TFKトピックス6月号をお届けします！

こんにちは、株式会社TFKです。

本格的な梅雨の季節となりました。しばらくは鬱陶しい毎日が続きますが、この時期私たちの目を楽しませてくれるのがアジサイの花たちです。

アジサイはアジサイ科の落葉低木ですが、日本原産であることはあまり知られていません。いつも見られるアジサイの花はハイドランジア（西洋アジサイ）といい、日本原産のガクアジサイがヨーロッパで品種改良し逆輸入されたものです。アジサイは品種改良が盛んなことからいくつもの種類・品種があり、約3,000種以上はあると言われています。

日本に逆輸入されて改良されているためか、手毬状のきれいな花が日本原産のアジサイであるように思われますが、外国産というのも不思議ですね。

では、今月のインフォメーションに進みます。

個人情報保護を取り巻く環境は、日々目まぐるしく変化しています。
そのため、これを規制する「個人情報保護法」は3年ごとに見直されることとされており、頻繁に改正がなされる法律の1つといえるでしょう。

今回は、個人情報保護法施行規則とガイドラインの一部改正についてご説明いたします。

SPECIAL TOPIC①【令和6年個人情報保護法施行規則・ガイドライン一部改正について】

個人情報保護法施行規則とガイドラインの一部を改正する告示が、令和5年12月27日に公布され、令和6年4月1日より施行されました。

 今回の改正のポイントは、安全管理措置、漏えい等の報告の対象について、個人データだけでなく、「事業者が取得した個人情報」「事業者が取得しようとしている個人情報」であり、「データベース化する予定の個人情報」も含まれる旨が追記されたことです。背景にはここ最近多発している、ウェブスキミング被害への対応があると考えられます。

 なお、プライバシーマーク制度では、従来から漏えい等の事故等の対象は「個人情報」であり、今回の改定による影響はありません。また、事故等に該当する対象事象範囲も個人情報保護法より広いため問題はありません。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

改正後の個情法規制の内容：
不正の目的をもって行われたおそれがある一定の「個人情報」の漏えい等について、報告等の対象に含まれることになった。

改正後のガイドラインの内容：
事業者が講ずべき安全管理措置についても、事業者が個人データとして取り扱うことを予定している個人情報（個人情報取扱事業者が取得し、又は取得しようとしている個人情報）の漏えい等を防止するために必要かつ適切な措置まで拡大されることになった。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

ポイント❶　☞改正で変わった点
情報漏えい等発生時の報告・通知義務と安全管理措置を講じる義務の対象が、一部の「個人情報」にまで拡大しました。
ここで、【個人情報】と【個人データ】の考え方をおさらいしましょう。

ポイント❷　☞WEBスキミングとは？
ECサイトなどに不正プログラムを設置することで、ユーザーが入力フォーム等に入力したパスワードやクレジットカード情報などを盗み出す攻撃手法のことを指します。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

まとめ
▼ウェブスキミングの場合、ユーザーが入力した情報が、ECサイト事業者のサーバを介さず、攻撃者に直接に窃取されるので、「個人データ」になる前の「個人情報」が窃取されていることになります。

▼現行個情法規則では、「個人データ」の漏えい等のみを報告等の対象としているため、ウェブスキミングによる被害が発生したとしても、ECサイト事業者は報告等をする義務はありませんでした。

▼ウェブスキミングについて報告等の対象とするためには、ECサイト事業者のサーバに入って個人データとなる前の段階である、入力フォームから入力された情報（個人情報）の漏えい等まで対象を拡大する必要があります。以上の経緯でなされたのが、今回の個情法規則改正です。

SPECIAL TOPIC②　セキュリティインシデントNEWS【ウェブスキミングによる漏えい事例】

スペシャルトピックス①で取り扱った【令和6年個人情報保護法施行規則・ガイドライン一部改正】。
その背景にはウェブスキミング対策があることを前項で学びました。では、これまで実際にどのような事例があったのか見ていきましょう。

事例：
2022年10〜11月、音楽グループの公式サイトに不正なプログラムを仕掛け、グッズなどを購入するためアクセスした利用者3人が入力したクレジットカード情報を不正に入手したとして、無職の男（26）が逮捕された。

その他、海外でも…
・スポーツ用品メーカーFILA UK社
・雑誌Forbesの購読サイト　等　攻撃を受けた事例が。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

主な対策としては

・ソフトウェアは最新のものを利用する
・多要素認証を活用する
・ログ監視を徹底する
・不正アクセス検知システムを利用する　等が挙げられます。

御社でも、WEB上で個人情報を取り扱うことがある場合は要注意です。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

サイバーセキュリティの脅威は日々進化していますが、セキュリティ教育を定期的に行うことで、最新の脅威や対策について知識を更新し、適切に対応することが可能になります。

TFKでは、情報管理の重要性やそのリスク、また、社内の業務の見直し等…多種多様な教育サポートが可能です。ぜひ一度ご相談ください。

セキュリティクイズ

今や、多くの方が利用しているインターネットサービス。皆様も、ネットショップなどを利用される機会は多いのではないでしょうか。
サービスを利用するにあたり、ログイン用のパスワード設定で注意するべきこと、更には不正ログイン対策に非常に有効な手段があります。

まずは動画をご覧ください！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

ではクイズです。

【パスワード設定において気を付けるべきこと】を3つお答えください。
その他、動画には有効なパスワードの作成法や、保管についても触れられています。ぜひ最後までご覧ください！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

クイズの答えを解説します。
・できるだけ長く
・複雑に
・使いまわさない
皆さんのパスワードはいかがですか？

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

パスワード作成のコツについては、動画内やＩＰＡの公式サイトでも公開されていますので、ぜひ参考にしてみてください！
＞＞＞不正ログイン被害の原因となるパスワードの使い回しはNG＜＜＜