HOME ＞スタッフブログ＞最近の犯罪について＞情報漏洩対策　Pマーク取得企業も含め防犯上留意すべきこと

スタッフブログ

情報漏洩対策　Pマーク取得企業も含め防犯上留意すべきこと

情報漏洩が発生すると、大きな損害

海上自衛隊1等海佐が安全保障上の重要機密である「特定秘密」を洩らしたとして、2022年12月26日懲戒処分を受けました。
「特定秘密保護法」違反の疑いで書類送検となっています。

数ヶ月前には、「かっぱ寿司」の元社長が以前の務め先である「はま寿司」の原価や仕入先などの営業秘密データを役員であった立場を利用して不正取得して「不正競争防止法」違反で逮捕されました。

このように、情報漏えい問題として、顧客データの流出や機密情報の不正持ち出しなどのニュースが連日のように報道されています。

●川崎医科大（倉敷市）同大教員研究室からノートパソコン12台などが盗難。3台のパソコンには付属病院の患者約100人の個人情報が含まれている。

●岡山大学（岡山市）医歯薬学総合研究科の患者7人分の氏名や治療計画、画像データなどの個人情報が入ったパソコン2台が研究室から盗難。

●大手自動車。顧客情報538万人分。架空請求の二次被害。

●大手銀行　顧客情報86店　96万人分記載のＡＴＭ資料・伝票紛失。名義・住所・口座番号、取引金額など

●テレビ朝日　番組出演者など108名分。インターネットに流出。

●テレビ東京　取材候補先の担当者47人。制作スタッフがWinnyを通じ流出。

●東京社会保険事務所　被保険者4,708人分。情報を含むフロッピー紛失。

●コスモ・ザ・カード会員の個人情報923,239人分。業務委託先を含む内部関係者による漏洩と思われる。

●車上荒らしで保険会社社員が個人情報入りデータディスク盗難。

●メーカーの派遣社員が個人情報データ4万人分を持ち出す。

日本ネットワークセキュリティ協会（JNSA）の「2018年情報セキュリティインシデントに関する調査報告書」によると、
情報漏洩インシデント１件当たりの平均想定損害賠償額は6億3,767万円となっています。

社名が報道された場合には、株価急落によって時価総額が減少するなどの間接被害も想定されることから、最終的に会社の存続に関わるような損失に膨れ上がる恐れがあります。

●会社の信用を失う。

●顧客や取引先を失う。

●多額な損害賠償が発生する可能性がある。

●事業の継続が難しくなることも珍しくない。

情報漏えいに対する社会的危機感の拡大から、個人情報をはじめとした社内データの適正な利用と保護を促すため、企業の情報利用に関わる法制度の見直しが進んでいます。

2022年4月から施行された「改正個人情報保護法」では、漏えい発生時に個人情報保護委員会への報告と本人への通知が義務化されるようになりました。

情報資産の保護だけでなく企業の社会的信用を失墜させないためにも、情報漏えいを防ぐための環境整備は必要不可欠です。

情報漏洩の８割が「内部不正」

★情報漏洩は約８０％超が内部から発生しています。

最も多いのが、中途退職者（役員・正規社員）で、３６．３％

次が、現職従業員の誤操作、誤認　２１．２％
現職従業員のルール不徹底　１９．５％
現職従業員による金銭目的等　８．０％
契約終了または中途退職した契約社員　１．８％

となっています。

今問題となっているサイバー攻撃などによる社内ネットワークへの侵入は８．０％でしたが、今後は増えていくものと考えられます。

（参照・引用）ソフトバンク　ビジネスブログ

Pマークとは何か？

Pマークとは、プライバシーマークのことです。

プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

一般財団法人日本情報経済社会推進協会　
のホームページには下記のような記載があります。

個人情報の保護に関して国の行政機関においては、「行政機関が保有する電子計算機処理に係る個人情報の保護に関する法律」（昭和63年12月法律第95号）が制定されてきましたが、平成15年5月30日に改正（平成15年法律第58号）されました。

