Pマーク(プライバシーマーク)とネットでの予約登録


dmFTHG8213_TP_V

いつもコラムをお読みいただきましてありがとうございます!
お初にお目にかかります。
ISO総合研究所コンサルタントの吉澤です。

寒かった冬もそろそろ終わり、待ちにまった、恋する春がやってきました!
桜が咲いて春日和になってくると、気持ちが盛り上がり音楽なんか聴いちゃって気分を上げたくなりますね!

さて、今回のテーマは題して「Pマーク(プライバシーマーク)とネットでの予約登録」です!

みなさんは日々たくさんの「不正アクセス」が起こっていることをご存知ですか??
一つ事例を出してご紹介したいと思います。

便利なネット予約サイトに落とし穴…!?

有名な音楽(例えば人気のオーケストラ)や人気俳優が出ている演劇などをお友達と聞きに行ったり、見に行ったりする時、あなたはどうやってチケットを手に入れますか??
人に譲ってもらえることもあるかもしれませんが、なかなか手に入らないことも多々ありますよね・・・。

そこで、早く!安く!簡単に!手に入れる確率が高くなる身近なツールといえば・・・
そう、「ネットでの予約登録」です!最近本当に増えてきましたよね。

ネット予約の際には、氏名はもちろん、住所・電話番号・生年月日・企業名・メールアドレス・カード番号など、たくさんの個人情報を登録する必要があります。
これを踏まえて、下記でご紹介するのは本当にあった事例です。

実際に起こった不正アクセスによる個人情報流出事故

演劇やクラシック公演などのサポート業務を展開するR社が、会社のウェブサーバへ不正アクセスを受け、顧客情報が流出した可能性があることを明らかにしました。詳細は下記の通りです。

2016年11月24日にウェブサーバに不正なファイルが設置されていることが判明。
調査によるとデータベースが攻撃を受けて、データをダウンロードされた可能性があるとのこと。
なんとその個人情報の流出数、22,276人分にのぼります。

流出したのはチケット情報サイト内のお問い合わせフォームを利用した顧客や取引先のほか、同社のポイントカードを持っていた顧客、団体販売を申し込んだ企業の担当者、同社の従業員や退職者も含まれているそうです。怖いですね!

あなたがつい先ほど、人気チケットを手に入れるため、ツールとして登録した個人情報(氏名、住所、電話番号、生年月日、企業名、メールアドレスなど…)のうち、1つ以上が流出した可能性があり、そのうち2,879件に関しては、銀行口座に関する情報も含まれていたとのことです・・・。

R社は問題発覚後、即不正なファイルを削除し、脆弱性を修正。
その後、ウェブアプリケーションファイアウォールを導入する等、対策を講じています。

Pマーク(プライバシーマーク)を通して見ると…

この事例に適用されるPマーク(プライバシーマーク)の規格要求事項は、下記の通りです。

プライバシーマーク(JISQ15001:2017)A3.4.3.2 安全管理措置
組織は、その取り扱う個人情報の個人情報保護リスクに応じて、漏えい、減失または毀損の防止、その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
(JISQ15001:2017 要求事項 引用)

もう少し詳しくそれぞれの用語について考えてみましょう。

安全管理措置とは
組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置のことです。

組織的安全管理措置とは、
安全管理について従業者の責任及び権限を明確に定め、安全管理に対する規程及び手順書を整備運用し、その実施状況を確認することです。

人的安全管理措置とは、
従業者(個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員,契約社員,嘱託社員,パート社員,アルバイト社員など)だけでなく、取締役、執行役、理事、監査役、監事、派遣社員なども含まれる。)に対する、業務上秘密と指定された個人データの非開示契約の締結、教育・訓練などを行うことです。 

物理的安全管理措置とは、
入退館(室)の管理,個人データの盗難の防止などの措置のことです。

技術的安全管理措置とは、
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視など、個人データに対する技術的な安全管理措置のことです。 

以上のことから、企業側がネットサイトを使用するにあたって、今回は特に「技術的安全管理措置」を強化し対策を講じていないといけないということになります。

不正アクセス対策、自衛も必要?

R社の事例から、私たちが考えないといけないことはなんでしょう?

企業側に適切な措置を求めることはもちろん必要ですが、それだけでいいのでしょうか?
もしかすると、人気オーケストラのチケット欲しさに、慌てて個人情報を登録してしまうあなたにも原因はあるかもしれません。

今一度、入力フォームに個人情報を記載する際に、予約サイトがSSL化されているのか、また個人情報の利用目的が明確化されているのか、を確認してみることも大切です!
直接サイトを運営している企業に問い合わせしてみるのもひとつの手です。

楽しい音楽や演劇を鑑賞するなら、安全な方法でチケットを手に入れたいですもんね♪

最後に

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、あなたの周りの安全管理措置できているのか、見て欲しい、調べて欲しいなどなど、お困りのことがございましたら気軽に弊社にご相談くださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス