御社ではお客様向けの案内メールを送付するときに、ＢＣＣ機能を利用していますか？

ディズニーグッズの通販サイトから会員向けの案内メールを送信するとき、「送信相手を他の送信先に知らせないようにする機能（ＢＣＣ機能）を使わなかったため、送信先のメールアドレスが、それぞれわかってしまう状態に」なっており、「会員登録している顧客計１１５１人分のメールアドレスの一部を、他の会員にもわかるように送信していた」そうです。

お客様向けの案内メールは、システム関係者以外の従業員が送信することが多いため、パソコンに精通している人には常識的なことが、案外と知られていないことがあります。

顧客の情報流出には、このようなパターンもあり得るのだと考えさせられます。

（以下、引用した記事）
「ディズニーグッズ通販サイトからメアド大量流出」
http://www.yomiuri.co.jp/national/news/20090423-OYT1T00794.htm
(記事は掲載期間終了のため削除)

大企業による大規模な情報漏えい事件が世間を騒がしています。

４月１０日に発表したのは、ソニー生命保険、「契約者14万151人分の顧客情報が保存されたパソコン1台を紛失したと発表」しました。

本社内のフロア移転に伴う引越し作業でパソコン１台を紛失したそうで、「紛失したパソコンに保存されていたのは、2008年3月から2009年2月までに口座振替以外の手段で保険料を支払った顧客の情報。内容は証券番号、生年月日、契約日などで、氏名、住所、電話番号、口座情報は含まれていない」そうです。

「このパソコンに保存している情報を暗号化しているほか、パスワードとICカードによる認証などのセキュリティ対策を施している」そうです。

４月８日、三菱ＵＦＪ証券の記者会見により、ありえない情報流出事件が明らかになりました。
システム部の元部長代理が同僚のＩＤ，パスワードを不正利用してデータベースに接続し、全顧客約１４８万人分の情報を持ち出しました。名簿業者に販売、名簿の転売先が８０社近くに拡大し、悪質な勧誘電話を受けた顧客からの苦情も殺到しているそうです。

両社に共通していたのは、大企業で情報セキュリティ対策をしていたにもかかわらず、人為的な原因で、大規模な情報流出が起こってしまったということです。
両社ともコメントのしようがない、あってはならない事件ですが、対岸の火事と傍観せずに、自社のセキュリティ対策の参考にしたいものです。

（以下、記事のＵＲＬ）
「ソニー生命、14万人分の顧客情報保存したPCを紛失」
（2009/4/11 ItProより）
http://itpro.nikkeibp.co.jp/article/NEWS/20090411/328211/

「三菱ＵＦＪの情報流出、７７社に拡大」
（2009/4/17 読売オンラインより）
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm?from=y10

NTTデータ・セキュリティ社を中心に「クレジットカード情報の保護を推進する「日本カード情報セキュ
リティ協議会」の設立」に向けた準備事務局を開設しました。

-------------------（以下、記事より引用）-----------
協議会は、企業による個人情報の漏洩や、クレジットカード情報の不正な取得
を目的とした不正アクセスが増加しているといった状況を受け、クレジット
カード情報のセキュリティに関する企業が協力して、国内におけるクレジット
カード情報の保護に向けた情報を交換・連携する場として設立を目指す。
-------------------（引用、まとめ）-----------

顧客のクレジットカード情報を扱う企業は増えてきています。
顧客が法人のみではなく、個人顧客の場合、クレジットカードでの決済を選択する顧客も多く
なってきました。
顧客の個人情報を守るのは企業の責任です。そして堅固な社内体制を確立することにより、
情報漏えいを防ぎ、企業の信用力を高める必要が出てきています。

こんなご時勢に待望の「日本カード情報セキュリティ協議会」の設立、今後に注目したいですね。

（以下、記事のURL)
「日本カード情報セキュリティ協議会」設立準備会が発足」
（2009/3/5  Internet Watchより）
http://internet.watch.impress.co.jp/cda/news/2009/03/05/22691.html

「サイバー犯罪者らの法人顧客の口座への攻撃が増加している」そうです（RSAセキュリティによる）

「法人口座は個人に比べて被害金額が大きく」なります。もし御社の法人口座が攻撃されて、被害にあった場合、取り返しがつかなくなる可能性が高いでしょう。

「口座管理は経理にお任せ～」ではリスクが高すぎます。オンラインで被害を受けないように、情報セキュリティの面からも、「法人口座の管理に口を出す」をする必要が出てきているといえるでしょう。

（以下、記事より引用）
「法人口座に狙いを絞る―RSA セキュリティのオンライン犯罪傾向分析」
「同社によると、サイバー犯罪組織の Rock Phish 団の MS-Redirect ネットワーク上でホストされている攻撃には二つの目だった変化があるという。法人顧客の口座への攻撃と二要素認証コードの要求だ。
法人口座では、個人に比べて被害金額が大きくなる携行があるため、二要素認証コードが詐欺対策として提供されている。そのため Rock Phish 団は、二要素認証コードを盗むことで、口座に対するアクセスしようと試み始めているという。」
（2009/3/27 Japan Internet.comより）
http://japan.internet.com/webtech/20090327/1.html

先日、神奈川県立高校生の個人情報約11万件がファイル共有ソフトに流出しました（過去ブログ神奈川県から１１万人超、環境省から１３４２人分の個人情報が流出）。

「日本IBMが神奈川県教育委員会から受託していた授業料徴収システムに関連する資料の一部が、業務委託先の社員が所有するPCから流出したもの」で、日本IBMは、この問題に対する対応状況を報告しました。

--------------------（以下、記事より引用、まとめ）-------------------------------------
１．ネットワーク
当初、個人情報ファイルは「Winny」に流出したとみられたが、2008年11月「Share」で流出していることを確認

↓

[Share]ISPに協力を要請し、ファイルをダウンロード可能にしているユーザーを特定、ファイルの削除を要請
[Winny]2009年1月には、ネットワーク上に流出ファイルが再放流されているのを確認

↓

[Share]2009年2月末時点、ファイルをダウンロード可能にしていたユーザーのほとんどがファイルを削除
[Winny]ファイルとして完全にダウンロードすることは極めて難しいことを確認、ファイルの削除を要請中

２．法的措置
2008年12月から、ISPに対して、意図的に情報の拡散を図ったと見られる人物の発信者情報の開示請求を要請したが、任意開示得られず

↓

2009年2月、東京地裁に当該ISPへの発信者情報開示の仮処分を申請、仮処分が認められる

↓

2009年3月、当該人物に対して「情報の再発信の禁止」を求める仮処分を申請。本人に裁判所からの仮処分の通知がなされ、対応を注視

３．政府等への働きかけ
・経済産業省に報告
・ウイルスなどが介在して不正に取得された個人情報を意図的に拡散させる行為に対する法整備や規制強化を、関係省庁に求める活動も継続して実施
--------------------（引用、まとめ、終了）-------------------------------------

ざっと見ただけでも、かなりの労力が払われ、実際の人的コストは甚大だと思われます。
日本IBMほどの大企業であれば、この不景気の只中にあっても、きちんと対応するだけの余力がありますが、中小企業はそうも行かないでしょう。

病気と同じで、予防は治療に勝る、事前にローコストで情報漏えい対策を行いましょう。

ＰＣモニタリングソフト「スペクタープロ6.0」は、Ｗｅｂの閲覧記録やＥメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、ＵＳＢメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

そして、従業員が不用意に有害サイトにアクセスしないように、全米"インターネットフィルタリング部門"で5年連続NO.1の評価を受けているNet Nanny（ネットナニー）企業情報インターネットフィルタリングもあわせて、ご検討ください。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。