ネットセキュリティ研究所は「日本情報漏えい年鑑2009」（2008年の個人情報漏洩まとめ）を発売しました。

------------------（以下、記事より引用）-----------------------------
2008年に発生した個人情報漏えいは120件

漏えいした個人情報が最も多かった事件

1位　ミネルヴァ・ホールディングスの最大65万 3424人（8月に発生）
2位　JALホテルズの14万5052人（12月に発生）
3位　日本ヒューレット・パッカードの13万9583人（2月に発生）

Winny関連で個人情報が最も多く漏えいした事件

1位　神奈川県教育委員会で 約11万人（11月に発生）
2位　サン・ライフの最大1万2000人（11月に発生）
3位新潟県総合生活協同組合の9558人（8月に発生）

------------------（引用、終了）-----------------------------

漏えいした人数は相当数にのぼります。
１２０件の個人情報漏洩のうち、「組織内部からの攻撃あるいは原因による漏えいは全体の83％」だそうです。
2009年の情報漏えいのニュースは続々報告され、耳慣れた感がありますが、個人情報漏えいによる損失は甚大です。
言うまでもありませんが、今年も個人情報の管理には神経を使う必要がありますね。

（以下、記事のURL）
「2008年発生の個人情報漏えい、ファイル共有ソフト関与は23％」
http://internet.watch.impress.co.jp/docs/news/20091216_336206.html

大企業による情報漏えい事件が続いていますが、顧客情報を流出させてしまった場合、顧客に対して、企業がとる対処はさまざまだと思います。

顧客名簿が流出した三菱UFJ証券は、顧客にギフトカードを配布することにしました。

-------------------（以下、記事より引用）-----------
三菱UFJ証券の元社員が顧客情報の名簿を不正に持ち出して業者に売却していた事件で、同社は20日、情報流出の被害に遭ったすべての顧客にお詫びとして1万円相当のギフトカードを配布することを明らかにした。6月末ごろに顧客に届けられる予定。対象者は約5万人で、総額は約5億円相当となる。
-------------------（引用、終了）-----------

金額の多寡や手段（ギフトカード）の良し悪しはともあれ、総額約5億円相当、配送料や人件費も考えると、コストは甚大です。事前にローコストで情報漏えい対策を行いましょう。

当社が提供する情報漏洩対策の総合的なソリューションについて、情報漏洩.comをご覧下さい。

（以下、記事より引用）
「三菱UFJ証券の顧客名簿流出、対象者に1万円分のギフトカード配布」
（2009/5/21 InternetWatchより）
http://internet.watch.impress.co.jp/cda/news/2009/05/21/23514.html

御社ではお客様向けの案内メールを送付するときに、ＢＣＣ機能を利用していますか？

ディズニーグッズの通販サイトから会員向けの案内メールを送信するとき、「送信相手を他の送信先に知らせないようにする機能（ＢＣＣ機能）を使わなかったため、送信先のメールアドレスが、それぞれわかってしまう状態に」なっており、「会員登録している顧客計１１５１人分のメールアドレスの一部を、他の会員にもわかるように送信していた」そうです。

お客様向けの案内メールは、システム関係者以外の従業員が送信することが多いため、パソコンに精通している人には常識的なことが、案外と知られていないことがあります。

顧客の情報流出には、このようなパターンもあり得るのだと考えさせられます。

（以下、引用した記事）
「ディズニーグッズ通販サイトからメアド大量流出」
http://www.yomiuri.co.jp/national/news/20090423-OYT1T00794.htm
(記事は掲載期間終了のため削除)

大企業による大規模な情報漏えい事件が世間を騒がしています。

４月１０日に発表したのは、ソニー生命保険、「契約者14万151人分の顧客情報が保存されたパソコン1台を紛失したと発表」しました。

本社内のフロア移転に伴う引越し作業でパソコン１台を紛失したそうで、「紛失したパソコンに保存されていたのは、2008年3月から2009年2月までに口座振替以外の手段で保険料を支払った顧客の情報。内容は証券番号、生年月日、契約日などで、氏名、住所、電話番号、口座情報は含まれていない」そうです。

