォンやタブレット上にあるテキストメッセージ、写真などの個人情報を見ることができるならば、仕事を辞めると回答している。従業員の大部分は、会社がモバイルデバイス上の個人情報のプライバシーを守っていると信じているものの、特定の種類の個人データについてはまだ不安を感じていることがわかった。一方で18~34歳の男性、または家庭に18歳未満の子供がいる者と定義されるジェネレーションM(Gen M)の従業では62%が、モバイルデバイス上の個人情報の少なくとも一部は会社に見られても構わないと回答した。それ以外の従業員で同様に回答したのは51%だったことから、Gen Mは自分のモバイルデバイス上にある個人情報を会社に見られることに対して抵抗感が薄いと言える。また、調査を行った6カ国の中で、モバイルデバイス上の個人情報保護について雇用主を信頼している従業員の割合は、ドイツが最も高く74%。対称的に、雇用主を信頼していない従業員の割合が53%と最も高いのは日本だった。会社側が自分たちのプライバシーを守っていると信じられれば、従業員は、より迅速に新しい企業向けモバイルサービスやBYODプログラムを採用するようになるので、会社側には「明確で論理的なポリシーの策定と分かりやすい伝達」「従業員に対するプライバシー情報の明示と提供」「モバイルオペレーティングシステムで利用可能なプライバシーコントロールの利用」などを検討する必要があると同社は指摘している。なお、この信頼格差(Trust Gap)調査は、2014年12月17日から2015年1月22日にかけて、フランス(502人)、ドイツ(501人)、日本(503人)、スペイン(500人)、英国(503人)、米国(1,012人)の、仕事目的でモバイルデバイスを利用しているフルタイム/パートタイム従業員3,521人を対象にしてオンラインで行われた。調査対象者には、それぞれの国の人口に対して、年齢、人種/民族、学歴、地域、世帯所得による重み付けを行っている。
2015年07月18日東京大学は7月16日、大学の業務用PCがマルウェアに感染し、個人情報が流出したと発表した。流出した可能性がある個人情報は以下の4項目で、合計約3万6300件のうちの一部となる。平成25年度、26年度の学部入学者と24年度、25年度に大学のシステムを利用した学生の「利用者ID」と「初期パスワード」「氏名」「学生証番号」の約2万7000件平成24年度以降にシステムを利用した教職員の「利用者ID」と「初期パスワード」「氏名」「所属・身分」「学内連絡先」の約4500件現在システムを利用している学生と教職員の「利用者ID」と「氏名」「学生証番号」の約1000件サーバーの各部署管理担当者の「ID」と「初期パスワード」「氏名」「学内連絡先」の約3800件同大学によると、6月30日に教職員の一部と学生の一部のメールを管理する学内メールサーバーの管理画面の設定が変更されていることに気づいたという。その後調査した結果、同PCに保存されていた学内向けサービスの業務用アカウントの流出が判明し、アカウント流出だけでなく、PCとサービス提供サーバーに保存されていた情報の流出の可能性もわかった。東京大学ではこれを受け、ただちに流出した可能性があるすべてのパスワードの変更を実施などの対策を行ったほか、同PCを隔離・保全。被害拡大の措置を講じた。大学では現在、詳細な原因と影響範囲の確認作業を行っており、関係者へ連絡しているものの、現時点で二次的被害は確認されていないとしている。大学は「調査結果を踏まえ、全教職員に対して個人情報の取扱と不審メールへの対処のあり方について周知徹底と、情報セキュリティ教育の充実を図る」としており、セキュリティに関連する機器の増強などの業務システムの改善を図ることで、再発防止を行うとしている。日本年金機構の情報漏えいを皮切りにサイバー攻撃の発覚が続いており、大学では6月22日に早稲田大学が攻撃を受けたことを発表している。
2015年07月16日シマンテックは7月8日、同社の情報管理部門であり、分社予定のVeritas(ベリタス)がエンタープライズ向けデータ保護ソリューション 「Veritas NetBackup 7.7」の最新版を7月9日より販売開始すると発表した。新機能として、クラウドストレージサービスを活用するバックアップ/リカバリーの効率性を高めるため、クラウドプロバイダーのサポートが追加されており、従来版に比べパフォーマンスが最大で30倍向上するという。具体的には、Amazon Web Services(AWS)、Google、Hitachi Data Systems(HDS)、Verizon、Cloudianなどによって提供されているクラウドストレージサービスへのバックアップのパフォーマンスと相互運用性が大幅に強化された。