ネットセキュリティ研究所は「日本情報漏えい年鑑2009」（2008年の個人情報漏洩まとめ）を発売しました。

------------------（以下、記事より引用）-----------------------------
2008年に発生した個人情報漏えいは120件

漏えいした個人情報が最も多かった事件

1位　ミネルヴァ・ホールディングスの最大65万 3424人（8月に発生）
2位　JALホテルズの14万5052人（12月に発生）
3位　日本ヒューレット・パッカードの13万9583人（2月に発生）

Winny関連で個人情報が最も多く漏えいした事件

1位　神奈川県教育委員会で 約11万人（11月に発生）
2位　サン・ライフの最大1万2000人（11月に発生）
3位新潟県総合生活協同組合の9558人（8月に発生）

------------------（引用、終了）-----------------------------

漏えいした人数は相当数にのぼります。
１２０件の個人情報漏洩のうち、「組織内部からの攻撃あるいは原因による漏えいは全体の83％」だそうです。
2009年の情報漏えいのニュースは続々報告され、耳慣れた感がありますが、個人情報漏えいによる損失は甚大です。
言うまでもありませんが、今年も個人情報の管理には神経を使う必要がありますね。

（以下、記事のURL）
「2008年発生の個人情報漏えい、ファイル共有ソフト関与は23％」
http://internet.watch.impress.co.jp/docs/news/20091216_336206.html

大企業による情報漏えい事件が続いていますが、顧客情報を流出させてしまった場合、顧客に対して、企業がとる対処はさまざまだと思います。

顧客名簿が流出した三菱UFJ証券は、顧客にギフトカードを配布することにしました。

-------------------（以下、記事より引用）-----------
三菱UFJ証券の元社員が顧客情報の名簿を不正に持ち出して業者に売却していた事件で、同社は20日、情報流出の被害に遭ったすべての顧客にお詫びとして1万円相当のギフトカードを配布することを明らかにした。6月末ごろに顧客に届けられる予定。対象者は約5万人で、総額は約5億円相当となる。
-------------------（引用、終了）-----------

金額の多寡や手段（ギフトカード）の良し悪しはともあれ、総額約5億円相当、配送料や人件費も考えると、コストは甚大です。事前にローコストで情報漏えい対策を行いましょう。

当社が提供する情報漏洩対策の総合的なソリューションについて、情報漏洩.comをご覧下さい。

（以下、記事より引用）
「三菱UFJ証券の顧客名簿流出、対象者に1万円分のギフトカード配布」
（2009/5/21 InternetWatchより）
http://internet.watch.impress.co.jp/cda/news/2009/05/21/23514.html

御社ではお客様向けの案内メールを送付するときに、ＢＣＣ機能を利用していますか？

ディズニーグッズの通販サイトから会員向けの案内メールを送信するとき、「送信相手を他の送信先に知らせないようにする機能（ＢＣＣ機能）を使わなかったため、送信先のメールアドレスが、それぞれわかってしまう状態に」なっており、「会員登録している顧客計１１５１人分のメールアドレスの一部を、他の会員にもわかるように送信していた」そうです。

お客様向けの案内メールは、システム関係者以外の従業員が送信することが多いため、パソコンに精通している人には常識的なことが、案外と知られていないことがあります。

顧客の情報流出には、このようなパターンもあり得るのだと考えさせられます。

（以下、引用した記事）
「ディズニーグッズ通販サイトからメアド大量流出」
http://www.yomiuri.co.jp/national/news/20090423-OYT1T00794.htm
(記事は掲載期間終了のため削除)

大企業による大規模な情報漏えい事件が世間を騒がしています。

４月１０日に発表したのは、ソニー生命保険、「契約者14万151人分の顧客情報が保存されたパソコン1台を紛失したと発表」しました。

本社内のフロア移転に伴う引越し作業でパソコン１台を紛失したそうで、「紛失したパソコンに保存されていたのは、2008年3月から2009年2月までに口座振替以外の手段で保険料を支払った顧客の情報。内容は証券番号、生年月日、契約日などで、氏名、住所、電話番号、口座情報は含まれていない」そうです。

