個人情報とは

 個人に関する情報で,特定の個人が識別されるもの。 その情報から個人を特定できる情報すべてを指す。 例えば名前,住所,性別,生年月日,電話番号,病歴,所得,借金の有無やその額などである。 健康保険証の番号や社員番号のように,それのみでは特定できなくても, 他の情報(データーベースなど)を照合すれば特定できるものも含まれる。 この重要性を教育するためのソフトもある。
 スーパーマーケットでのディスカウントカードをもらうには,顧客は自分の個人データを渡さねばならない。 だが,その情報がその後どうなるのか,知っている人はほとんどいない。 自身の買い物の傾向を明かさずに,登録制の値引きシステムの恩恵を受けようとする試みはいくつも行われている。
 アメリカでは,政府トップ高官の社会保障番号さえも金を出せば手に入り,個人の銀行口座の残高を300ドル程度で教えてくれるサイトもある。 2007年3月にシマンテックが発表したセキュリティ脅威レポートでは,米国のクレジットカード番号などは1〜6ドル,カード番号に加えて銀行口座情報や社会保障番号などが含まれる個人情報は14〜18ドル程度で取り引きされており,漏洩した情報をネット上で取り引きする『アンダーグラウンドエコノミーサーバー』の51%は米国に存在するという。


基本情報,ベース情報
 個人情報で個人の特定のみが可能なもの。


要注意情報,センシティブ情報
 病歴や所得のように特に注意して守る必要があるもの。

 2004年8月にバルク社が発表した『個人情報に関するアンケート』の調査結果によると,個人情報を流出した会社のサービスや製品に対しては,しばらく様子を見る 34.6%,絶対に利用(購入)しない 32.2%,なるべく利用(購入)しない 31.2%というものだった。 最も知られたくない個人情報は,クレジットカード番号 28.3%,氏名 16.5%,銀行口座番号 15.7%だった。 この最も知られたくない情報が流出してしまった場合の賠償金額は,30万円 30.7%,30万円以上 28.5%,10万円 23.5%だった。 調査は8月9〜13日にかけ,インターネット上で実施されサンプル数は1,009人。 また,日本セキュリティ協会が発表した賠償額の試算では,メールアドレスだけなら最高4000円,氏名・住所・本籍までだと30万円以上で,一人当たりの賠償額が数十万円規模になると,集団訴訟への参加率が急に高くなる可能性が高いとしている。
 2005年9月7日に CP デザインコンサルティングが発表した,インターネットユーザーを対象に行った個人情報保護に関する意識調査の結果によると,企業の個人情報の取り扱いに対して,『不安を感じる』と答えた人は85%。 『自分の個人情報が知らないうちに利用されていると感じている』は88%だった。 具体的に「利用されていると感じるとき』(複数回答)は,『知らないところからダイレクトメールなど手紙が送られてきた』85.1%,『知らないところから電話がかかってきた』76.7%など。 企業に教えたくない個人情報は『電話番号(自宅)』63.3%,『電話番号(携帯電話)』59.7%,『年収』58.1%,『住所』56.9%,『財産』55.6%の順。
 2008年6月18日,Finjan は病院や企業から盗まれた情報が大量に保存されている犯罪用サーバを発見したと発表。 世界各国で収集された個人情報や企業情報など 500Mバイト以上のデータが記録されていた。 運営者はこの情報をネット競売で販売し,高値で落札した相手に売り渡して相当な利益を上げている可能性がある。