また、VMware vSphere Virtual Volumes、Microsoft Hyper-V、NetApp clustered Data ONTAP(cDOT)、Microsoft SQL Serverとの統合も行われている。Amazon Simple Storage Service(Amazon S3)向けに追加されたクラウドコネクタは、Amazon S3 互換クラウドストレージターゲットのバックアップおよびリストア時間を大幅に改善できるように最適化されている。加えて、階層型アプローチを使用してNetAppおよびAWSのクラウドゲートウェイをサポートし、バックアップ・データをクラウド・ストレージに複製する。
2015年07月09日動物の殺処分0(ゼロ)を目指して活動する団体「ちばわん」は、保護犬と保護猫の譲渡会を、東京都、埼玉県、千葉県、神奈川県で開催する。「ちばわん」は250名を越えるボランティアからなる団体。殺処分0を目指して、無責任な繁殖に反対し、不妊・去勢手術の推進、行き場を失った犬や猫を保護し、家族として迎える「いぬ親」「ねこ親」を捜す活動を行っている。関東各地では、保護犬・保護猫たちの譲渡会を開催している。6月28日には、千葉県船橋市にて「船橋いぬ親会」を開催する。場所は、Pooch(プーチ)ドッグカフェ・トリミングで、時間は11:00~15:00。同じく6月28日には、埼玉県上尾市で「啓蒙活動&いぬ親会」を開催。会場は一清堂上尾店で、動物愛護の啓もう活動や、ちばわんグッズの販売も行う。時間は12:00~15:00。7月5日には3会場で開催。東京都江戸川区の「篠崎臨時いぬ親会」は、江戸川河川敷 篠崎緑地10号そばで行う。時間は12:00~15:00。神奈川県横須賀市では、「さくらの里山科いぬ親会」、「さくらの里山科ねこ親会」を開催。会場は特別養護老人ホーム さくらの里山科。時間は11:00~14:30。7月12日には、千葉県船橋市で「船橋いぬ親会」「船橋ねこ親会」を開催する。会場はPooch(プーチ)ドッグカフェ・トリミング。時間は11:00~15:00。7月19日は、東京都江戸川区で「篠崎定例いぬ親会」を行う。7月の定例いぬ親会で、会場は江戸川河川敷 篠崎緑地10号そば。時間は12:00~15:00。7月26日は、東京都品川区で「品川いぬ親会」「品川ねこ親会」を開催する。会場は、いずれもウエルカムセンター原・交流施設。時間は12:00~15:00。譲渡会には、預かりボランティアも付き添っているため、普段の様子を聞くこともできるとのこと。
2015年06月25日早稲田大学は6月22日、大学内のPCのマルウェア感染とスケジュール管理Webサイトの改ざん被害を発表した。PCのマルウェア感染では、3308名の個人情報が流出。大きく分けて以下の7種類の情報になるが、現時点でこれらの情報を悪用した詐欺やダイレクトメール、不審な連絡は関係者に行われておらず、それ以外の情報の流出は確認されていない。31名の学生の「学籍番号」60名の学生の「氏名」と「カナ氏名」「性別」「学籍番号」「クラス番号」2310名の事務用PC利用者の「氏名」と「所属」「教職員番号」1名の職員の「氏名」と「所属」「メールアドレス」「内線番号」6名の職員の「氏名」と「所属」「教職員番号」「メールアドレス」16名の職員の「氏名」と「教職員番号」884名の教職員や派遣社員などの「メールアドレス」今回のマルウェア感染の経過では、2014年12月11日に、早稲田大学宛に送付された医療費通知を装った、いわゆる「標的型攻撃メール」の添付ファイルを回付したことで、該当職員が使用していた事務用PCがマルウェアに感染。同17日には、このPCを経由して犯人が遠隔操作で大学管理サーバーの設定ファイルに残されていた管理用パスワードを盗みとった。これにより、ほかの事務用PC数台もマルウェアに感染したという。事態が発覚したのは6月5日と約半年が経過しており、外部機関の連絡でC&Cサーバーとの通信が確認されたようだ。早稲田大学ではただちに健康保険組合の被保険者に対して医療費通知を装ったメールを開かぬよう周知を行い、8日にも事務用PCの利用者全員に標的型攻撃メールに対して注意するよう呼びかけた。その後、9日と10日に全事務用PCでウイルススキャンを実施、19日には二次被害の防止策として業務で利用する特定の通信を除くネットへの通信を遮断した。なお、17日には大学の総長を本部長とする対策本部を設置している。○スケジュール管理Webサイトの改ざん一方でWebサイト改ざんは、前述の個人情報流出とは別で、6月1日に大学のスケジュール管理サーバーに対して学外から不正侵入が行われており、トップページが改ざんされた。