http://blog.optima-solutions.jp/ プライバシーマーク・個人情報保護に関する最新情報を追いかけています。 ja http://blog.optima-solutions.jp/ http://image.profile.livedoor.jp/icon/saitekikai_60.gif http://blog.optima-solutions.jp/archives/51579579.html 社内でのセキュリティ規程を作成する際に、パスワードを何文字以上にしようか迷うことが多いと思います。そういう時に判断の助けとなるサイトをご紹介します。 http://howsecureismypassword.net/ 実際にいろんなパスワードを入れてみて、それを総当たり制でパソコンで解... saitekikai 2010-09-03T13:42:44+09:00 製品・サービスのご紹介


社内でのセキュリティ規程を作成する際に、パスワードを何文字以上にしようか迷うことが多いと思います。そういう時に判断の助けとなるサイトをご紹介します。

http://howsecureismypassword.net/

実際にいろんなパスワードを入れてみて、それを総当たり制でパソコンで解読するとした場合にどのくらいの時間が必要なのかがリアルタイムに出てきます。

いろいろ実験したら、下記のようになりました。

英小文字のみ6文字　約30秒間
英小文字＋数字で6文字　約3分間
英小文字のみ8文字　約5時間
英小文字＋数字で8文字　約3日間
英小文字のみ10文字　約163日間
英小文字＋数字で10文字　約11年間

すなわち、英数字6文字では、たったの3分間、計算を回せば解読できるレベルということです。

英数字8文字にすれば、3日間になりました。これだと少しは安心できるかどうか。

英数字10文字にすれば、11年間になりました。これでようやく安心できるレベルですね。

ということで、実際に何文字にすればいいのかということは私から一律にお示しすることは困難ですが、6文字と8文字と10文字がパスワードとしてどのくらい違うのか。数字を入れることの意味など、相場観を皆さんにも持っていただければと思います。 ]]> http://blog.optima-solutions.jp/archives/51579570.html 主に仙台ー東京間で格安高速バスを運行している株式会社さくら観光（福島県白河市）は、9月1日付で、自社のWebサイトが外部からの攻撃を受け、カード情報を含む個人情報約17万円が流出したと公表しました。 同社のリリース文によりますと、流出の経緯は下記の通りです。 ・... saitekikai 2010-09-03T13:02:43+09:00 事件・事故情報

主に仙台ー東京間で格安高速バスを運行している株式会社さくら観光（福島県白河市）は、9月1日付で、自社のWebサイトが外部からの攻撃を受け、カード情報を含む個人情報約17万円が流出したと公表しました。

同社のリリース文によりますと、流出の経緯は下記の通りです。
・クレジットカード会社からの指摘を受けた。
・セコムトラストシステムズ社のサポートを受けて調査を開始した。
・韓国からの不正アクセスの可能性が高いと判明した。
・カード情報の削除と情報の再流出防止対策を実施した。
・警察当局に連絡した。
・流出した顧客にはメールならびに郵送で連絡した。

流出したのは「同社顧客の名前・フリガナ・ログインID・ログイン用パスワード・メールアドレス・クレジットカード情報 (カード番号/有効期限）・銀行名・銀行支店名・銀行口座番号・口座種別・口座名義」で、総数が21万6千件、うちカード番号が入っているものが約17万件とのことです。

このうち、ログイン用パスワードは暗号化された状態で盗まれたため、復号化は困難とのことです。

同社では、迷惑を受けた顧客に対して、500円分のポイントを発行し、次回の利用で割り引くとしています。

http://www.489.fm/
http://www.489.fm/20100901.pdf

（私のコメント）
この規模の会社でこの規模の流出を起こしてしまうことを見るにつけ、どんな会社でも情報セキュリティ対策（特にSQLインジェクション対策）は必要だなあと思います。なお、クレジットカードの再発行はしなくていいのかなあ。アリコジャパン事件の例を見ても、やはりカードの再発行しないと本当の意味では終わらないと思います。 ]]> http://blog.optima-solutions.jp/archives/51576421.html Pマークの審査基準の一部を構成する「JIPDECガイドライン」が改訂された件を、昨日、速報しましたが、先ほど日本規格協会から書籍が届きました。まだ全ては読めていませんが、全体的に見た内容をご報告いたします。 これがその内容の一部です（これは著作権法に基づく引用... saitekikai 2010-08-27T11:31:58+09:00 プライバシーマーク制度関連