個人情報漏えい
 2004年11月8日に NRIセキュアテクノロジーズが発表した調査結果によると,ネット利用のトラブルで,迷惑メールを送りつけられた経験のある人は過半数,個人情報を漏えいされた経験のある人は約2割で,前年から急増していた。 調査は,9月3〜6日で,対象はインターネットを利用する個人2000人(男性48%,女性52%)。
 2006年6月1日に日本ネットワークセキュリティ協会が発表した,『2005年度情報セキュリティインシデントに関する調査報告書』によると,2005年1月から12月までに発生した情報漏洩事件は1,032件(2004年は366件),被害者数は881万4,735人(2004年1,043万5,061人)。 情報漏洩の原因は,盗難(27%),紛失・置き忘れ(43%)。 漏洩経路は,紙媒体(49%)と PC 本体(16%)が圧倒的に多く,ノート PC や機密書類の入った鞄を盗まれたり紛失するケースが多く,Winny を経由した漏洩は全体の3%だった。
 2006年11月に内閣府が発表した,個人情報保護に関する世論調査結果では,個人情報漏洩の不安を感じている人は7割以上だった。 個人情報保護の問題に『関心がある』32.9%,『まあ関心がある』40.6%。 個人情報保護法は『知っている』79.9%,『知らない』20.1%。 個人情報漏洩に対する不安は,『強く感じる』29.3%,『ある程度感じる』41.9%。 防災・防犯目的の個人情報共有・活用は,『積極的にするべき』29.3%,『必要最小限の範囲でするべき』59.5%。 調査対象は全国20歳以上の男女3,000人で,調査期間は,9月21日〜10月1日。
 2008年4月30日にサイボウズ・メディアアンドテクノロジーが発表した,2005年度から3年間に発生した440件の個人情報漏えい事故を総括した『日本情報漏えい年鑑2008』によると,組織内部が原因となって発生した事故が全体の7割強(321件)。 外部からの攻撃など外的要因は2割強(93件)。 漏えい元の組織は,民間が7割(309件),官公庁が2割(88件),その他が1割(43件)。 Winny などのファイル共有ソフトが関与する情報漏えい事故は,全体の3割(130件)を占めた。 事件ランキングでは,1位 大日本印刷(2007年3月)約864万人,2位 日産自動車(2006年12月)約538万人,3位 KDDI(2006年6月)約400万人。
 2008年6月に日本ネットワークセキュリティ協会が発表した『2007年度情報セキュリティインシデントに関する調査報告書』によれば,流失した個人情報の人数は,USBメモリなどの可搬記録媒体からのものが最多であった。 情報漏えいの原因となった媒体・経路別は,『紙媒体』40.4%,『Web・Net』15.4%,『USBなど可搬記録媒体』12.5%。 流失人数別では,紙媒体 約1695万人(55.5%),USB など可搬記録媒体 約1181万人(38.7%),PC 本体 79万人(2.6%)。 ただし,紙媒体での1443万人分の個人情報が流失した大規模事件を除くと,USB などの可搬記録媒体から流失人数が最多になる。 原因は,『紛失・置き忘れ』20.5%,『管理ミス(廃棄ミスなど)』20.4%,『誤操作(電子メールなど)』18.5%。


参考
 Microsoft 社の Windows 98 による個人情報の漏洩
 アメリカの個人情報盗難・流出
 韓国の個人情報盗難・流出
 data brokers


pretexting プリテキスティング
 身元を偽って情報を入手すること。 私立探偵などはこの手法を用い,銀行の取引記録から医療記録まで,あらゆる記録を手に入れている。


プライバシーの権利

 日本では1964年の判決で,1)私生活上の事実であって,2)一般の人が公開を望まず,3)一般に知られていない事柄,について認められた。 ただし,この範囲は上記の『要注意情報』に限られるようである。



個人情報保護

 情報化社会の進展に伴い『プライバシーの権利』だけでは私的生活を守れなくなっている。 ネットワークに接続されたコンピューターを使えば, 到達可能なすべての情報(データーベース)の中から,個人の情報を探し出すことができる。 この情報革命と同じくして『プライバシーの権利』を『自分の情報をコントロールする権利』と見直す動きが生まれ, そこから『個人情報保護』が主張されるようになった。
 アメリカのポネモン研究所が2004年3月12日に発表した調査結果によると,大企業の95%が,環境保護対策に比べ個人情報保護に費用をかけていない。 多国籍企業44社へのアンケートによるもので,ほとんどの企業では,環境保護や法令順守のための費用に比べ,プライバシー保護対策の費用が非常に少ないことが判明した。


個人情報保護制度
 現在検討中の制度。 個人情報の流通する,保存・加工・公開など総ての段階での保護を問題にしている。 これによると,個人情報を入手し,データーベースに記録するだけで権利の侵害になりうる。