同日と2日に外部ネットワークとの通信を遮断し、管理者用アカウントのパスワード変更や、最新のセキュリティパッチの適用、ウイルススキャン、ファイアウォールでの防御設定を行ったという。こちらの不正侵入の原因は、サーバーOSのセキュリティパッチが最新のものではなかったことによるものとしている。アンチウイルスソフトの導入やパターンファイル更新は行われていたものの、セキュリティパッチによる脆弱性の修正が行えていなかったことが原因と見られる。現時点で個人情報へのアクセスや外部送信の履歴は見つかっていないものの、改ざんされたサーバーには、外部企業担当者や2006年に在学していた助手7名の電話番号とメールアドレスが保存されていたため、流出の可能性は否定できないとしている。大学では、双方の不正侵入でセキュリティ対策の強化を図って対処していくと発表している。具体的には、ファイルサーバーのデータ暗号化やメールの添付ファイル検査、脆弱性チェックツールによるセキュリティレベルの確認といった対処策だ。
2015年06月22日EMCジャパンは6月18日、企業のデータ保護戦略を推進するためとして、「EMC Data Domain DD9500」を始めとするデータ保護製品群の提供開始を発表した。2015年6月から提供開始予定。価格は、「Data Domain DD2200」の4TBモデルが112万5,000円(税別)から。新製品のうちData Domain DD9500は、58.7TB/時のパフォーマンスを持ち、1.7PBの容量を提供する。価格は個別見積。Data Domain DD2200は、小規模オフィス向けの2Uで最大4TBの実効容量を保護するとのこと。EMC Data Protection Suite 2015は柔軟なライセンス・モデルを採用し、さまざまデータ保護要件に合わせた最適な組み合わせで個々の製品を利用できるとのこと。「CloudBoost Connector」「Data Protection Search」「Data Protection Advisor 6.2 SP1」 の各製品を含む。CloudBoost Connectorは、ユーザーの既存のEMCデータ保護ソリューションとクラウド環境をシームレスに統合し、バックアップの長期保管を実現するという。プライベートおよびパブリック・クラウドへの長期保管を実現し、月単位/年単位のコピー・バックアップ・データのクラウド転送が可能。Data Protection Searchは、オープンソースのElasticSearchテクノロジーを利用して、企業規模のバックアップを「EMC Avamar」と「EMC NetWorker」の双方から検索可能にする。「Data Protection Suite」ユーザーのための検索機能を備え、メタデータまたは全文検索により結果の抽出が可能。Data Protection Advisor 6.2 SP1では、サポートアプリケーションの拡充、「Data Domain」解析の機能拡張、「ProtectPoint」環境の解析およびレポート、オブジェクト・サーチ機能といった強化を実施した。Data Protection Suite 2015の価格は個別見積であり、CloudBoost ConnectorおよびData Protection Searchは、Data Protection Suite 2015ライセンスに含まれる。EMC ProtectPointは、プライマリ・ストレージからData Domainへの直接バックアップを可能にし、従来必要であったバックアップ・インフラを不要にすることで、コスト削減を実現するというソフトウェア。従来と比較して20倍高速なパフォーマンスを持つといい、Oracle/SAP/IBM DB2との統合やアプリケーション・オーナーによるバックアップ/リストアのコントロールが可能とのこと。価格は個別見積。
2015年06月19日情報処理学会は6月15日、2015年度認定技術者(CITP:Certified IT Professional)個人認証の申請日程を発表した。CITPは経済産業省の「ITスキル標準」が定義する情報技術者の7段階レベルに基づき、レベル4以上の上級技術者を対象としたもの。システムの設計・開発や、信頼性・生産性の高い運用の総括を行い、高信頼システムの実現や生産性の向上を担うソリューション系人材に焦点を当てている。申請日程は、下記のとおり。申請書配布期間:2015年6月15日~2015年7月13日申請受付期間:2015年6月22日~2015年7月13日面接実施日:2015年10月17日合格通知:2015年11月2日(予定)料金は、申請時の審査料が2万円、合格時の登録料が1万円(いずれも税抜)となっている。
2015年06月15日先日、日本年金機構に不正アクセスが発覚し、約125万件の個人情報が流出したと発表された。その原因は、近年、官公庁や企業を狙って急増している"標的型メール攻撃"。クオリティソフト株式会社は、6月18日(木)、今回の事件の手口や防御方法、今企業に必要なセキュリティ対策について解説するセミナー「~125万件の年金情報が流出~公認情報システム監査人が解説する、個人情報流出事件の手口と対策」を東京にて開催する。○公認情報システム監査人や日本マイクロソフトのセキュリティアドバイザーが登壇今回のセミナーは、3部構成。第一部ではシスコシステムズ合同会社のセキュリティビジネス事業推進担当部長で、"公認情報システム監査人"の資格を持つ楢原盛史氏が、「年金情報流出事件の概要とその手口」について解説を行う。第二部は「標的型攻撃の脅威と企業に必要な情報セキュリティ対策」について、クオリティソフト株式会社の山﨑誠司氏が語る。また第三部には、日本マイクロソフト株式会社チーフセキュリティアドバイザーである高橋正和氏が登壇。攻撃の傾向から見る今後のセキュリティ対策について解説する予定だ。年金情報流出事件のような標的型攻撃は、その手口がますます巧妙化。もはや従来のウイルス対策ソフトだけでは、防御が不十分とされている。情報漏えいなど取り返しのつかない被害を受けてからでは手遅れ。この機会に、本セミナーで最新のセキュリティ対策について知見を得てはいかがだろうか。セミナーへの申し込み、詳細は以下のサイトを確認してほしい。なお、受付は先着順で、定員になりしだい締め切られる。○セミナーの詳細は以下の通り開催日時: 2015年6月18日(木) 15:00~17:00参加費: 無料(事前予約制)開催会場: AP東京八重洲通り 7階 Pルーム(東京都中央区京橋1丁目10番7号)定員: 140名詳しくはこちら
2015年06月15日ラックは6月9日、6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を同社が知り得た範囲で整理し、対処方針などを提言する「日本年金機構の情報漏えい事件から得られる教訓」を公開した。このなかで、事件の原因を、公共団体は、国民の多くの個人情報を持っていることから、攻撃者に多くの動機をもたらしているが、公共団体のセキュリティ担当にとっては至極当たり前であると考えられているこの危機意識が、組織全員にまでは浸透せず、理解が進んでいなかったためだと推測。この事件から我々が取るべき行動として、事件・事故前提の組織体制構築社員や職員の意識改革と教育事故対応チームの組織化セキュリティ監視と不正通信の洗い出し事件発生を見越した演習を挙げた。
2015年06月11日ペンタセキュリティシステムズ(ペンタセキュリティ)は6月8日、「韓国から見た日本年金機構の個人情報漏えい事件を語る」と題するコラムを掲載。先日の日本年金機構の情報漏えい問題をセキュリティ企業の観点から解説した。この問題では、日本年金機構の年金情報の管理システムがハッキングを受け、125万人の個人情報が漏えいしており、日本の公共機関としては最大規模の流出となった。コラムでは、今回の事件を語る上で欠かせない「アンチウイルスソフト」「ネットワークセキュリティ」「データベースの暗号化」について以下のように解説している。○アンチウイルスソフトは対策にならない問題の発端となったウイルスが見つかった際、日本年金機構は外部の管理会社から「情報を漏えいできるようなウイルスではない」と報告を受けたため、ウイルス対策の更新以外に特別な対策をしなったという。その結果125万人に個人情報が流出する事態となった。今回の事件では、アンチウイルスソフトが役に立たなかったのが実情だ。アンチウイルスソフトに欠陥があったわけではなく、防ぐことができない攻撃手法であった。アンチウイルスソフトは、実行したプログラムを既存のウイルスの情報リストとマッチングさせ、リストに載っていればブロッグする。逆に考えれば、リストに載っていないプログラムは原則、ブロッグできない。コラムでもアンチウイルスソフトは「新米のハッカーによる攻撃に対する対策としては、十分有効だろう」と裏を返せば、高度な攻撃には即座に対応できないことを指摘している。○ネットワークのセキュリティ対策で済む問題ではない最初にウイルス感染した福岡支部のパソコンは、ネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認された。このことから攻撃手法は「ネットワークセキュリティにおける階層の脆弱性を利用した」と解説している。Web経由での代表的な攻撃は、1次攻撃と2次攻撃に分かれる。