「このパソコンに保存している情報を暗号化しているほか、パスワードとICカードによる認証などのセキュリティ対策を施している」そうです。

４月８日、三菱ＵＦＪ証券の記者会見により、ありえない情報流出事件が明らかになりました。
システム部の元部長代理が同僚のＩＤ，パスワードを不正利用してデータベースに接続し、全顧客約１４８万人分の情報を持ち出しました。名簿業者に販売、名簿の転売先が８０社近くに拡大し、悪質な勧誘電話を受けた顧客からの苦情も殺到しているそうです。

両社に共通していたのは、大企業で情報セキュリティ対策をしていたにもかかわらず、人為的な原因で、大規模な情報流出が起こってしまったということです。
両社ともコメントのしようがない、あってはならない事件ですが、対岸の火事と傍観せずに、自社のセキュリティ対策の参考にしたいものです。

（以下、記事のＵＲＬ）
「ソニー生命、14万人分の顧客情報保存したPCを紛失」
（2009/4/11 ItProより）
http://itpro.nikkeibp.co.jp/article/NEWS/20090411/328211/

「三菱ＵＦＪの情報流出、７７社に拡大」
（2009/4/17 読売オンラインより）
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm?from=y10

「サイバー犯罪者らの法人顧客の口座への攻撃が増加している」そうです（RSAセキュリティによる）

「法人口座は個人に比べて被害金額が大きく」なります。もし御社の法人口座が攻撃されて、被害にあった場合、取り返しがつかなくなる可能性が高いでしょう。

「口座管理は経理にお任せ～」ではリスクが高すぎます。オンラインで被害を受けないように、情報セキュリティの面からも、「法人口座の管理に口を出す」をする必要が出てきているといえるでしょう。

（以下、記事より引用）
「法人口座に狙いを絞る―RSA セキュリティのオンライン犯罪傾向分析」
「同社によると、サイバー犯罪組織の Rock Phish 団の MS-Redirect ネットワーク上でホストされている攻撃には二つの目だった変化があるという。法人顧客の口座への攻撃と二要素認証コードの要求だ。
法人口座では、個人に比べて被害金額が大きくなる携行があるため、二要素認証コードが詐欺対策として提供されている。そのため Rock Phish 団は、二要素認証コードを盗むことで、口座に対するアクセスしようと試み始めているという。」
（2009/3/27 Japan Internet.comより）
http://japan.internet.com/webtech/20090327/1.html

名古屋大学で、「同大工学部と大学院工学研究科の０３年当時の学生や教職員計１１４１人
分の個人情報がインターネット上に流出した」そうです。
この手のニュースでは、必ず「被害は出ていない」と一言加わりますが、今後、どうなるかは
不明です。

韓国で振り込め詐欺のグループが逮捕されましたが、「犯行に使われた
IDとパスワードが、2008年の某インターネットショッピングモールから
個人情報が大量に流出した事件によって漏えいした情報である可能性」
があるそうです。

あちこちで流出した個人情報が、数ヵ月後、数年後に悪用される危険性
が高く、将来にわたる被害が起こる可能性があります。

企業でも具体的な情報漏えい対策を行う必要があるでしょう。

（以下、引用した記事のURL)
「名古屋大：個人情報１１４１人分ネット流出」
（2009年2月28日　毎日新聞より）
http://mainichi.jp/life/electronics/news/20090228k0000m040144000c.html

「海の向こうの"セキュリティ"第30回」
（2009/03/03　InternetWatchより）
http://internet.watch.impress.co.jp/static/column/security/

ファイルの情報流出が話題ですが、「ファイル共有ソフト利用者の3人に2人は情報流出を心配」
しているそうです。（昨年9月、日立製作所ｲﾝｼﾃﾞﾝﾄﾚｽﾎﾟﾝｽﾁｰﾑによるインターネットユーザ対象の
オンラインアンケート。有効回答2万189人）

ファイル共有ソフトや利用目的についても、かなり具体的に
あがっています。

「1年以内にファイル共有ソフトを利用した経験のあるユーザーは
10.3％」（昨年度9.6％）、
「利用しているファイル共有ソフトは、「Winny」が28.4％、
「Limewire」18.3％、「Cabos」15.1％、
「WinMX」10.3％、「Share」10.2％」だそうです。


