Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Pマーク認定事業者による個人情報関連の事故報告が約1500件に倍増 - JIPDECまとめ

プライバシーマーク(Pマーク)認定事業者において2007年度に発生した個人情報関連の事故件数が、前年度から倍増したことが、同制度を運用する日本情報処理開発協会(JIPDEC)のまとめによりわかった。半数は誤配達によるものだが、ファイル共有ソフトによる事故も前年度同様、39件が報告されている。

JIPDECや同制度の指定機関へ報告された個人情報関連事故について、事故の内容や傾向を取りまとめたもの。2007年度に事故を報告したPマーク認定事業者は913社で、事故件数は1489件に上り、前年の439社708件から倍増した。ただし同制度において欠格となった認定事業者はなかった。

そのうちJIPDECが受け付けた報告件数は718社1250件。これに審査中や申請を検討する事業者を含めると806社1829件となり、前回調査の579社1278件を大きく上回った。事故の内容は、漏洩が73.5%で、紛失の23.5%を合わせると97%と大半を占めている。

個人情報の漏洩では、書類やファックス、メールの誤配達が合わせて990件(54.1%)と目立っており、封入ミスによる誤送付を加えると6割近くに達した。データの管理ミスなど「その他漏洩」が151件(8.3%)、置き引きや車上荒らしなど盗難が70件(3.9%)と続いた。

「Winny」「Share」などファイル共有ソフトによる流出は39件で2.1%。割合としては前年度の3.1%から微減したが、件数は39件と横ばいだった。

委託先や代理店、子会社、協力会社、提携先による事故は38.5%で、なかでも配送を委託した郵便事業や宅配便事業者における紛失や誤配達が多かったことから、同協会では一定条件を満たしていれば制度において「処分なし」として対応したという。

今回事故をまとめたJIPDECでは、個人情報の関連事故における再発防止策について、組織の代表者が責任を持って対処し、PDCAサイクルで事故へ対応することの重要性を認識するよう述べ、実効性確認や検証が重要と指摘。

もっとも事故の発生割合が多かった誤配信などについて、再発防止として「ダブルチェック」を実施していても、再び事故が発生したケースがあったことから、組織で情報を共有したり、教育を行うよう注意を促した。また2割以上を占める紛失事故についても、持ち出しの管理や社内ルールの徹底など呼びかけている。

一方、ファイル共有ソフトについては、対策が浸透しているものの件数そのものは減少しておらず、規則違反による事故も多いなど問題点を挙げ、技術的な対策や継続的な教育、持ち出した情報の制限、退職者対策の必要性を訴えた。

また今年に入って増加傾向にあるSQLインジェクション攻撃についても、複数報告を受けているとして警告を発している。

(Security NEXT - 2008/06/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

Pマーク事業者の個人情報関連事故、2016年度は843組織2044件
Pマーク事業者に関する苦情や相談、2015年度は329件
2015年度はPマーク事業者796社で1947件の個人情報関連事故
Pマーク事業者の個人情報関連事故は1646件 - 「紛失」が最多
ウェブサービスへの個人情報登録、信頼するポイント「会社名を知っている」が6割
半数がセキュリティ専門職の「採用計画なし」
不正アクセスやマルウェアによる個人情報漏洩を2割弱が経験
Pマーク事業者の事故、年間1627件 - プログラムミスは74件
過去1年間にセキュリティ事故や事件を経験した企業は26.3% - NRIセキュア調査
Pマーク認定事業者による事故報告が減少、重大事故も少なく - JISAまとめ