警察庁発「フィッシング」対策の方向性は？

当ＮＩＳ研究会が所属しているインターネットホットライン連絡協議会のメーリングリストを通じて、昨年末に警察庁からのお知らせが届いた。以下原文の通りである。

　参加団体　各位

インターネットホットライン連絡協議会の○○○です。

警察庁からのお知らせが2件あります。

◆2004年12月24日

いわゆる「フィッシング」対策の推進について

http://www.npa.go.jp/cyber/policy/phishing/main.htm

＊実際に被害がなくても、フィッシング行為を業務妨害罪や著作権違反として、検挙できることがポイントとなっています。

警察の取組み（抜粋）

（1) 基本方針

　今後、増加が懸念されるフィッシング詐欺については、これを詐欺に至らない段階（偽のホームページの開設等）で、防止、検挙することが何よりも重要。

　警察としては、関係機関・団体と連携し、詐欺に至らないフィッシング行為の防止を図るとともに、フィッシング行為自体を業務妨害罪、著作権法（複製権侵害、公衆送信権侵害等）違反等で検挙するよう努める。

（2) 具体的施策

ア　「フィッシング１１０番」の設置及び取締りの強化等

イ　関係業界団体への要請

ウ　総合セキュリティ対策会議の臨時会議の開催

参考記事（出典：Mainichi Shimbun）

http://www.mainichi-msn.co.jp/it/network/news/20041224org00m300127000c.html

警察庁　「フィッシング110番」を各県警に設置

　金融機関など企業からのメールを装い、偽のホームページ(HP)にアクセスさせてカード情報などを不正入手する「フィッシング詐欺」対策に本格的に乗り出すため、警察庁は24日、全国の警察本部に「フィッシング110番」を設置させた。また、金融・通信の業界3団体と会議を開き、対策強化を要請した。

　フィッシング詐欺は海外で多くの被害が出ており、国内でも先月、初めて偽のHPに金融機関の情報を入力して数十万円をだまし取られる被害が出た。JCB、ヤフージャパン、ビザインターナショナルなどが、名前を使われたことを公表している。

　警察庁は、フィッシング行為自体に業務妨害罪や著作権法違反、不正アクセス禁止法違反など、さまざまな法令を適用して取り締まりを強化する。110番の設置で早期の情報収集に努める。

　日本クレジット産業協会、インターネット協会、テレコムサービス協会の3団体との会議で、村田吉隆国家公安委員長は「顧客に注意喚起を促すとともに、相談に対する社員教育を充実させてほしい」と訴えた。

以上がメーリングリストを通じて、当研究会に届いた一件の内容である（別の一件は割愛した）。警察庁の考え方、今後の取組む姿勢など、マスコミを介さず直接知ることは有益であるし、内容に啓発的意味合いもあると判断し、この場を借りて原文のまま掲載した。

メールアドレスは個人情報なのか・・・フィッシング事件を通して考える

個人情報保護法の存在は知っていても、その内容を知らないとする人がほとんどだという記事を最近読んだ。そうした人の多くが「メールアドレスは個人情報じゃないの？」という疑問を持っているようだ。なぜなら、日常的にスパムメールの被害に悩まされており、プライバシーを侵害されていると実感しているからだ。

このような素朴な疑問は正しいかもしれない。

最近まで、何を隠そう私自身、経済産業省のガイドラインを基本に「個人が特定できないメールアドレスは個人情報保護法で定義される個人情報に当たらない」と講演などで話してきた。

（参考）経済産業省パブリックコメント

同ガイドラインでは、例えば「keizai_ichiro@meti.go.jp」のように、特定の個人を識別できるメールアドレス情報（経済産業省のケイザイイチロー氏のメールアドレス）を個人情報に該当する事例として紹介している。

一方で「記号や数字の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報、例えば「xyz12345@aruaru.com」の場合は個人情報に当たらないとしている。

一方で日本経済団体連合会の意見として、「今日では多くのメールアドレスが個人名を特定できないようにしてあり、それだけの理由で保護の対象から外すのは合理的でないので、メールアドレスは全て個人情報に該当することとすべき」と公表。この意見をよく読むと、情報の整合性が取れなくなるとする経済面の合理性が意見の背景になっているようなので、先の疑問を投げかけた個人、消費者がスパムのような迷惑メールを受け取った経験から出ている発言と性質が違うとみたほうがよいだろう。