「このパソコンに保存している情報を暗号化しているほか、パスワードとICカードによる認証などのセキュリティ対策を施している」そうです。

４月８日、三菱ＵＦＪ証券の記者会見により、ありえない情報流出事件が明らかになりました。
システム部の元部長代理が同僚のＩＤ，パスワードを不正利用してデータベースに接続し、全顧客約１４８万人分の情報を持ち出しました。名簿業者に販売、名簿の転売先が８０社近くに拡大し、悪質な勧誘電話を受けた顧客からの苦情も殺到しているそうです。

両社に共通していたのは、大企業で情報セキュリティ対策をしていたにもかかわらず、人為的な原因で、大規模な情報流出が起こってしまったということです。
両社ともコメントのしようがない、あってはならない事件ですが、対岸の火事と傍観せずに、自社のセキュリティ対策の参考にしたいものです。

（以下、記事のＵＲＬ）
「ソニー生命、14万人分の顧客情報保存したPCを紛失」
（2009/4/11 ItProより）
http://itpro.nikkeibp.co.jp/article/NEWS/20090411/328211/

「三菱ＵＦＪの情報流出、７７社に拡大」
（2009/4/17 読売オンラインより）
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm?from=y10

NTTデータ・セキュリティ社を中心に「クレジットカード情報の保護を推進する「日本カード情報セキュ
リティ協議会」の設立」に向けた準備事務局を開設しました。

-------------------（以下、記事より引用）-----------
協議会は、企業による個人情報の漏洩や、クレジットカード情報の不正な取得
を目的とした不正アクセスが増加しているといった状況を受け、クレジット
カード情報のセキュリティに関する企業が協力して、国内におけるクレジット
カード情報の保護に向けた情報を交換・連携する場として設立を目指す。
-------------------（引用、まとめ）-----------

顧客のクレジットカード情報を扱う企業は増えてきています。
顧客が法人のみではなく、個人顧客の場合、クレジットカードでの決済を選択する顧客も多く
なってきました。
顧客の個人情報を守るのは企業の責任です。そして堅固な社内体制を確立することにより、
情報漏えいを防ぎ、企業の信用力を高める必要が出てきています。

こんなご時勢に待望の「日本カード情報セキュリティ協議会」の設立、今後に注目したいですね。

（以下、記事のURL)
「日本カード情報セキュリティ協議会」設立準備会が発足」
（2009/3/5  Internet Watchより）
http://internet.watch.impress.co.jp/cda/news/2009/03/05/22691.html

先日、神奈川県立高校生の個人情報約11万件がファイル共有ソフトに流出しました（過去ブログ神奈川県から１１万人超、環境省から１３４２人分の個人情報が流出）。

「日本IBMが神奈川県教育委員会から受託していた授業料徴収システムに関連する資料の一部が、業務委託先の社員が所有するPCから流出したもの」で、日本IBMは、この問題に対する対応状況を報告しました。

--------------------（以下、記事より引用、まとめ）-------------------------------------
１．ネットワーク
当初、個人情報ファイルは「Winny」に流出したとみられたが、2008年11月「Share」で流出していることを確認

↓

[Share]ISPに協力を要請し、ファイルをダウンロード可能にしているユーザーを特定、ファイルの削除を要請
[Winny]2009年1月には、ネットワーク上に流出ファイルが再放流されているのを確認

↓

[Share]2009年2月末時点、ファイルをダウンロード可能にしていたユーザーのほとんどがファイルを削除
[Winny]ファイルとして完全にダウンロードすることは極めて難しいことを確認、ファイルの削除を要請中