一方、民間部門における個人情報の取扱いに関しては、インターネットをはじめとしたネットワーク技術や情報処理技術の進展により、個人情報がネットワーク上でやり取りされコンピュータで大量に処理されている現状において、個人情報保護が強く求められるようになってきました。

そのため、早期に実施が可能であり実効性のある個人情報の保護のための方策の実施が求められてきたところから、財団法人日本情報処理開発協会（現、一般財団法人日本情報経済社会推進協会）では通商産業省（現、経済産業省）の指導を受けて、プライバシーマーク制度を創設して平成10年4月1日より運用を開始しました。

プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証として“プライバシーマーク”の使用を認める制度で、次の目的を持っています。

消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること

適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること

その後、平成15年5月30日に民間の事業者を対象とする「個人情報の保護に関する法律」（平成15年法律第57号）が制定・公布され、平成17年4月1日から全面的に施行されました。個人情報を取扱う事業者は、この法律に適合することが求められます。

プライバシーマークは、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとして活用することができます。

プライバシー、個人情報って何？

個人情報は「本人を識別できる情報」であるのに対して、プライバシーとは「他人から干渉されない権利」のことを指します。

★プライバシー

「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。」（小学館「大辞泉」より)」とされています。

★個人情報

個人情報保護法では、「特定の個人を識別することができる情報」とされています。

例えば、氏名だけでも個人情報に該当しますが、誰の音声かが識別できる音声録音情報や、氏名と社名が含まれるメールアドレス、防犯カメラに記録された顔画像（本人が判別できる程度には大きく鮮明に写っているもの）なども、個人情報に該当する例として挙げられます。

また、個人情報保護法は、「個人識別符号」を含む情報を、「個人情報」に含まれるものと定めています。

「個人識別符号」とは、
身体の一部の特徴を電子計算機のために変換した符号、または②サービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するもので、政令で指定されています。

具体的には、
①指紋、DNA、顔の骨格などの身体の特徴データや、
②マイナンバー、パスポートや運転免許証の番号など、個々人に対して割り当てられる公的な番号が、
これにあたります。

【要配慮個人情報】

個人情報保護法は、「個人情報」のうち一部の情報を「要配慮個人情報」と定め、一段高い規律を及ぼしています。
不当な差別や偏見を生じさせるような機微情報については、「個人情報」の中でも取り扱いに配慮すべきとして、情報の取得には、原則として事前に本人の同意を得る必要があると定められています。

何が「要配慮個人情報」にあたるかは、政令で定められています。具体的には、人種、信条、社会的身分、病歴、前科、犯罪被害情報、身体・知的・精神障がいがあることや、健康診断結果等が、「要配慮個人情報」にあたります。他方、国籍や本籍地は、単独では「要配慮個人情報」に該当しないとされています。

①　一般的な個人情報
・氏名、住所、生年月日など
・移動履歴、購買履歴など（他の情報と容易に照合することができ、それにより特定の人を選別することができる情報）

②　個人識別符号
・指紋認識データ、顔画像データ、歩容認証データなど

③　個人識別符号
・個人番号（マイナンバー）
・運転免許証番号
・パスポート番号
・基礎年金番号
・保険証番号。

④要配慮個人情報
・人種・信条・社会的身分・病歴・犯罪履歴・犯罪により害を被った事実

【個人情報に該当する事例】（経済産業省資料より抜粋）
事例１）本人の氏名

事例２）生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例３）防犯カメラに記録された情報等本人が判別できる映像情報

事例４）特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp 等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

事例５）特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

事例６）雇用管理情報（事業者が労働者等（個人情報取扱事業者に使用されている労働者、個人情報取扱事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において個人情報取扱事業者に使用されていた者。以下同じ。）の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等の機微に触れる情報（以下「機微に触れる情報」という。）を含む労働者個人に関するすべての情報が該当する。以下同じ。）

