2024年08月21日
公文、個人情報74万人漏洩
公文が、業務委託先の情報処理サービス会社「イセトー」のサーバーが身代金要求型ウイルスであるランサムウエアの攻撃を受け、約74万人分の個人情報が漏洩したと発表。
悪用事例は確認されていないようで、公文のウェブサイトによれば、流出したのは2023年2月時点での会員の氏名、教室名、学年などで、指導者の氏名や住所、銀行口座の情報も約1万7千人分流出しています。
口座は1人を除き番号下3桁がマスキングされていることが確認できているようですが、これはかなりの規模の流出となりますね。
公文は「不安とご迷惑をおかけし心よりおわびする」と謝罪し、被害に遭った会員に対し、9月中旬に個別に手紙で報告するとしており、再発防止に向け「より詳細な手順を定め、ルールを強化する」としています。
イセトーは5月末、自社の複数のサーバーなどで被害が確認されたと発表し、業務を委託していた全国の企業や自治体が個人情報の漏えい被害を相次いで公表しています。
2024年04月09日
LINEヤフー、個人情報保護委員会から勧告
2024年3月28日、個人情報保護委員会がLINEヤフーに対し、個人データの安全管理の問題を指摘し、体制の整備とともに4月26日までに改善状況を報告するよう勧告、この問題は、約9,600万人の日本のユーザーを抱えるLINEで約52万人分の個人データが不正アクセスにより漏洩したことを受けてのもので、2023年11月にLINEヤフーが、第三者による不正アクセスによりユーザーの個人情報を含む情報漏洩があったと公表し、2024年2月14日には追加の情報漏洩と再発防止策を発表していました。
情報漏洩は、LINEヤフーと委託先のNAVER Cloudとの間の複雑なネットワーク構成や運用、アクセス管理などが要因とされているのですが、個人情報保護委員会は、これまでもLINEヤフーの前身であるLINEに対して2021年に指導を行なって おり、その際、アクセス権限付与の見直しや委託先企業に対する、年に1回の監査の実施、重要度の高い個人データにアクセス可能な権限のログインに多要素認証を導入するなどを求めており、今回の漏洩では委託先企業として管理されておらず、多要素認証も見送られていたのだそうです。
個人情報保護委員会では、LINEがサーバーやソフトウェア等のインフラの構築や運営業務をNAVER Cloudにまかせ、認証基盤をNAVERグループと共同で利用しているにも関わらず、安全管理のために必要な措置を講ずる責任の所在と手段の検討や把握が曖昧なまま、ユーザーの個人データを取り扱っていたと指摘しており、個人データの取扱状況の把握、安全管理措置の評価、見直し及び改善に問題があると言わざるを得ない」とし、以前の行政指導に対しても、その改善が十分ではなかったとしています。
LINEヤフーでは、NAVER Cloudとのシステムやネットワークの分離を目指しているが、根本的な対策については時間を要するとし、以前の行政指導後に再び漏洩等事案が発生していることから、個人情報保護委員会では、安全管理措置が徹底される組織体制の整備と漏洩等に対応する体制の整備、安全管理措置の評価、見直しなどを行なうよう勧告、改善状況について4月26日までに初回報告を求め、以降2025年3月31日まで定期的な報告を求めていきます。
2023年06月26日
個人情報保護法Q&A 令和5年施行対応
「個人情報保護法Q&A 令和5年施行対応」が発刊中
2022年4月1日に施行された令和2年改正法等にかかる個人情報保護法における実務上の対応、また、新たに問題となっている論点・プライバシーポリシー・個人情報保護規程などの最新情報を解説、国内法に⼤きく影響を与えるGDPR等の必要部分から公的部⾨の個⼈情報の取扱いまで、個人情報の担当者が押さえておくべき情報を集約しています。
個人関連情報、仮名加工情報、漏えい等報告・本人通知の義務化、外国にある第三者への提供、保有個人データの開示方法がわかる!
個人情報取扱規程集ひな型等の最新版ダウンロードも可能!
ついに公民一元化された個人情報の取扱いまで、令和2年改正・令和3年改正がまとめてわかる個人情報保護法Q&A。実務上の対応、GDPRとの関係、個人情報保護規程など、この1冊で個人情報保護法を理解できます!