1次攻撃は、標的の内部ネットワークへの潜入を試み、一方の2次攻撃はネットワークおよびシステムの支配を試みる。1次と2次の攻撃が成功することで攻撃者が狙うデータを取得できる。今回の事件でいうなら攻撃者の目的は個人情報の取得である。今回の事件は1次攻撃の手段はEメールを利用し、添付ファイルを開封したときに感染したとされている。ネットワーク用のセキュリティ製品の多くは、Webを介して転送されるEメールやWebコンテンツを監視対象にすることができない。コラムでは、「コンテンツはネットワークのL7(OSI 7レイヤによる分類)にてその『正体』が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できない」と指摘している。L7を監視するには「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の必要性があると訴えている。○単なるデータ暗号化では、十分ではないコラムでは、日本年金機構はなぜデータを暗号化していなかったのか疑問視している。「国民の個人情報を扱っている機関として恥を知るべく」と指摘しているように、国家機関の対応として簡単に許されることではない。個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていくなどの特段の措置を取る必要があるという。今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合が出てくる。まず、なりすまし防止への対応と、多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。システムを安全に守るためには、「データ暗号化プラットフォーム」が重要であると述べている。暗号化技術は、個別のシステムだけでなく、ICTシステム全体に適用する必要があるためだ。プラットフォームの導入は、暗号化のコア技術を保有する専門会社に相談することを推奨している。
2015年06月09日日本年金機構は1日、職員の端末に外部からのウイルスメールによる不正アクセスを受け、年金加入者の氏名など約125万件の個人情報が外部に流出したことが5月28日に判明したと発表した。電子メールのウイルスが入った添付ファイルを職員が開封したことで不正アクセスが行われ、情報が流出。流出した情報は、「基礎年金番号、氏名の2項目」が約3万1,000件、「基礎年金番号、氏名、生年月日の3項目」が約116万7,000件、「基礎年金番号、氏名、生年月日、住所の4項目」が約5万2,000件となっている。同機構は、不正アクセスが発見された時点で直ちにウイルスが感染したパソコンを隔離し、ウイルス対策ソフト会社に解析を依頼するとともに、検知したウイルスの除去を進めている。また、警察にも通報して捜査を依頼しているほか、外部への情報流出を防ぐため、全拠点でインターネットへの接続を遮断している。なお、 現在のところ、 基幹システム(社会保険オンラインシステム)への不正アクセスは確認されていないが、さらに精査を行っているという。情報が流出した人については、基礎年金番号を変更し、年金の手続きがあった際には本人確認をした上で手続きを行う。併せて、専用電話窓口を設置して問い合わせなどに対応する。今後は、再発防止のための委員会を設置し、情報セキュリティ対策の強化に取り組むとしている。
2015年06月02日Googleは2日、アカウントの管理、保護、安全対策を1カ所で行えるウェブサイト「アカウント情報(My Account)」を開設した。Googleに関連するサービスの各種設定の確認や変更、サービスの停止や削除などの窓口となる。同サイトページでは、「ログインとセキュリティ」「個人情報とプライバシー設定」「アカウント設定」の3つを1カ所で設定できる。「ログインとセキュリティ」では簡単な質問に回答することで、セキュリティ診断が行えたり、パスワードとログイン方法の確認・設定、パスワード失念時のアカウント再設定オプションを設定することができる。「個人情報とプライバシー設定」では、名前、メールアドレス、電話番号といった基本情報の編集、Google検索などアカウントを利用したサービスの利用履歴の管理、広告設定、保存したドキュメントの数やメールの数などのアカウントの概要の確認などが行える。「アカウント設定」では、言語の選択やGoogle ドライブのストレージの容量やプランの変更、GmailやGoogle+などのGoogleサービスの使用停止や削除などが行える。