事例７）個人情報を取得後に当該情報に付加された個人に関する情報（取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。）

事例８）官報、電話帳、職員録等で公にされている情報（本人の氏名等）

【個人情報に該当しない事例】
事例１）企業の財務情報等、法人等の団体そのものに関する情報（団体情報）

事例２）記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)

事例３）特定の個人を識別することができない統計情報

●　「データベース提供罪」ができた。個人情報データベースなどを取り扱う個人情報取扱事業者やその従業者などが、不正な利益を図る目的で提供もしくは盗用した場合、1年以下の懲役または50万円以下の罰金を科せられるという罰則。

漏洩、滅失、毀損の違い

★漏洩

外部に流出してしまうこと。
メール等の誤送付、公開範囲の設定ミス、盗難等。
第三者に閲覧されないうちにすべて回収できればあたらない。

★滅失

内容が失われてしまうこと。
個人データの載った帳簿の誤廃棄、紛失等。
その内容と同じものが他に保管されていれば滅失したとは言えない。(理由があって削除する場合もあたらない)

★毀損

内容が意図せず変更され、利用できなくなってしまうこと。
内容の改ざんや暗号化に遭ったデータが復元できない等。

【令和4年（2022年）4月に改正法が施行】

令和2年（2020年）に成立した改正個人情報保護法（令和2年改正個人情報保護法）は、一部を除き令和4年（2022年）4月1日に施行されます。

改正法では、個人の権利利益保護の強化、事業者の守るべき責務の在り方、データの利活用など、社会の変化を踏まえた改正を行っています。

●本人の個人情報に対するコントロール権の拡充（保有個人データの利用停止・消去・第三者への提供停止を請求するための要件の緩和など）

●事業者の責務の追加（情報漏えい発生時の報告・本人への通知義務など）

●法律違反の場合の厳罰化（法定刑の引き上げ）など。

参照・引用

JNET21

セキュマガ

個人情報保護法に対応するための　個人情報漏洩対策

情報漏洩を防ぐためには、

情報漏洩を起こさないための対策を取ることが不可欠です。

情報漏洩の経路には

①内部犯行

②外部からの侵入による犯行

の２種類があり、夫々に対策を行う必要があります。

内部の人間に対しても、外部の人間に対しても、「この企業は情報漏洩対策は万全である」ことを知らしめることが重要です。「魔が差した」という気持ちにしないことが大切です。