Pマークの審査基準の一部を構成する「JIPDECガイドライン」が改訂された件を、昨日、速報しましたが、先ほど日本規格協会から書籍が届きました。まだ全ては読めていませんが、全体的に見た内容をご報告いたします。



これがその内容の一部です（これは著作権法に基づく引用です）。

「審査の着眼点」と題して、文書審査と現地審査におけるチェックポイントがかなり詳細に記されています。

これらの内容はこれまで文書化されていなかったので、
・審査員によって言うことが違う。
・コンサルタントが独自の判断で本来は不要な助言をする。
などの混乱が生じていました。今回、それらの内容がかなりのレベルまで文書化されましたので、混乱を収める効果が大きいものと考えます。そういう意味では、とても意義深いと考えます。

しかし、いまだにJIPDECからは正式なアナウンスはないですね。Webサイトにもこのガイドラインの改訂の話は全く出ていません。PDFなどの形式でのダウンロード提供も行われていません。

もしかすると、今後はJISと同じように、このガイドラインもお金を出さないと入手できないようにしたいと考えているのかも知れません。いずれにせよ、JIPDECからの正式なアナウンスを待ちたいと思います。

＜書籍の購入は下記からどうぞ＞

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも買えます。
http://www.amazon.co.jp/dp/4542305376/

※追記＞
記事を書いた後、JIPDECのPマーク事務局にお電話して聞いてみたところ、下記の情報が分かりました。
・このガイドラインは正式なものである。
・当面はPDFなどの形式で無料提供は行わない。
・このガイドラインが出たことで、審査基準が変わるわけではない。
とのことでした。やはりPマークで仕事をしている人は、素直にこの書籍を購入した方がよさそうです。
]]> http://blog.optima-solutions.jp/archives/51576087.html JIS Q 15001:2006と並んで、プライバシーマークの審査基準の一部を構成しているのが、JIPDECのプライバシーマーク推進センターが発行しているガイドライン（通称：JIPDECガイドライン）です。 現在まで、2006年8月に発行された第1版が有効なものとして流通しており、JIPD... saitekikai 2010-08-26T18:06:16+09:00 プライバシーマーク制度関連


JIS Q 15001:2006と並んで、プライバシーマークの審査基準の一部を構成しているのが、JIPDECのプライバシーマーク推進センターが発行しているガイドライン（通称：JIPDECガイドライン）です。

現在まで、2006年8月に発行された第1版が有効なものとして流通しており、JIPDECのWebサイトから無料でダウンロードできています。

JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

JIPDECからの正式な発表はないのですが、
なんと、これが改訂されたらしいのです。
しかも書籍として販売されているのです。

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも販売開始されるようです。
http://www.amazon.co.jp/dp/4542305376/

一方で、Webサイトでの無料公開が行われていないのです。

おそらく、近いうちにWebでのダウンロード提供も行われるものと思いますが、プライバシーマーク関係のお仕事をされている皆様には、有料でもいち早く入手されることをお勧めします。

※未確認情報ですが、重要なので記事として掲載します。続報が入り次第、再度記事にします。 ]]> http://blog.optima-solutions.jp/archives/51567455.html BSI グループジャパン株式会社は、8月10日付で「『メールアドレスの流出』に関するお詫びとお知らせ」と題した文書を公表しました。既存顧客（763名）に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。 よくあることです... saitekikai 2010-08-11T19:50:29+09:00 事件・事故情報

BSI グループジャパン株式会社は、8月10日付で「『メールアドレスの流出』に関するお詫びとお知らせ」と題した文書を公表しました。既存顧客（763名）に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。

よくあることです。複数のメールアドレスを「Bcc:」に入れて送ろうとしたところ、間違えて「To:」または「Cc:」に入れてしまうということです。こういうことは、過去に何回も何回も起こっています。つい先日も総務省で同様の事件が起こり、私は今回と同様の記事を掲載しました。