２．法的措置
2008年12月から、ISPに対して、意図的に情報の拡散を図ったと見られる人物の発信者情報の開示請求を要請したが、任意開示得られず

↓

2009年2月、東京地裁に当該ISPへの発信者情報開示の仮処分を申請、仮処分が認められる

↓

2009年3月、当該人物に対して「情報の再発信の禁止」を求める仮処分を申請。本人に裁判所からの仮処分の通知がなされ、対応を注視

３．政府等への働きかけ
・経済産業省に報告
・ウイルスなどが介在して不正に取得された個人情報を意図的に拡散させる行為に対する法整備や規制強化を、関係省庁に求める活動も継続して実施
--------------------（引用、まとめ、終了）-------------------------------------

ざっと見ただけでも、かなりの労力が払われ、実際の人的コストは甚大だと思われます。
日本IBMほどの大企業であれば、この不景気の只中にあっても、きちんと対応するだけの余力がありますが、中小企業はそうも行かないでしょう。

病気と同じで、予防は治療に勝る、事前にローコストで情報漏えい対策を行いましょう。

ＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

そして、従業員が不用意に有害サイトにアクセスしないように、全米"インターネットフィルタリング部門"で5年連続NO.1の評価を受けているNet Nanny（ネットナニー）企業情報インターネットフィルタリングもあわせて、ご検討ください。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。

名古屋大学で、「同大工学部と大学院工学研究科の０３年当時の学生や教職員計１１４１人
分の個人情報がインターネット上に流出した」そうです。
この手のニュースでは、必ず「被害は出ていない」と一言加わりますが、今後、どうなるかは
不明です。

韓国で振り込め詐欺のグループが逮捕されましたが、「犯行に使われた
IDとパスワードが、2008年の某インターネットショッピングモールから
個人情報が大量に流出した事件によって漏えいした情報である可能性」
があるそうです。

あちこちで流出した個人情報が、数ヵ月後、数年後に悪用される危険性
が高く、将来にわたる被害が起こる可能性があります。

企業でも具体的な情報漏えい対策を行う必要があるでしょう。

（以下、引用した記事のURL)
「名古屋大：個人情報１１４１人分ネット流出」
（2009年2月28日　毎日新聞より）
http://mainichi.jp/life/electronics/news/20090228k0000m040144000c.html

「海の向こうの"セキュリティ"第30回」
（2009/03/03　InternetWatchより）
http://internet.watch.impress.co.jp/static/column/security/

神奈川県は「国に対して、地方公共団体が保有する個人情報を意図的に
流出させる行為に罰則を適用する法整備を要請」しました。

神奈川県立高校の生徒11万人以上の個人情報が流出した事件を受け、
「被害拡大の防止策を検討してきた」が、「インターネット上に意図的に
個人情報等を流出させる行為を規制する法律が十分でないことから、
現状としては対応に限界があると説明している」そうです。


多くの情報流出が社会問題化しているため、国が情報セキュリティ関連法の整備を行うこともありうるで
しょう。今後の動きに注目したいですね。（続く・・・）

2009年1月8日のブログ「IPA職員の私物パソコンから情報流出」で取り上げたIPA（情報処理推進機構）の職員による情報流出について、IPAは私物パソコンの分析結果と職員の処分等を発表しました。分析結果について関心のある方は、IPAのサイトをご覧下さい。

職員は、2008年12月から「Winny」や「Share」といったファイル交換ソフトを使い始め、「かな漢字変換ソフトや児童ポルノ等わいせつ画像を検索し、その一部をダウンロードした」ことも確認したそうです。IPAでは、職員について「当機構の信用を傷つけ、名誉を汚した」ため、懲戒処分「停職３月」としたそうです。

IPAでは再発防止のために、「理事長を本部長とする情報流出対策本部を設置」し、「職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するとともに、改めて全職員に対し情報セキュリティ研修会を実施している」そうです。

IPAは、以前から「セキュリティ対策を推進しており、ファイル交換ソフトの利用の危険性についてもかねてから注意喚起を行って」いたそうで、機構の性格上、職員の意識も高かったはずですが、このような皮肉な結果となってしまったのは残念です。

一般の企業では、情報漏えいのリスクはかなり高いといっても過言ではないでしょう。情報セキュリティ部門や管理部門、また顧客情報を管理している部門等、重要な情報は社内のあらゆる部署に分散しています。