内部犯行対策

「防犯カメラ＋α」でこそ、防犯目的は達成できる

まず、多くの企業が考えるのは「防犯カメラの設置」です。

防犯カメラの設置はたしかに「犯罪者が嫌がる４原則」である「目」に当たるため、犯罪しようと企てる犯罪者に対しては効果があります。

「どこかターゲットは？」と思いながら犯罪ターゲットを物色（下見）している場合や、内部犯行の場合には、「犯罪を思いとどませる」効果があります。

しかしながら、それでも犯罪を起こす犯罪者は残念ながらいます。
その場合には、防犯カメラは「犯罪発生後の状況確認」になってしまいます。

事後確認では本来の「情報漏洩を防止する」という目的には合致しません。そこで、防犯のプロであるセキュリティハウスは「防犯カメラ＋α」をお勧めしています。

防犯カメラ設置で、個人情報保護法にも対応するために行うべきこと。

現在の防犯カメラの映像は個人情報保護法の対象となりますので、
下記を実施することが必要です。

●就業規則に「機密保持」の項目があり、その取扱い対象を定義すると同時に、社外に持ち出したりUSBなどに記憶させることを禁じる。

●従業員に対して情報漏洩対策に防犯カメラ及び防犯システムを設置することを明確にする。

●防犯カメラの録画映像の取り扱い規約を作成し、犯罪や問題発生時におみに閲覧することや閲覧可能な人間の制限、保管方法、消去法法などを定める。

●防犯カメラ映像利用目的を告知するシールを貼る。

●プライバシーポリシーを公開する。

●機密保持契約を締結する。

防犯カメラの映像が誰かに見られ分析されるという悪夢が現実に。。

●初期設定のままでは使用しないでください。

●必ずアカウント名、パスワードを初期状態から変更してください。

●遠隔監視をしていた担当者や役員が退社した場合、すみやかに全ての情報を変更する必要があります。

●遠隔監視用のソフトウェアは国内メーカーのきちんと管理されたものを選ぶ。

●定期的に防犯カメラのＩＤパスワードは変更する。

防犯カメラ＋入退出管理

機密書類やデータを取り扱う部署やエリアへの入退出を管理し、

●　入室権限のある人間だけを入室し、権限のない人間の入室をシャットアウトする。

●　入室権限のある人間が入室したとしても、不正なデータ持ち出しができないしくみを作る。

・パソコンの立ち上げは個人識別のできるIDパスワード。

・退社した人間がいる場合には暗証番号やIDパスワード、書類保管庫の鍵保管場所などを変える。

・パソコンにUSBメモリーなどを使用できないように制限する。

・大容量のデータ送信アプリの使用制限と管理。

・入退出管理システムと防犯カメラを連動。誰が何時に入室し、何時に退出したかをPCに自動記録すると同時に、防犯カメラにて行動を記録する。機密文章を補完する書庫の鍵をIDパスワードで制限すると同時にPCに自動記録する。

・サイバーテロ対策などを十分に行う。

・機密文章がどれなのかを明確にし、その取扱い方法、注意などを就業規則などに記載、社員への教育など徹底を図る。

・従業員との間に「機密保持契約」を締結。

外部犯行対策

犯罪者を近づけさせない。　敷地の中に侵入させない。防犯カメラ＋自主機械警備システム

予防・抑止

「侵入しにくい」場所であることを示すことが重要

侵入者は建物の外観を下見して侵入対象を判断します。警備中であることをが分かれば、侵入対象から外れることができます。「犯罪者に狙わせない」ためには、セキュリティの高さをアピールして、「侵入しにくい」場所であることを示すことが重要です。

自主機械警備システムの設置が有効

建物外部に赤外線センサーや防犯カメラ、警報ベルやフラッシュライトを設置することで、警備中であることを示すことができます。見せる防犯。

夜間や休日などに敷地の中や建物内、重要な部屋などに侵入された場合には大音量の「音と光」で威嚇撃退し、犯行を継続させないと同時に、管理者へ異常をメールおよび音声で通報します。

防犯カメラは「犯罪者を特定するため」に設置するとともに、「侵入や内部犯罪に対する抑止力」としても大きく効果を発揮します。

しかしながら、画像での確認はあくまで「事後確認」になるため、自主機械警備システムと連動させ、侵入検知センサーが検知したときに画像で確認することで、「早期対応」を図ることができます。

Pマーク取得企業の防犯対策

マイナンバー制度や個人情報保護法が改正され、全ての企業が「情報漏洩対策」を整備することが義務付けられました。

その中でも、Pマークを取得した企業には大きな責任が伴います。

Pマークを継続して保持するためには、個人情報保護はもちろん、部外者の侵入などの防犯対策を一般企業以上に、より徹底する必要があります。

防犯の基本は犯罪の発生を未然に防ぐ「予防」にある。

Pマーク取得企業の防犯カメラ設置時の注意点

Pマークにおける個人情報とは「特定の個人を識別できる情報」のこと。個人を識別できる画像や映像が含まれていれば、それは個人情報になります。つまり、防犯カメラで撮影・録画しているデータも対象になるのです。