OECD 理事会が勧告した個人情報保護の8原則(要旨)

収集制限
 個人情報は適法・公正な手段で集める。本人の同意が適切な場合は,同意を得ること。

データー内容
 データーは正確で,最新の内容に保つ。

目的を明確化する
 データーの収集目的を明確にする。

利用制限
 本人の同意がないと目的以外には利用できない。

安全保護
 データーが紛失したり,外部に漏れたりしないような安全対策をとる。

データーの公開
 データーの存在や管理者を明確にする

個人参加
 個人は自分のデーターの開示を受ける権利があり,またその内容に異議を申し立てることができる。

責任
 データー管理者には以上の原則を実施する責任がある。


個人情報の漏えい

 漏れる原因は,人的な問題と技術的な問題に分けられ,前者は人間のミスや故意により個人情報を漏洩させてしまうことを指し,後者はセキュリティホールやフィッシングなどの技術的な問題から個人情報が漏洩することを指す。 実際は両者が組み合わさって漏洩する場合もある。
 人的な問題には,記録されているメディアや機器に不正にアクセスされる場合と,データへのアクセス方法が社会的な方法(ソーシャルハッキング)で入手する場合があり,メディアなどの不正使用に対しては,人間が忘れてしまう動物であることと,窃盗(盗み)犯罪がなくならないことから,本来の利用者以外が利用できないようなロックをかけるしかない。 ノート PC では,起動に指紋認証を必要なものや,HDD の内容を暗号化する製品がある。 HDD 単体でも,コントローラーに暗号化機能を備えた製品もあり,ファイルサーバーへの搭載が望ましい。 一方,バックアップ用の CD-R,テープ,FD の盗難は盲点で,いくら HDD の中で暗号化していても,バックアップメディアが無防備ではまったく意味がない。 対応策は,バックアップソフトの暗号化機能や,ファイル暗号化ソフト(特に FD の場合)を利用すること。
 実は,情報漏えいの原因は,ソーシャルハッキングが一番多いとされ,パスワードを盗むなどのデータアクセス方法の盗難より,出力された紙の持ち出しや,カメラ付き携帯電話による撮影などが問題になっている。 これに対しては指紋認証のような人間の記憶に頼らない認証方法と,出力されたデータの管理として,印刷しない・させないことが重要。 また,画面表示にも注意が必要。 重要なデータが表示されるディスプレイを他者が簡単に目視できるないような環境作らなければならない。 例えば,出入口に画面を向けない,誰かが画面を見ていることが不自然なレイアウトにする,画面の視野角を制限するフィルタを利用する,などの対策がある。 また,画面を含めたデータ出力を,誰が見た(可能性がある)かを記録できる仕組みを導入し,それを明示することで,予防的な効果が期待できる。


ウェブサーバーからの個人情報の漏洩
 多くは初歩的なミスが原因といわれる。 ウェブで実施するアンケートや会員登録などのデータは,一時的に CSV 形式のファイルでサーバーに保存される。 そして,多くのケースは,この CSV ファイルが,ブラウザでアクセスできる場所,つまり,パスが URL で表記可能な場所に置かれていたことが原因とされる。 アンケートなどで入力されたデータを CSV ファイルで保存する場合には,CGI などが使われるが,保存位置を絶対パスで指定する。 このとき,ホームページよりも上層のディレクトリに保存し,絶対パスで正しく表記すれば,ブラウザからはアクセスできなくなる。 また,パーミッションの設定で制限する方法もある。