不景気で多忙なこの時期に、社員の１人が自宅にデータを持ち帰って、私物パソコンで仕事をすることも十分ありえるでしょう。そのファイルがもし流出したら、大変なことになります。

このIPAの情報流出をきっかけに、従業員管理を徹底することをおすすめします。

当社が提供するＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。また、情報漏洩対策の総合的なソリューションもございます（情報漏洩.com）。

http://www.ipa.go.jp/about/press/20090119.html（IPAのプレス発表）

年明け早々、またしても大規模な情報流出が話題になっています。それも環境省や神奈川県というパブリックな組織からの大規模な情報流出であり、事態はかなり深刻です。

まず判明したのは、何と神奈川県立高校生全員の１１万人以上の個人情報の流出です。

「神奈川県立高校の０６年度の全在校生約１１万人分の個人情報がインターネット上に流出」し、「全生徒の住所、氏名、電話番号、授業料の振替口座」」が含まれているそうです。
県教委は、「全員におわびと情報が流出した金融期間の口座番号を変更するように求め」、「公共料金やクレジットカードの引き落としなどに使っており、口座番号を変更するのは大変だ」などの苦情が寄せられているそうです。

神奈川県教育委員会が日本ＩＢＭに受領量徴収システムの開発を依頼、ＩＢＭが作業委託した企業の社員パソコンからファイル交換ソフトを通して流出しました。

去年９月に県教委に匿名ファックスが届き、「１１月にファイル共有ソフト「シェア」のネットワーク上で、２千人分のデータが確認」され、７日には「別のファイル共有ソフト「ウィニー」のネットワーク上で１１万人分」のデータが確認されたそうです。


次は、環境省からで、小学生の個人情報が流出しました。
「同省が実施している大気汚染と健康の監視調査の対象者のうち、青森県八戸市、秋田市、岐阜市の小学生計１３４２人分の個人情報がインターネット上に流出した」そうで、「氏名、住所、生年月日と小学校名」が含まれているそうです。

データ入力を委託した企業のパソコンからファイル交換ソフトを通じて流出しました。
環境省のサイトによると、1日、秋田県庁に匿名で「秋田県庁に「インターネットの掲示板に情報が流出している」とファックスがあり、７日に秋田県より環境省に情報提供、８日には事実確認を行ったそうです。


両方とも、業務委託先の企業のパソコンがファイル交換ソフトを使用して、情報流出しています。記事には触れていませんが、この委託先の企業の今後の受注案件に大きな打撃を与えることは間違えありません。

もしあなたの企業が、この委託先の企業の立場になりうるとしたら、とても他人事とはいえないでしょう。
従業員が、業務用のパソコンでファイル交換ソフトを使っていたり、データを私物パソコンにコピーしたりする可能性はとても高いといえます。従業員管理の必要性を痛感せざるを得ない出来事です。

情報漏えいの話題が続きます。

IPA（情報処理推進機構）の職員が自宅で使った私物パソコンから、重要な情報が流出しました。

「流出したファイル数は16,208、うち文書ファイル約13,000」だそうで、IPA関連の情報のほか、職員が以前勤務していた企業の業務情報（約１０社）も情報漏えいし、１万件超の個人情報も含まれているそうです。

---------------------（以下、記事より引用）-------------
IPAではかねてから情報セキュリティ対策推進に注力してきており、WinnyやShareをはじめとしたファイル交換による情報流出についても繰り返し啓蒙活動を行っている。

2008年12月22日にもIPAは「年末年始における注意喚起」としてセキュリティ対策を啓蒙。「Winny等のファイル共有ソフトを介して、自宅に持ち帰った業務データが情報漏えいする事故も多数発生しています。」として、ファイル交換ソフトの使用による情報漏えいへの対策強化もあわせて呼びかけたばかりだった。
---------------------（引用、終了）----------------------------------

IPAが注意喚起を呼びかけた、まさに12月にIPA職員が使い始めたWinnyやShare等のファイル交換ソフトによって起こした大規模な情報漏えい事件、とても皮肉な結果となってしまいました。