「ファイル共有ソフトの利用目的では、「無料で音楽ファイルがダウンロードできる」58.0％、
「無料で映画がダウンロードできる」24.7％、「無料でアダルト映像がダウンロードできる」
21.6％などが上位」です。

ちなみに「ファイル共有ソフトを介してウイルスをダウンロードしたことがあるユーザーは
45.5％で、そのうち「感染した」のは17.3％」です。
「ウィルスのダウンロード経験をソフト別に見ると、「Share」が59.3％で最も多かったが、
「感染した」に限ると「Winny」が22.6％」が多いです。

ファイル共有ソフトによる情報流出を心配して「「自宅のPCでは勤務先の仕事をしない」
ユーザーは70.7％を占め、2007年調査の57.7％から増加」しているそうです。

IPAではありませんが、よっぽど大きな流出事件でも起こらない限り、従業員に対して、
自宅のパソコンでのファイル共有ソフトの利用を禁止するのは難しいでしょう。
でも情報流出が起こってしまったら大変です。
禁止までは行かなくても、「自宅PCで仕事をしない」や「仕事のファイルを持ち出さない」など、
「ファイル共有ソフトによる情報漏洩被害の防止に向けた啓発」が必要でしょう。

さて、御社では情報流出防止のため、従業員管理はどのようにされていますか？（続く・・・）

2009年1月8日のブログ「IPA職員の私物パソコンから情報流出」で取り上げたIPA（情報処理推進機構）の職員による情報流出について、IPAは私物パソコンの分析結果と職員の処分等を発表しました。分析結果について関心のある方は、IPAのサイトをご覧下さい。

職員は、2008年12月から「Winny」や「Share」といったファイル交換ソフトを使い始め、「かな漢字変換ソフトや児童ポルノ等わいせつ画像を検索し、その一部をダウンロードした」ことも確認したそうです。IPAでは、職員について「当機構の信用を傷つけ、名誉を汚した」ため、懲戒処分「停職３月」としたそうです。

IPAでは再発防止のために、「理事長を本部長とする情報流出対策本部を設置」し、「職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するとともに、改めて全職員に対し情報セキュリティ研修会を実施している」そうです。

IPAは、以前から「セキュリティ対策を推進しており、ファイル交換ソフトの利用の危険性についてもかねてから注意喚起を行って」いたそうで、機構の性格上、職員の意識も高かったはずですが、このような皮肉な結果となってしまったのは残念です。

一般の企業では、情報漏えいのリスクはかなり高いといっても過言ではないでしょう。情報セキュリティ部門や管理部門、また顧客情報を管理している部門等、重要な情報は社内のあらゆる部署に分散しています。

不景気で多忙なこの時期に、社員の１人が自宅にデータを持ち帰って、私物パソコンで仕事をすることも十分ありえるでしょう。そのファイルがもし流出したら、大変なことになります。

このIPAの情報流出をきっかけに、従業員管理を徹底することをおすすめします。

当社が提供するＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。また、情報漏洩対策の総合的なソリューションもございます（情報漏洩.com）。

http://www.ipa.go.jp/about/press/20090119.html（IPAのプレス発表）

年明け早々、またしても大規模な情報流出が話題になっています。それも環境省や神奈川県というパブリックな組織からの大規模な情報流出であり、事態はかなり深刻です。

まず判明したのは、何と神奈川県立高校生全員の１１万人以上の個人情報の流出です。

「神奈川県立高校の０６年度の全在校生約１１万人分の個人情報がインターネット上に流出」し、「全生徒の住所、氏名、電話番号、授業料の振替口座」」が含まれているそうです。
県教委は、「全員におわびと情報が流出した金融期間の口座番号を変更するように求め」、「公共料金やクレジットカードの引き落としなどに使っており、口座番号を変更するのは大変だ」などの苦情が寄せられているそうです。