Pマーク取得企業以外においても十分に留意する必要があります。

個人の顔が識別できない映像であれば個人情報に該当しませんが、個人を識別して初めて「防犯カメラ」と言うことができます。

現在流通している防犯カメラの映像は非常に鮮明で、夜間でも犯罪者の姿をくっきりとられており、そこから犯人が特定できることが非常に多いです。

その分、個人情報として、録画している映像は十分に考えて対応する必要があります。

防犯カメラで録画していることを明確にする

Pマークでは個人情報を利用する際に本人の許可を得ることが前提となっています。

しかしながら、防犯カメラに映る一人ひとりに許可を取ることはできません。ではどうやって許可を取るかというと「防犯カメラ作動中」「録画映像は万が一の犯罪時に確認します」といった表示をして防犯カメラで録画していることを明確にすることで、この問題は解決します。

撮影された本人が、個人情報を取得されていることを認識できるようにすることがポイントです。分かりやすい場所に、撮影している旨を提示するようにしましょう。

個人情報の利用目的をあらかじめ公表する

防犯カメラのデータについて防犯だけを目的に使用する場合は、利用目的を公表する必要はないとされています。それ以外の目的に使用する可能性があれば、あらかじめ公式サイトをはじめ、誰でも確認できる場所に利用目的を記載しなければなりません。

仮に監視カメラを従業員の業務監視として利用する場合、その利用目的について社員から同意を得る必要があります。同意書に記載してもらうようにしましょう。

個人情報保護法に基づき適切に取り扱う

防犯カメラに映された特定の人物を識別できるデータは個人情報となるため、個人情報保護法に基づき適切に取り扱う必要があります。

防犯カメラのデータの適切な管理法は？

撮影・録画した映像データの不敵な利用を防ぐ主な対策として、録画データが保存されている先にアクセス制限をかけて、誰でも見られる状態にしないことが挙げられます。別媒体にデータを保存しているならば、媒体の盗難対策を行うことも必要です。

防犯カメラのデータは何かあった場合の証拠にもなります。盗まれたり、削除されてしまったりする危険性があります。実際にレコーダーや防犯カメラを破壊して逃走する犯罪者も多くいます。

レコーダーのある部屋にも入退出管理システム、自主機械警備システムを設置します。

外部に管理を委託する場合は、その委託先が情報セキュリティが十分であることが必須です。

録画映像の確認に関してもプライバシーの保護の観点からも十分に留意することが必要です。

・事件が発生したなど、企業として確認する必要がある場合にのみ実施する。

・必ず管理者、責任者の書面などによる了解をとると同時に、管理者・責任者・役員などを含む複数名にて確認する。

・保管映像の取り扱いに関しても社内規定を作成する。

・あらかじめカメラにて撮されるる対象者に対し了解を得る。設置目的シールなど。

・プライバシーポリシーなどにも記載する。

目的と設置場所に最適な防犯カメラの設置

防犯カメラの最適な設置場所は、何を監視したいのか目的と対象物によって異なります。

対象となる建物の構造や会社の状況によっても変わってきます。プライバシーを侵害しないということも重要です。

社内での確認が難しい場合は防犯のプロに相談し、設置場所や管理方法などを見てもらうと良いでしょう。

遠隔監視する場合には、その映像の情報漏洩がしないように配慮することも必要

最近は防犯カメラの映像をその場にいなくても外出先などで遠隔監視することが多くなってきました。

ここで問題なのは、防犯カメラの映像（個人情報保護法の対象）が関係者以外に閲覧されてしまう可能性があるということです。
●　カメラやレコーダーのIDパスワードが初期設定のまま使用されている。

●　カメラやレコーダーのIDパスワードが同じであるため、退社した元従業員が閲覧できる。

●　遠隔監視のためのアプリが脆弱で、第三者が見ることができる。

こうしたことに配慮しているのが、セキュリティハウスの遠隔監視システムi-NEXTです。
高いセキュリティ性で特許取得済み。

映像の情報漏洩を許しません。