（日本経済団体連合会の意見）

実はこうした定義や議論の結論を待つまでもなく、私自身の考え方も修正して、メールアドレスは個人情報の一種である、と考えたほうが良さそうである。理由は明白である。

自ら個人情報を渡してしまったり、お金を振り込んでしまうなど、フィッシングの手口として、メールアドレスが使用される事件が起きており、先の警察庁の取組みをみるまでもなく今後も事件の多発が予想されるからだ。

「モーニング娘。」の所属事務所の者と偽り、容疑者が発行する携帯サイトのメールマガジンの購読者である女子中学生に、「あなたもモー娘。になれる」などと嘘の情報を流して、お金を騙し取るなどの事件が起きたばかりである。メールアドレスといえども個人情報に相当するものとして、厳重に管理されなければならない。

（牧野二郎弁護士が「リーチ情報」という概念を紹介している。「リーチ情報」とは、個人が特定されようとされまいと、情報所有者の選択の余地なく本人へ「リーチ」できる情報のことで、電話番号やメールアドレスはこれに該当するとする考え方である）。

こうしたフィッシングなど事件の多発は、メールアドレスは個人情報かどうか、という議論を陳腐化するほど深刻な影響を社会にもたらしている、といえよう。

頻発するメーラーの操作ミス、今こそ認識が必要だ

メールアドレスが流出するリスクをこれまで書いてきたが、流出する原因や背景を知ると、身につまされる読者諸兄も多いのではないだろうか。

未だにメール送信時の操作ミスによって顧客情報を漏洩させてしまうことがしばしば起こっている。つまり、本来は「BCC：」で送るべきところを、「TO：」や「CC：」の部分に各顧客のメールアドレスを列挙して送ってしまうミスである。結果、送信された全員に全送信者のメールアドレスが表示されてしまう。

こうした場合、送信先の相手（知人や取引先、顧客など）に「大変申し訳ありませんでした、以後気をつけます」と伝えれば済む話だった。しかしこれだけネット上のリスクが高まってくる世の中になると、謝罪メールだけでは済まず、個人情報の漏洩事件として取り上げられる事態に進展するリスクがでてきた。マスコミが個人情報の漏洩事件として、過去報道した中にも、実際はメールの誤配信だったというものが多いのである。マスコミの報道の有無によって、結果責任として事件になったというのが真相だったりする。

図表　過去の主なミス配信事故として報道された事案例（3年以前のもの）

時期／機関名	概　　　　要
2001年10 月 朝日新聞	同時多発テロのアンケートをするため、アンケート協力者にメールを送信する際、誤って200人分のアドレスを表示させたまま送信。
2001年10月 レナウン	インターネット上のショッピングサイト「07fun(ゼロナナファン)」の顧客570人の電子メールアドレスを、誤って顧客全員に配信。担当者が顧客に新商品情報を配信する際、ソフトの不具合のため手作業で入力したところ、ミスが発生した。
2001年10 月 国内線ドットコム	登録者の中で2990人分のメールアドレスが表示されたお知らせメールを過って配信。メール配信システムの操作を誤ったのが原因。
2001年10 月 明治乳業	同社のスポーツ栄養飲料のメールマガジンに登録されている会員全員のメールアドレス約１万件が誤って外部に流出。流出したのは同マガジンの会員約500人。
2001年11月 法務省	法務省が開設するWebサイトに登録したメールアドレスが漏洩する事故が発生。同省のシステム監査を担当していた会社の担当者がシステムの操作中に、同省が発行するメールマガジン購読者に対して発生した。

電子メールに潜む危険な罠が、ネットの世界に満ちている

スパムメールとは、宣伝や勧誘などで送られてくるメールで、受信者にとっては不必要なメール全般を言う。メールアドレスが漏洩すれば、メールアドレスそのものがDM等のメールの宛先に使える。

メール爆弾とは、一度に数百〜数千通もの大量のメールを特定のアドレスに送りつけて、正常なメールの利用を妨害する行為のことを言うが、誰でもこうした被害に遭う可能性は十分考えられる。