2015年06月02日日本年金機構は6月1日、不正アクセスによって約125万件の個人情報が流出したと発表した。なお、年金加入者情報が主に保管されている基幹システム(社会保険オンラインシステム)については不正アクセスが確認されていないものの「精査中」(リリースより)としている。機構によると、流出した情報は主に3つのくくりに分けられる。最も流出件数が多かったグループは「基礎年金番号」と「氏名」「生年月日」の3情報がセットで流出したもので、約116万7000件が流出している。リリースによると、同機構が流出を把握したのは5月28日で、ウイルスが添付されたメールを職員が開いたことによる不正アクセスが原因。職員のPCにデータが保存されており、これが流出したとしている。一部報道では、5月8日にウイルスの感染を確認しており、18日まで不正な通信が行われていたことも確認している。機構は現在、ウイルスに感染したPCをネットワークから切断した上で、契約しているウイルス対策ソフト提供ベンダーに解析を依頼。検知したウイルスは除去しているという。また、外部への情報流出防止の観点から、全拠点でネットへの接続を遮断しているとしている。今回、情報が流出した年金加入者については、システムから確認できる体制を構築し、なんらかの手続きが行われた場合には、本人であることを確認した上で手続きを進めるとしている。また、個別に連絡を行い、基礎年金番号についても変更する。今後は、再発防止策として、情報セキュリティ対策の強化と、外部有識者も含めた原因調査と再発防止のための委員会を設置するとしている。特定の企業、組織を狙った標的型攻撃については、情報処理推進機構(IPA)が5月28日に注意喚起を行ったばかり。2014年度は標的型攻撃と思われる詐欺メールの送信元が日本となるケースが最多になるなど、「日本企業・組織を狙った攻撃インフラが着々と築かれつつある」(IPA)としていた。
2015年06月02日○中小企業にも保護措置が求められるいよいよスタートが来年1月に迫ったマイナンバー制度。企業が個人番号(マイナンバー)を扱うことになる業務としては、従業員における所得税の源泉徴収、住民税の特別徴収、社会保険料の支払い、税務署に提出する法定調書の作成などが想定される。このまったく新しい制度に対してどう対応すればいいのかわからず不安な気持を抱える経営者や担当者も多いと思われる。ここで一度改めて、マイナンバーの性質を知り、その取扱いについて整理したい。まずマイナンバーの性質についておさらいしていこう。マイナンバーを含む個人情報は「特定個人情報」に位置づけられるが、これには従来の個人情報保護法だけでなく、より厳しい保護措置を求める番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)も適用されることになる。ここが1つのポイントだ。従来であれば、特定の情報を有しない企業の場合、特別な安全管理措置は義務付けられていなかった。しかし番号法ではすべての企業に対して特定個人情報の安全管理措置が求められるため、コストや人的リソースの乏しい中小企業であっても何かしらの対策をとらなければならなくなる。もし、対策を怠り特定個人情報が漏えいしてしまった際には、意図的に漏えいした人物はもちろんのこと、適切な安全管理措置をとっていなかった企業側にも罰則が適用されてしまうことから、ことさらマイナンバー対応を心配する風潮が強くなっていると言える。漏えいさせられた個人や業務委託先などから、企業に対し賠償請求が行われるといったことも想定されるので無理もないだろう。「当然ながら特定個人情報が漏えいしてしまうと、企業の信用問題にも大きく関わってきます。その被害の大きさは、罰金や賠償金などの額だけでは到底表せないものとなるでしょう。しかしながら、事前に特定個人情報を正しく取り扱えるようにするための適切な対策を施しておくことで、そうしたリスクを大幅に低減することができるという事実をぜひ知っていただきたいです」と指摘するのは、世界約150カ国のユーザーに支持されている、総合セキュリティベンダー ソフォスのセールスエンジニアリング部 セールスエンジニア 東方優和氏だ。では、マイナンバー制度の開始に向けて企業が安全・安心を得ることができるような対策とは、どのようなものだろうか──。最初に必要なのは、特定個人情報を含めた機密情報を扱うにあたって、社内ルールを決めておくことだという。この情報を見る必要があるのは、“どの部門”の“どの役職”だから、それ以外からは閲覧禁止にするといったように、業務の実態に合わせて情報の取扱いについてのルールを決める必要がある。「ルールを決めるというのは簡単そうに見えて実は大変な作業です。社内の情報の整理からルール作成まで、1~2ヶ月は平気でかかってしまうでしょう。特に小さな企業では、1人ですべてをやらなければいけないケースもあると思います。