IPAは再発防止に尽力する、とのコメントを出し、具体的な対応策をあげています。
「私物PCについては私的な領域のためファイル交換ソフトの使用は推奨しないという通達にとどめていたが、今回の件を受けて職員の私物PCについてもファイル交換ソフトの使用を禁止することにした」そうです。

この情報流出の経緯を見ると、対岸の火事とは言っていられなくなります。
社員が、何の気なしに私物パソコンや、USBメモリにコピーしたデータが情報流出する危険性は高まっています。

ＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。

（以下、記事のURL）
「IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出」
（2009/01/06　Internet Watchより）
http://internet.watch.impress.co.jp/cda/news/2009/01/06/22018.html

従業員が職場で就業時間中に、プライベートな目的でインターネットを利用していることに対して、ネットワーク管理者は、ウィルス侵入や業務効率低下、情報漏えいを心配しています。

---------------------（以下、記事より引用）------------
企業のネット管理者側が心配していることを聞いたところ、
　「ウイルスやスパイウェアの侵入（７３％）」
　「業務外のウェブ閲覧により、業務効率が低下（４２．２％）」
　「個人情報や機密情報の漏えい（４１．９％）」
などが上位になった。
仕事時間にサボってネットを見ていることが一番の問題かと思ったが、それよりもウイルス侵入などを心配しているネット管理者が多いようだ。掲示板などの利用により、個人情報や機密情報の漏えい、企業の対外信用の低下を心配する管理者もいる。

そのため多くの企業は、フィルタリングソフトなどを企業のサーバーに導入してウェブアクセスを制限している。制限対象の書き込み型サイトをネット管理者に 聞いたところ、「アダルト系のブログ（８１％）」「２ちゃんねる（７６．６％）」「ｍｉｘｉ（５５．２％）」「ポータルサイトの掲示板（３９．６％）」な どを制限していた。企業のネット管理者は、従業員が書き込み型のサイトを使うことを特に警戒している。
---------------------（引用、終了）-----------------------------------

社内のインターネットの不正利用を防ぎ、情報漏洩を防止するためには、インターネットの私的アクセスをフィルタリングソフトでブロックすることが必須です。

しかし、単に、フィルタリングするだけでは、限界があります。

フィルタリングに加えて、パソコンで行われている全ての作業を監視するPCモニタリングソフトを導入することで、組織内の不正行為を抑止し、企業の情報漏洩を完全に防ぐことができます。

当社は、全米インターネットフィルタリングレビューで4年連続No.1の NetNanny企業情報インターネットフィルタリングと米国トップテンレビューのPCモニタリング部門でNo.1のSpectorProの日本語版を提 供し、企業の安全なIT環境の構築を支援します。

当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。

吉本興業が、顧客の個人情報、1万2889件が流出したことを公表しました。

吉本興業が発表した「お客様情報の流出に関するお知らせ」を見ると、メルマガ会員やアンケート、芸人写真応募企画や、読者プレゼント、会員登録などで登録された個人情報で、内容は、名前、メールアドレスのほか、住所や年齢、電話番号、職業もあります。

---------------------（以下、ITMediaより引用）-----------------------------------
流出の原因は、吉本興業が利用しているサーバの1つのセキュリティ対策が不十分だったこと。管理会社がサーバを移管する際に、休止しているコンテンツのログファイルがインターネット上で閲覧できるようになっていた。「ユーザーがアクセスできる場所にログファイルを保存しており、ログファイルの一覧表示を許可していたことが最大の流出原因」という。」
---------------------（引用、終了）-----------------------------------

また、日本航空グループのJALホテルズは、約１４万５千人分の顧客の名前とメールアドレスが流出したことを公表しました。住所や電話番号は含まれていないそうです。

---------------------（以下、朝日コムより引用）-----------------------------------
日本航空グループのＪＡＬホテルズは１２月５日、約１４万５千人分の顧客の名前とメールアドレスがインターネット上に流出したと公表した。宣伝用メールの管理委託先の作業ミスにより、１０月１０日～１２月４日の間、メールの配信先である客のリストがネット上で閲覧できる状態になっていた。
---------------------（引用、終了）-----------------------------------