神奈川県教育委員会が日本ＩＢＭに受領量徴収システムの開発を依頼、ＩＢＭが作業委託した企業の社員パソコンからファイル交換ソフトを通して流出しました。

去年９月に県教委に匿名ファックスが届き、「１１月にファイル共有ソフト「シェア」のネットワーク上で、２千人分のデータが確認」され、７日には「別のファイル共有ソフト「ウィニー」のネットワーク上で１１万人分」のデータが確認されたそうです。


次は、環境省からで、小学生の個人情報が流出しました。
「同省が実施している大気汚染と健康の監視調査の対象者のうち、青森県八戸市、秋田市、岐阜市の小学生計１３４２人分の個人情報がインターネット上に流出した」そうで、「氏名、住所、生年月日と小学校名」が含まれているそうです。

データ入力を委託した企業のパソコンからファイル交換ソフトを通じて流出しました。
環境省のサイトによると、1日、秋田県庁に匿名で「秋田県庁に「インターネットの掲示板に情報が流出している」とファックスがあり、７日に秋田県より環境省に情報提供、８日には事実確認を行ったそうです。


両方とも、業務委託先の企業のパソコンがファイル交換ソフトを使用して、情報流出しています。記事には触れていませんが、この委託先の企業の今後の受注案件に大きな打撃を与えることは間違えありません。

もしあなたの企業が、この委託先の企業の立場になりうるとしたら、とても他人事とはいえないでしょう。
従業員が、業務用のパソコンでファイル交換ソフトを使っていたり、データを私物パソコンにコピーしたりする可能性はとても高いといえます。従業員管理の必要性を痛感せざるを得ない出来事です。

情報漏えいの話題が続きます。

IPA（情報処理推進機構）の職員が自宅で使った私物パソコンから、重要な情報が流出しました。

「流出したファイル数は16,208、うち文書ファイル約13,000」だそうで、IPA関連の情報のほか、職員が以前勤務していた企業の業務情報（約１０社）も情報漏えいし、１万件超の個人情報も含まれているそうです。

---------------------（以下、記事より引用）-------------
IPAではかねてから情報セキュリティ対策推進に注力してきており、WinnyやShareをはじめとしたファイル交換による情報流出についても繰り返し啓蒙活動を行っている。

2008年12月22日にもIPAは「年末年始における注意喚起」としてセキュリティ対策を啓蒙。「Winny等のファイル共有ソフトを介して、自宅に持ち帰った業務データが情報漏えいする事故も多数発生しています。」として、ファイル交換ソフトの使用による情報漏えいへの対策強化もあわせて呼びかけたばかりだった。
---------------------（引用、終了）----------------------------------

IPAが注意喚起を呼びかけた、まさに12月にIPA職員が使い始めたWinnyやShare等のファイル交換ソフトによって起こした大規模な情報漏えい事件、とても皮肉な結果となってしまいました。

IPAは再発防止に尽力する、とのコメントを出し、具体的な対応策をあげています。
「私物PCについては私的な領域のためファイル交換ソフトの使用は推奨しないという通達にとどめていたが、今回の件を受けて職員の私物PCについてもファイル交換ソフトの使用を禁止することにした」そうです。

この情報流出の経緯を見ると、対岸の火事とは言っていられなくなります。
社員が、何の気なしに私物パソコンや、USBメモリにコピーしたデータが情報流出する危険性は高まっています。

ＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。

（以下、記事のURL）
「IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出」
（2009/01/06　Internet Watchより）
http://internet.watch.impress.co.jp/cda/news/2009/01/06/22018.html

従業員が職場で就業時間中に、プライベートな目的でインターネットを利用していることがよくあります。

ネットスターが行ったアンケートによると、６５％の人が「職場においてプライベートな目的でウェブサイトを見て」おり、そのうち５７％が「ほぼ毎日」と答えたそうです。

なんと職場でネットショッピングをしたり、ネットオークションに参加していることもあるようです。

---------------------（以下、記事より引用）----------------------------------
「ニュース・天気予報・スポーツ（７４．２％）」「プライベートな調べもの（７１．４％）」などが多くなっている。また個人メールを読むための「ウェブメールの利用（３４．６％）」や、仕事とまったく関係のない「ショッピング（１７．７％）」「オークション（１７．１％）」などもあった。
（ネットスター「第５回　職場でのインターネット利用実態調査」より）
---------------------（引用、終了）-----------------------------------