虚偽のウイルス情報を装ってユーザーに損害を与えるような「デマメール」、なりすましによってメールマガジン申し込みの電子メールを送られ、多くの不必要なメールマガジンをダウンロードさせるスパム（迷惑）メール、いつまでもメールで嫌がらせをするネットストーカーによる「ストーカーメール」、このほかにもウイルスメールの発信元として不正に利用されたり、ネット掲示板等に貼られて第二、第三の被害を誘発するなど、メールの世界はさまざまな危険に満ちている。多くの人にメールの同報送信を行う担当者は、このことをしっかりと理解しておかなければならない。

メーリングリスト（ML）での設定ミスによる情報漏洩事故などもある。MLは、事業者が顧客に対して「お知らせ」などの情報提供を行う場合に使われることが多く、その際、管理者である事業者のミスにより、思わぬ個人情報の漏洩事故が起こっている。

これは、MLの設定において、返信先を選ぶ項目の中で、「管理者宛」に設定変更をしておかないと、登録者からの返信が『全員あて』となってしまうことから起きる。

このことが思わぬ事件につながった例がある。ある商品を購入した人を対象に「お知らせメール」を送るため利用されているMLで、返信メールが登録者（当該事業者の顧客）全員に配信されることを知った悪意あるユーザーが、その業者を偽装し、「アンケートに協力した人全員にプレゼントが当たる」といった偽りのメールをMLあてに送信することで、偽りのプレゼントサイトに誘導したのだ。何も知らない登録者はプレゼントの魅力に引かれて、つい個人情報を記入してしまい、その偽りのWebサイト管理者は、個人情報だけを盗み出すといったことが平然と行なわれたのだった。ほんの小さなミスが重大犯罪につながる危険性があるのが、ネット社会で誰もが使うメールなのである。

次回も引き続き、日常業務の中で起こる情報漏洩のリスクについて書きたいと思う。それまで、皆さんごきげんよう。

■田淵　義朗(たぶち　よしろう)

１９８０年　（中央大学法学部法律学科卒）大手メディア関連企業（出版、ソフトウエア、映画）でコンテンツビジネスを長く経験する。

２００３年　ネット情報セキュリティ研究会（ＮＩＳ）設立。企業の情報リスクマネジメントについて、形にとらわれない現場での経験を踏まえたわかりやすい語り口が好評。

２００４年より東洋学園大学国際コミュニケーション学科講師。政府関連、地方自治体、経済団体、大学などで、講演多数。朝日新聞、毎日新聞、週刊アエラのコメンテータ。

日経ＢＰ社SmallBizに「どうする？ＩＴ時代の人事管理」を２年近く連載。

ＮＰＯ学校法人経理研究会「田淵のわかる！情報セキュリティ講座」執筆連載中。

著書に「インターネット時代の就業規則」 「ネット（攻撃・クレーム・中傷）傾向と即決対策」（明日香出版社）がある。

プライバシーマーク取得支援、ＩＳＭＳ構築支援にとどまらず、企業広報（掲示板書き込みや違法メール、ネット上の顧客クレーム対策）および企業総務・人事（時代にあった就業規則、業務管理規定の作成支援）まで、企業の抱える情報リスク全般のコンサルタントとして、企業の相談にのっている。

過去アーカイブ 最新記事 画面先頭に戻る

• 「今までにないタイプのSQLインジェクション」、ゴルフダイジェストへの不正アクセス (17:28)
• ４月改編の反動か！秋の新バラエティで同時多発的に起った異変 (17:26)
• BMWJ、最新ナビと新iDriveを全モデル標準装備した「ニュー BMW 3シリーズ」 (17:26)
• TGS2008特報：今年のスクエニブースは、マイクロソフトブースとの連携に注目 (17:24)
• 本気で持ち歩く人のためのミニノート「FMV-BIBLO LOOX U/B50」 (17:24)
• TGS2008特報：FF20年の集大成、『ディシディア ファイナルファンタジー』 (17:23)
• TGS2008特報：女性からマニアまで楽しめる『シドとチョコボの…』ほか (17:23)
• トマム「山頂駅の雲海」事件　第1幕 (17:07)
• 松本引越センターが破産手続きへ、事業継続を断念 (15:47)
• 森永卓郎：今まさに瓦解する市場原理主義 (15:35)

• BPnet ホーム
• ニュース
• 過去アーカイブ
• 画面先頭に戻る

記事検索 オプション

SPECIAL