両社とも、管理会社や管理委託先により、情報が流出しており、「個人情報の管理を徹底化する」とのコメントを出し、個人情報の管理体制を見直しを行うようです。

今のところ、流出した個人情報を悪用されたとの報告はないようです。ただ、一度ネットに流出してしまったら、際限なくコピーされる可能性もあるので、回収は不可能で、いつ被害が出るのかもわからず、原因を特定することも難しくなります。

（以下、記事のＵＲＬ）
「吉本興業、個人情報流出の詳細を公表　「ログの一覧表示の許可が原因」」
（2008年11月27日　ITMediaより）
http://www.itmedia.co.jp/enterprise/articles/0811/27/news045.html

「ＪＡＬホテルズ、１４万人分の個人情報流出」
（2008年12月5日　朝日コムより）
http://www.asahi.com/digital/internet/TKY200812050277.html

日本原子力発電は、敦賀原発の内部情報がネット上に流出したことを発表しました。
同原発の男性社員が所有するパソコンが、暴露ウィルスに感染し、ファイル交換ソフトを介して、流出したそうです。

「流出したのは、コンクリート片などの低レベル放射性廃棄物を処理するプラズマ溶融炉の温度に関するデータや社内会議の議事録など０７、０８年度に作成された計約４８０件のファイル」です。

会社のパソコンではなく、従業員が所有するパソコンに多くのファイルを入れていたことも、企業の重要な内部情報が流出した一因だったかもしれません。内部統制の必要性を痛感させられる出来事です。

（以下、記事のＵＲＬです）
「情報流出：敦賀原発内部情報、社員パソコンから」
（2008年11月29日　毎日新聞より）
http://mainichi.jp/life/electronics/news/20081129dde041040078000c.html

米Symantecによると、「個人情報の売買などが行われるオンラインのアンダーグラウンド市場」の「市場規模は年間で2億7600万ドル以上になる」そうです。金額は「他人から盗んだ個人情報や詐欺関連のツールを扱うサイトの販売」総額です。

売買される個人情報は、最も多いのがクレジットカード情報（31%）で、「カード番号1枚あたりの販売額は0.10ドルから25ドル」、次に多いのが金融口座（20%）で、「1件あたり10ドルから1000ドルで販売」されるそうです。

日本でも、クレジットカード情報や金融口座の情報が盗まれたりする事件が増えてきています。

オンライン取引が増加してきたため、金融関係ではない一般の中小企業でも、個人のクレジットカード情報や金融口座を扱うようになってきました。

個人情報保護法も施行され、体制が整っている金融業界や、従業員の管理体制が確立している大企業でさえ、従業員による情報漏えいの問題に直面しています。
ましてや、中小企業で従業員による情報漏えいが起こったら、企業の屋台骨を揺るがすことにもなりかねません。

従業員管理を行うためには、それなりのツールが必要です。

社内のインターネットの不正利用を防ぎ、情報漏洩を防止するためには、まずはインターネットの私的アクセスをフィルタリングソフトでブロックします。そして、パソコンで行われている全ての作業を監視するPCモニタリングソフトを導入します。つまり、「モニタリングで抑止」、「フィルタリングでブロック」という２つの力が必要です。

当社は、全米インターネットフィルタリングレビューで4年連続No.1のNetNanny企業情報インターネットフィルタリングと米国トップテンレビューのPCモニタリング部門でNo.1のSpectorProの日本語版を提供しております。

組織内の不正行為を抑止し、企業の情報漏洩を完全に防ぐことで、企業の安全なIT環境の構築を支援します。

（以下、記事のURLです）
「個人情報売買など、オンラインの闇市場は年間2億7600ドル規模」
（2008/11/25 InternetWatchより）
http://internet.watch.impress.co.jp/cda/news/2008/11/25/21631.html