毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2023年12月21日
- タイトル:個人情報保護法 施行規則&ガイドライン改正
- メインスピーカー:データサイン 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
拡大する「ウェブスキミング」ってなに?
ECサイトなどに不正なプログラムを組み込んで、ユーザーが入力した情報などを抜き取る犯罪「ウェブスキミング」の拡大が懸念されています(オンラインスキミングとも呼ばれます)。2023年11月15日付の日本経済新聞(電子版)には、全国初となるウェブスキミングの摘発が報じられました。容疑者が音楽グループの公式サイトに不正なプログラムを仕掛け、グッズなどを購入するためにアクセスしたユーザーが入力したクレジットカード情報をひそかに入手したことが警察のサイバーパトロールを通じて発覚。不正指令電磁的記録供用と割賦販売法違反の疑いで逮捕されました。
ウェブスキミングで窃取される可能性がある情報は、クレジットカード情報だけではありません。一般的な問い合わせフォームなどを経由して入力される氏名や住所、メールアドレスといった情報も含まれます。
このような情報は、個人情報保護法の観点では、どのような扱いになるのでしょうか?
同法における「個人情報」とは、生存する個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるものです。また、「個人データ」とは、個人情報を容易に検索できるように体系的にまとめた「個人情報データベース等を構成する個人情報」です。「個人情報」が「個人データ」に該当した場合、「個人データではない個人情報」の場合よりも、個人情報取扱事業者が遵守すべき事項は多くなります。
「個人データとして取り扱われる予定のもの」も個人データに該当するので注意
「ウェブスキミングで第三者に窃取される情報は、企業が自前で開発・運用したり、社外にそれらを委託したりするデータベースに登録される前の情報です。もし、データベース登録前の情報が『個人データではない個人情報』であるとみなされるならば、個人情報取扱事業者に安全管理措置や漏えい等の報告等、また本人への通知といった義務が免除になる、ということになります」(データサイン 代表取締役社長 太田祐一)
これについて、第264回個人情報保護委員会(2023年12月15日開催)の資料に記された、個人情報保護法の施行規則やガイドライン(通則編)の改正案によると、「個人データ」には「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれることが示されています。
「いいかえると個人データ化される前の情報、たとえば商談などで相手からもらった名刺であっても、あとでデータベース化する予定のものであれば、漏えい等の報告等の義務が個人情報取扱事業者に課されます。とはいえ、今回の改正により個人データの定義が変わったわけではなく、あくまでその内容を明確化するための追記であると個人情報保護委員会は説明しています」(太田)
どうやってウェブスキミングを防げばよいの?
さて、ECサイトや問い合わせフォームなどを運用する企業などでは、巧妙なウェブスキミングの被害を防ぐため、どのような安全管理措置を講じればよいのでしょうか?
フォームから第三者への情報通信をすべて遮断してしまえばリスクは低減しますが、Google Analyticsなどのアクセス解析ツールや各種広告タグ、業務に必要なサービスの利用もできなくなってしまいます。
有効なのが、コンテンツセキュリティポリシー(Content-Security-Policy)の設定です。コンテンツセキュリティポリシーはW3Cで策定されたセキュリティ標準で、ブラウザで設定が可能です。具体的にはフォームに埋め込まれるさまざまなJavaScriptのうち、アクセス解析や広告タグなど必要なものだけホワイトリスト化し、それ以外は遮断する仕組みです。ただ、膨大なリストを目視など人手で管理するのは抜け漏れのおそれもあり、かつ効率的とはいえません。
これに対してデータサインが開発・提供するプライバシーテック・スイート「webtru」(ウェブトゥルー)には、コンテンツセキュリティポリシーの設定を自動化する機能があります。つまり、webtruを導入するだけで個人情報保護法における安全管理措置に対応することが可能です。
EC市場の拡大とともに横行が危惧されるウェブスキミング(オンラインスキミング)への対応が急がれます。ぜひこの機会に自社に関連するウェブサイトの状況をお確かめください。