この数値を見ると、パソコンに向かってまじめな顔でキーボードをたたいている従業員の後ろに、仁王立ちにたって、監視したい衝動が沸き起こります。しかし現実的には不可能、管理者の業務がまったく進まず、かえって非効率的です。

パソコンで行われる全ての作業を記録するＰＣモニタリングソフト「スペクタープロ6.0」にお任せください。
Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

また、従業員が不用意に有害サイトにアクセスしないように、全米"インターネットフィルタリング部門"で4年連続NO.1の評価を受けているNet Nanny（ネットナニー）企業情報インターネットフィルタリングもあわせて、ご検討ください。

（以下、記事のＵＲＬ）
「職場での私的ネット利用の問題点」
（2008年11月21日  読売新聞より）
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081121nt10.htm

吉本興業が、顧客の個人情報、1万2889件が流出したことを公表しました。

吉本興業が発表した「お客様情報の流出に関するお知らせ」を見ると、メルマガ会員やアンケート、芸人写真応募企画や、読者プレゼント、会員登録などで登録された個人情報で、内容は、名前、メールアドレスのほか、住所や年齢、電話番号、職業もあります。

---------------------（以下、ITMediaより引用）-----------------------------------
流出の原因は、吉本興業が利用しているサーバの1つのセキュリティ対策が不十分だったこと。管理会社がサーバを移管する際に、休止しているコンテンツのログファイルがインターネット上で閲覧できるようになっていた。「ユーザーがアクセスできる場所にログファイルを保存しており、ログファイルの一覧表示を許可していたことが最大の流出原因」という。」
---------------------（引用、終了）-----------------------------------

また、日本航空グループのJALホテルズは、約１４万５千人分の顧客の名前とメールアドレスが流出したことを公表しました。住所や電話番号は含まれていないそうです。

---------------------（以下、朝日コムより引用）-----------------------------------
日本航空グループのＪＡＬホテルズは１２月５日、約１４万５千人分の顧客の名前とメールアドレスがインターネット上に流出したと公表した。宣伝用メールの管理委託先の作業ミスにより、１０月１０日～１２月４日の間、メールの配信先である客のリストがネット上で閲覧できる状態になっていた。
---------------------（引用、終了）-----------------------------------

両社とも、管理会社や管理委託先により、情報が流出しており、「個人情報の管理を徹底化する」とのコメントを出し、個人情報の管理体制を見直しを行うようです。

今のところ、流出した個人情報を悪用されたとの報告はないようです。ただ、一度ネットに流出してしまったら、際限なくコピーされる可能性もあるので、回収は不可能で、いつ被害が出るのかもわからず、原因を特定することも難しくなります。

（以下、記事のＵＲＬ）
「吉本興業、個人情報流出の詳細を公表　「ログの一覧表示の許可が原因」」
（2008年11月27日　ITMediaより）
http://www.itmedia.co.jp/enterprise/articles/0811/27/news045.html

「ＪＡＬホテルズ、１４万人分の個人情報流出」
（2008年12月5日　朝日コムより）
http://www.asahi.com/digital/internet/TKY200812050277.html

日本原子力発電は、敦賀原発の内部情報がネット上に流出したことを発表しました。
同原発の男性社員が所有するパソコンが、暴露ウィルスに感染し、ファイル交換ソフトを介して、流出したそうです。

「流出したのは、コンクリート片などの低レベル放射性廃棄物を処理するプラズマ溶融炉の温度に関するデータや社内会議の議事録など０７、０８年度に作成された計約４８０件のファイル」です。

会社のパソコンではなく、従業員が所有するパソコンに多くのファイルを入れていたことも、企業の重要な内部情報が流出した一因だったかもしれません。内部統制の必要性を痛感させられる出来事です。

（以下、記事のＵＲＬです）
「情報流出：敦賀原発内部情報、社員パソコンから」
（2008年11月29日　毎日新聞より）
http://mainichi.jp/life/electronics/news/20081129dde041040078000c.html