どうしたらいいのか。私はメール一斉配信用のソフトを使用することをお勧めします。たとえば、下記にリストされているものです。無料のものでもいくつかあります。

窓の杜「同報メール」カテゴリー
http://www.forest.impress.co.jp/lib/inet/mail/packmailer/

「不特定多数にメールを送信する場合には、メール配信専用のソフトを使用する」

これをルール化して、社内で徹底することをお勧めします。

なお、使い慣れないソフトになりますので、最初、同じ部署の全員に送るなど実験を繰り返して、ソフトの動作に慣れるようにしてください。そして、本番で使用するようにしてください。 ]]> http://blog.optima-solutions.jp/archives/51567304.html 総務省は、7月29日付で「電気通信事業における個人情報保護に関するガイドライン」ならびに「電気通信事業における個人情報保護に関するガイドラインの解説」を改正しました。 ※対象となるのは、電気通信事業法で定められた「電気通信事業者」です。 今回の改正事項は下... saitekikai 2010-08-11T11:30:14+09:00 法制化の動き

総務省は、7月29日付で「電気通信事業における個人情報保護に関するガイドライン」ならびに「電気通信事業における個人情報保護に関するガイドラインの解説」を改正しました。

※対象となるのは、電気通信事業法で定められた「電気通信事業者」です。

今回の改正事項は下記の通りです。

1）利用目的の特定について（第5条の解説）
特定の個人を識別できないようにする加工（いわゆる匿名化）を行うことは、個人情報の利用に当たらず、利用目的として特定する必要はないことを明記。

2）モバイルPC等による個人情報の持出時に求められる安全管理措置（第11条の解説）
モバイルPC等による個人情報の持出時の漏えいリスクに対する安全管理措置の在り方及び個人情報の持出時の留意点について明記。

3）個人情報の漏えい等発生時の手続の緩和（ガイドライン第22条及び同条の解説）
モバイルPC等の紛失等に際して、漏えい等が発生した個人情報に対し適切な技術的保護措置が講じられていた場合には、事業者に求められる手続（本人への通知、事実の公表及び監督官庁への報告）の一部を緩和することを明記。

（私のコメント）
今回、改めて電気通信事業ガイドラインを読み直したのですが「解説」の中に本文も含まれていますので、「解説」だけを呼んでいればいいのだと分かりました。ノートパソコンの紛失時の対応に関しては、二次被害が生じないような対策が取られている場合には対応を簡略化してよいとのことで、合理的な改正だと思います。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html
]]> http://blog.optima-solutions.jp/archives/51564992.html ネットスーパーのシステムを開発して各社に提供している株式会社ネオビート（大阪市中央区）は、8月4日付で、自社のウェブサイトに国内外からの不正アクセスがあり、ネットスーパーの利用者のクレジットカード情報約1万2千件が流出した可能性があると発表しました。流出した... saitekikai 2010-08-06T12:21:03+09:00 事件・事故情報
ネットスーパーのシステムを開発して各社に提供している株式会社ネオビート（大阪市中央区）は、8月4日付で、自社のウェブサイトに国内外からの不正アクセスがあり、ネットスーパーの利用者のクレジットカード情報約1万2千件が流出した可能性があると発表しました。

流出したのは
ユニー「アピタネットスーパー」
イズミヤ「楽楽マーケット」
大近「Lucky&Pantry.net」
マルエツ「マルエツネットスーパー」
琉球ジャスコ「琉ジャスネットスーパー」
不二商事「生鮮TOP便ネットスーパー」
フジ「フジネットスーパー『おまかせくん』」
のサービスの利用者のカード情報12,191件で、カード番号、有効期限、名義が含まれているといいます。

同社によると、現在、情報セキュリティの専門会社である株式会社ラックの協力を受けながら、被害の把握ならびに対策を講じているとのことです。

http://www.neobeat.co.jp/news/

（私のコメント）
推測ですが、、、、SQLインジェクション攻撃でしょうね。
2年前のサウンドハウス事件から同じことが繰り返されています。「Webサイトに中国から攻撃」「クレジットカード情報が盗まれる」「ラックの119番に助けてもらう」全部同じです。
SQLインジェクション攻撃への対策は、下記のURLなどにまとめられています。もういい加減、こんな馬鹿な事件で騒ぎを起こすのはやめにしませんか？