そのような場合には、もう1人担当者を設けたり、専門家からアドバイスを受けたりするといいのではないでしょうか」(東方氏)また、ルールを決める際には、情報、つまりファイルの置き場所も決めておかなければいけない。機密情報の場合、クライアントPCやUSBメモリーに保存するなどというのは論外と言っていい。そこで、“ファイルサーバーの所定のフォルダに保存し、ローカルやUSBメモリーには置かない”といったルールを決める必要がある。その上で、このルールが有効となるような技術的な対策を施すようにしたい。「技術的な仕組みをつくる際には、運用をある程度まで自動化できることを目指すといいでしょう。例えばアクティブディレクトリを使うのであれば、社員の異動に合わせてファイルやフォルダへのアクセス権限も自動的に変わるといった仕組みが有効です。最初は手間がかかるかもしれませんが、手間を避けてばかりだと、本番での運用の時に混乱が生じてしまいがちです。少ないスタッフで回していかなければならない組織がほとんどだと思いますので、長い目で見てなるべく運用負荷が少なく安全が保てるように考えるといいのではないでしょうか」(東方氏)○包括的なアプローチで機密情報の保護を特定個人情報はもちろん、企業のすべての情報漏えい対策では、万が一機密情報が外部に持ちだされてしまった場合でも、情報が漏えいしないようにすることが肝となる。そのための対策として、守るべきファイルには暗号化を施し、鍵の管理を適切に行うことが一般化しつつある。ただし、社員が情報を扱う際にいちいち暗号化をしていたのでは、セキュリティ上も効率上も大きな問題となってしまうだろう。そこで、決められたファイルやフォルダは自動的に暗号化されるようなソリューションを導入することで、社員が誤操作やストレスを感じることなく日々の業務をこなせるようにしたい。そうしたことが可能となるのが、ソフォスが提供する包括的なデータ暗号化ソリューション「SafeGuard Enterprise(以下、SafeGuard)」だ。SafeGuardはファイルサーバーからノートPC、モバイルデバイス、クラウドストレージにいたるまで、さまざまなOSやデバイス上のデータを自動的に暗号化するのである。「SafeGuardは、HDDやUSBメモリーなどストレージデバイスをまるごと暗号化したり、ファイルやフォルダ単位での暗号化の双方に対応しています。今回のマイナンバー対応においては、特定個人情報の含まれるファイルをきめ細かく暗号化指定でき、また、ファイルサーバーやクラウドストレージ上のファイルにも対応している、ファイル・フォルダ単位の暗号化が適しているでしょう」と、東方氏はアドバイスする。さらにソフォスでは、外部からの不正アクセスを防ぐためのUTMや、エンドポイントのセキュリティを守るアンチウイルス、外部デバイスへのコピーを防止するソリューションなど、あらゆるタイプのセキュリティ製品を包括的に提供している。そのため、ネットワークとエンドポイント、そして暗号化のすべてを統合した情報漏えい/セキュリティ対策を、一気通貫で行うことが可能なのである。最後に東方氏は、こう力説する。「一社ですべてのレイヤを包括できるのは当社以外にはないと自負しております。脅威が複雑・高度化するなか、エンドポイントとネットワークの両方で防御を行うことは必須となりつつあると言っていいでしょう。マイナンバーへの対応を機に、自社の情報漏えい・セキュリティ対策のあり方を見なおして、包括的なアプローチを取り入れてみてはいかがでしょうか」
2015年05月22日○テナントの連絡先に情報を追加Office 365の連絡先には、各ユーザーが自分で管理する個人用連絡先と、テナント管理者が管理するテナント連絡先があることは、これまでに説明しました。テナント連絡先は、共有連絡先、組織連絡先などとも呼びます。管理者以外は、テナント連絡先を修正することはできません。しかし、各ユーザーが自分用に情報を追加することはできます。今回は、その方法を紹介します。○テナントの連絡先の検索連絡先は検索機能を使って閲覧します。(1)Office 365にサインインし、アプリアイコンをクリックして、「連絡先(People)」をクリックします。(2)検索ボックスに、検索する連絡先の名前を入力します。名前の先頭から数文字を入力すると、条件に該当する連絡先をリストアップします。あくまで、先頭から文字を入力しなければならないことに注意してください。たとえば「直江兼続」さんを検索する時、「直江」で検索することはできますが、「兼続」で検索することはできません。左サイドメニューには、「個人用の連絡先とディレクトリ」、「個人用の連絡先」、「ディレクトリ」のラジオボタンがありますが、ここでは「ディレクトリ」がActive Directoryに登録されたテナントの連絡先(共有連絡先)を意味します。