個人情報保護法

 日本の報通信社会における個人の権利利益の保護を目的にした法律。 本人の同意を得ずに個人情報を第3者に提供したり,目的外利用することを禁じ,直接契約をしていない派遣社員による情報漏えいでも企業の責任が問われる。 2003年5月法制化。 関連5法の一部が2003年5月末に公布と同時に施行された。 特に,個人情報の利用目的をできるかぎり特定しなければならない。 利用目的の達成に必要な範囲を超えて取り扱ってはならない。 本人の同意を得ずに第三者に提供してはならない。 偽りその他不正の手段により取得してはならない,などが新たに明記された。 行政機関では,2003年5月より新法のガイドラインに即して業務が行なわれ,民間企業では2005年5月から全面施行される。
 2005年2月10日にリクルートスタッフィングが発表した中小企業経営者を対象に行った個人情報保護法に関する調査によると,『不安がある』とした人は6割以上だった。 内容は,具体的な内容を知らない 51.1%,社員の危機感が低い 48.5%,具体的な社内対策ができていない 45.0%,社員への教育システムができていない 39.3%。 派遣社員による情報漏えいでも企業の責任が問われることを知っていたのは 72%。
 2005年2月23日にアビームコンサルティングが発表した企業の対応についての調査結果によると,『社内規定の作成』『組織での責任体制』『従業員教育』のすべてに対応したのは34%。 社内規程は作成済み48%,作成中38%。 責任体制は『役員を任命』や『既存部署に追加』がそれぞれ30%台半ば,『体制を検討中』32%。 社員教育は,実施済み 42%。 業種別では,最も進んでいたのは『情報サービス業』の55.7%だった。
 施行こそ2005年だが,本格的に議論され始めたのは1990年代から。 海外では1960年代から欧州で個人情報を適切に扱うための議論や法整備が本格化し,1970年代からは欧州と経済的なつながりの深い米国で同様の動きが始まった。
 企業で多発する情報漏えいでも,当初はメールアドレスが漏えいしただけでも大騒ぎとなるケースが相次いだ。その後,政府の指針によって個人情報は氏名や生年月日など生存する人物を特定する内容との見解が出され,今では大きな問題となることは少ない。


  • The Children's Online Privacy Protection Act(COPPA) 子供のオンライン・プライバシー保護法


    Carabella Goes to College キャラベラ,大学へ行く

     プレイヤーがある女の子の大学での最初の1週間を体験するという,大学新入生に個人情報を保護することの大切さを教えるゲーム。 主人公は,青い肌の色をしてオレンジ色の厚底スニーカーを履いた女の子で,ゴス系のロック音楽をこよなく愛する。 授業の受講登録し,スーパーで買い物をし,銀行口座を開き,学生証を使って大学のダンスパーティーに参加したりしなければならない。 プレイヤーの決断が,プライバシーを守りつつ生活の利便性も保てるものであれば得点を与えられる。
    サイト:    http://www.privacyactivism.org/carabella


    cockeyed.com コックアイド・コム

     コッカーラム氏のウェブサイト,2003年のウェビー賞を受賞。 アメリカの巨大スーパーマーケット・チェーンのセーフウェイ社の『クラブカード』システムの裏をかく『究極の買物客』作戦を行っている。 カードに付属するバーコードのステッカーを自作し,コックアイド・コムの訪問者に配布。 受け取った人がステッカーを自分のカードに貼ると,ロブ・コッカーラムの名を借りることで匿名で買い物ができる。
    サイト:http://www.cockeyed.com


    Pwnedlist.com
     不正アクセスなどによる個人情報流出の被害が相次ぐ中,自分の情報が流出していないかどうかをユーザーがチェックできるサイト。 ユーザーが自分のアカウントで使っている電子メールアドレスまたはユーザーネームを入力して『CHECK』ボタンを押すと,ネットなどで出回っている流出情報のデータベースと照らし合わせて,自分の情報が流出していないかどうかを確認できる。 運営者はハッカー集団が不正侵入などの手口で盗み出して捨てたアカウント情報やネットで出回っているアカウント情報を収集。 この情報からユーザーネームとメールアドレスを抽出して SHA-512 のアルゴリズムを使ってハッシュ化し,データベースに保存しているという。


    ZABAsearch ザバサーチ

     2005年2月に開設した,インターネット上で最も総合的な個人情報検索エンジンの1つ。 検索すると,自宅の住所,電話帳に載っていないものを含む電話番号,生まれた年,さらには自宅の衛星写真など,豊富な情報(スクリーンショット)が返ってくる。 基本的に無料だが,身辺調査や犯罪歴などの追加情報は有料。
    サイト:http://www.zabasearch.com


  • Personal Information Manager 個人情報管理プログラム
  • プライバシーマーク制度(日本)

    戻る 日本語『こ』最初のメニュー