http://www.ipa.go.jp/security/vuln/websecurity.html
IPA「安全なウェブサイトの作り方」
]]> http://blog.optima-solutions.jp/archives/51561875.html コーエーテクモホールディングス株式会社（神奈川県横浜市港北区）は、7月20日付で、自社グループで運営しているエンターテインメント情報サイト「GAMECITY」に対する不正アクセスが発生し利用者の個人情報が流出したと発表しました。流出の内容と規模は下記の通りです。・ク... saitekikai 2010-07-30T13:18:32+09:00 事件・事故情報
コーエーテクモホールディングス株式会社（神奈川県横浜市港北区）は、7月20日付で、自社グループで運営しているエンターテインメント情報サイト「GAMECITY」に対する不正アクセスが発生し利用者の個人情報が流出したと発表しました。

流出の内容と規模は下記の通りです。
・クレジットカード番号 16名分
・電子メールアドレスおよびGAMECITY用パスワード等 1,807名分
・電話番号および郵便番号等 8名分

なお、同社のQ&Aによると、今回の不正アクセスは「SQLインジェクション」であったとのことです。

（私のコメント）
久しぶりのSQLインジェクション事件ですね。危険なのはメールアドレスとパスワードが一緒に出ているケースです。もし、同じパスワードをメールにも使いまわししている場合には、メールの内容が全て筒抜けになってしまいます。こういうケースでの被害を抑えるためにも、パスワードの使いまわしはやめましょう。

http://www.gamecity.ne.jp/
http://www.koeitecmo.co.jp/php/pdf/news_20100720.pdf
]]> http://blog.optima-solutions.jp/archives/51560851.html （財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、7月12日に、プライバシーマーク制度の公式Webサイト上でこれまで公開してきた「中止事業者」の情報掲載を取りやめると発表しました。中止事業者とは、「辞退」「合併」「廃業」などの理由に... saitekikai 2010-07-28T12:40:05+09:00 プライバシーマーク制度関連
（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、7月12日に、プライバシーマーク制度の公式Webサイト上でこれまで公開してきた「中止事業者」の情報掲載を取りやめると発表しました。

中止事業者とは、「辞退」「合併」「廃業」などの理由によりプライバシーマークを更新せずに権利を放棄した事業者のことですが、従来は公式Webサイトのトップページにおいて中止事業者の総数を掲載し、リンク先のページにおいて認定番号と中止理由を公表していました。今回はこれらの情報公開をすべて取りやめるということのようです。

（私のコメント）
私は「Pマークの取得者数は減っているんですか」「辞退する会社は多いんですか」という質問をよく受けます。そして、従来の中止事業者のリストはよく読めばそのあたりの事情（実際には辞退はそれほど多くはなく、会社合併や廃業などによる中止が多いこと）が分かるはずのものでしたが、多くの方はトップページの総数の表示を見て「Pマークってやめる会社が多いんですね」と受け取られることが多かったようです。なので、今回の掲載取りやめはやむなしと思います。

http://privacymark.jp/
]]> http://blog.optima-solutions.jp/archives/51557464.html 総務省は、7月16日付で「メールアドレスの誤送信」と題した文書を公表しました。複数の会議の傍聴希望者（58名）に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。よくあることです。複数のメールアドレスを「Bcc:」に入れ... saitekikai 2010-07-21T11:12:21+09:00 事件・事故情報
総務省は、7月16日付で「メールアドレスの誤送信」と題した文書を公表しました。複数の会議の傍聴希望者（58名）に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。

よくあることです。複数のメールアドレスを「Bcc:」に入れて送ろうとしたところ、間違えて「To:」または「Cc:」に入れてしまうということです。こういうことは、過去に何回も何回も起こっています。

どうしたらいいのか。私はメール一斉配信用のソフトを使用することをお勧めします。たとえば、下記にリストされているものです。無料のものでもいくつかあります。

窓の杜「同報メール」カテゴリー
http://www.forest.impress.co.jp/lib/inet/mail/packmailer/

「不特定多数にメールを送信する場合には、メール配信専用のソフトを使用する」

これをルール化して、社内で徹底することをお勧めします。

なお、使い慣れないソフトになりますので、最初、同じ部署の全員に送るなど実験を繰り返して、ソフトの動作に慣れるようにしてください。そして、本番で使用するようにしてください。
]]>