したがって、テナント連絡先は「個人用の連絡先とディレクトリ」か「ディレクトリ」にしか表示しません。「個人用連絡先」には表示しません。(3)情報を追加したい連絡先をクリックして選択し、「連絡先に追加」→「連絡先に追加」をクリックします。(4)電話番号等、自分で追加登録したい項目の+ボタンをクリックして、情報を追加します。例えば、携帯電話番号を追加するのであれば、「+電話」→「携帯電話」をクリックします。(5)必要事項を入力し、「保存」ボタンをクリックします。○登録した情報の検索と編集(6)手順(1)~(5)の手順で情報を追加した連絡先を確認するには、手順(1)と同様に検索します。手順(4)~(5)で登録した携帯電話情報が登録されていることを確認できます。ただし、ユーザーが追加登録した情報は、登録したユーザーの個人用の情報として保存されています。他のユーザーが、追加登録した情報を見ることはできません。また、この連絡先は、「個人用の連絡先」と「ディレクトリ」のどちらにも表示するようになります。つまり、テナント管理者が登録したテナント連絡先の情報と、ユーザーが追加登録したユーザー個人用情報を、合成して1つの連絡先として表示します。この連絡先に、さらに情報を追加または登録した情報を編集する時は、「編集」をクリックします。(7) 必要に応じて情報を追加、編集できます。ただし、もともと管理者が入力していた基本情報の項目を、権限を持たない一般ユーザーが変更することはできません。編集できない項目はグレーアウトして表示します。編集が終了したら、「保存」をクリックします。○追加登録した連絡先情報の削除追加登録した情報を削除方法は、以下の通りです。(8)手順(1)と同様の操作で、削除したい連絡先を表示します。「…」→「削除」をクリックします。(9)確認ウインドウで「削除」をクリックします。この削除操作によって、ユーザーが追加登録した個人用情報は削除され、テナント管理者が登録した元々の基本情報だけに戻ります。
2015年05月21日トレンドマイクロは4月27日、個人ユーザーの1903名を対象に、IoT時代のセキュリティ、プライバシーに関する意識についてWebアンケート調査を実施、その結果を発表した。これによると、約8割がIoT時代のセキュリティを懸念しているという。調査は米国:744名、日本:595名、欧州16カ国:564名を対象に行われた。IoT時代のセキュリティの懸念を国・地域別に見ると、米国(75%)、欧州(82%)と比較して日本(83%)が最も高い結果となっている。また「過去5年間でプライバシーや個人情報の安全性に関してより懸念を抱くようになったか」という質問に対し、個人ユーザーの約半数(47%)が「懸念が増加した」と回答している。米国では、「情報漏洩の被害を受けた(73%)」が、欧州では「政府による監視に対する懸念(39%)」が他国と比べ多くの回答を集めた。この違いは、米国では個人情報漏えいが多発したことや、欧州では個人情報の取り扱いに関する規制が整備されたことなどによって生じたと考えられる。また、自身の個人情報に関して、回答者の半数以上(56%)が、信頼できる会社に対してなら金銭と交換に個人情報を提供すると回答。企業が個人に支払うべきとする"価格"は、平均で1965円だった。また、ID・パスワードに関しては、最も金銭的価値の高い情報として回答されており、その価値は平均7584円だった。2016年から日本で導入される「マイナンバー制度」に類似する米国社会保障番号の価値は平均5568円と米国の個人ユーザーは回答している。
2015年04月28日猫の保護・譲渡活動を行う東京キャットガーディアンは、保護猫たちの世話に使うための支援物資を受け付けている。○保護猫たちのお世話に使える!!必要とされている支援物資は、キャットフードなどの猫用品や、使わなくなった生活用品全般。主な募集品目は下記の通りだ。■猫用品・猫用トイレ砂・ウェットフード(子猫用・成猫用)・ドライフード(子猫用・成猫用)・猫用おもちゃ■生活用品・使い捨て手袋・紙皿・紙コップ・使い捨てカイロ・ゴミ袋・デジタルキッチンスケール・紙製のガムテープ・タオル類・食器洗剤・ハンドソープ支援物資一覧は公式サイトにて確認できる。○送り先支援物資を送る場合は、連絡フォームにて詳細を入力し、「東京キャットガーディアン宛」に送付する。なお、送料は送り主負担とのこと。また、東京キャットガーディアンが運営する保護猫カフェ「大塚シェルター」や「西国分寺シェルター」に直接持ち込むことも可能。詳細は公式サイトにて確認できる。
2015年04月16日