2016 年 6 月 23 日 エイベックス・グループ・ホールディングス株式会社 弊社 WEB サイトへの不正アクセスに関わる 調査委員会からの報告書受領について 弊社は、2016 年 4 月 28 日付けで公表致しました「弊社アーティストオフィシャルサイトへの不正アクセスによる 個人情報流出の可能性のお詫びとお知らせ」の通り、同年 5 月 10 日に、外部の専門家を主たる構成員とする調 査委員会を設置し、原因の究明及び再発防止策の検討を行って参りましたが、同年 6 月 23 日付けで調査委員 会より調査報告書を受領致しましたので ご報告申し上げます。 お客様に多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げるとともに、本調査結果を真摯に受けと め、再発の防止に努めてまいります。 なお、お客様からのお問い合わせは、これまで通り、下記窓口にて対応いたします。 【専用問い合わせ窓口】 電話番号: 0120-071-067 受付時間: 10:00~18:00 (月曜~金曜) 問い合わせフォーム: https://ssl.avexnet.or.jp/form/ask/inquiry2016/ 個人情報不正アクセスに関する 調査報告書(要約版) 2016年6月23日 エイベックス・グループ・ホールディングス株式会社 個人情報不正アクセス調査委員会 第1 調査の概要 1 委員会設置の経緯 エイベックス・グループ・ホールディングス株式会社(以下「AGHD」という。)は、 過去に実施したプレゼント応募イベント等の情報が格納されたサーバの一部からイベ ントの応募者等の個人情報が漏えいする事故(以下「本件事故」という。)について、 2016 年 4 月 23 日に、IPS 監視ベンダーから、外部へのファイルダウンロードリクエ ストを検知したとの報告を受けて、調査を開始した。その後、社内調査の結果、AGHD の 100%子会社であるエイベックス・ミュージック・クリエイティヴ株式会社(同社は、 旧エイベックス・マーケティング株式会社(以下「旧 AMI」という。)が、2014 年 7 月 1 日に旧エイベックス・エンタテインメント株式会社(以下「旧 AEI」という。)か ら音楽事業本部の分割承継を受けて商号変更したものである。以下、 旧 AMI 及び旧 AEI 音楽事業本部も含めて「AMC」という。)が構築・運用するデータベースサーバへの 不正アクセスにより個人情報が漏えいしたことが確認された。 そこで、AGHD は、本件事故の事実関係の調査、本件事故の原因究明、責任の所在 の明確化、再発防止策については、客観的かつ専門的で、より公正性、透明性を有した 調査、検討及び判断が必要であると判断し、外部の専門家を交えて構成されるエイベッ クス・グループ・ホールディングス株式会社個人情報不正アクセス調査委員会(以下「本 委員会」という。)を 2016 年 5 月 10 日付けで設置した。 本委員会の委員は、以下の 2 名のほか、外部の情報セキュリティ専門家 1 名及び AGHD 社内の委員 2 名の合計 5 名である。 委員長 大井 哲也 (TMI 総合法律事務所 弁護士) 委 員 佐藤 力哉 (TMI 総合法律事務所 弁護士) 2 調査の目的 本報告書は、2016 年 6 月 22 日までの調査に基づき、次項記載の受任事項に関して、 本報告書提出時における本委員会の見解を報告することを目的としたものである。 なお、本報告書は、AGHD が本委員会を構成した目的に照らして、あくまで客観的 な見地から、当該受任事項について本委員会の見解を述べるものであり、関係者の法的 責任の追及を目的とするものではない。 3 受任事項 本委員会の受任事項は、以下のとおりである。 ⑴ 本件事故の事実関係の調査 ⑵ 本件事故の原因調査 2 ⑶ 責任の所在の明確化 ⑷ 再発防止策の提言 4 調査期間 2016 年 5 月 10 日から同年 6 月 22 日まで 5 調査方法 本委員会は、本報告書を作成するに当たり、次の方法に基づいて調査を実施し、上記 調査期間内に開示等された情報の範囲内で、その情報の真正及び正確性を前提として 本報告書を作成した。 ⑴ インタビューによる調査 ⑵ 社内規程等のドキュメントのレビュー ⑶ 各種ログの調査 ⑷ 実地による技術調査 3 第2 本件事故の概要及び経緯 1 本件事故の概要 ⑴ 漏えい人数 本件事故は、アーティスト関連のプレゼント応募イベント等において収集された 応募者等の個人情報(以下、本件事故により漏えいした個人情報を総称して「本件情 報」という。)が漏えいした事故である。2016 年 4 月 28 日付プレスリリースでは、 本件事故により個人情報が漏えいした人数について約 35 万人であると発表された が、本調査において、個人情報が漏えいした人数を、⑵で述べる算出方法により算出 した結果は、約 64 万人であることが判明した。なお、現時点で本件情報以外に本件 事故による個人情報の漏えいは確認されていない。 ⑵ 漏えい人数の算出方法 AGHD では、アクセスログによりデータへのアクセスが確認されたデータベース から、メールアドレス、氏名・住所情報をもとに、同一内容の情報について、重複し た情報の削除を行い、本件事故により個人情報が漏えいした情報主体の人数を算出 し、漏えい人数とした。本委員会は、AGHD の行った漏えい人数の算出方法を確認 し、その妥当性を確認したものである。 4 2 本件事故の経緯 本件事故に関連して発生した事象の時系列は、以下の表のとおりである。 年月日 2004 年 7 月 時間 発信者 受信者 2010 年 10 月 29 日 作業者 AMC 内容 本件情報のうち最も古い個人情報の取得時期。 AMC CMS ソフト「Movable Type」及びそのプラグイ ンソフトウェアである「ケータイキット for Movable Type」(以下「ケータイキット」とい う。)を導入。 音楽事業再編を行い、旧 AEI 内にあった、音楽 事業に関する機能を旧 AMI に分割承継。同時期 に旧 AMI の商号をエイベックス・ミュージック・ クリエイティヴ株式会社(AMC)に変更。 攻撃者より AMC の Web サーバに対して、ケータ イキットの脆弱性を利用した不正アクセスが発 生。 不正アクセスがなされたサーバよりデータが漏 えい(事象1)。 「緊急パッチファイルの提供を開始」と題する プレスリリースを公表。 不正アクセスがなかったかの調査を依頼。 エイベ ックス・ グルー プ 2014 年 7 月1日 1:28 2016 年 4 月 21 日 A社 4 月 22 日 16:37 23:56 AGHD システ ム担当 インフラ運 用委託先 4 月 23 日 インフラ運 用委託先 AGHD システ ム担当 AMC シ ス テ ム担当 攻撃の形跡があった旨の連絡。 A社 4 月 24 日 1:55 AMC シス テム担 当 AGHD シ ステム 担当 AMC シス テム担 当 20:59 4 月 25 日 23:36 AGHD システ ム担当 AMC シ ス テ ム担当 4 月 26 日 18:15 4 月 28 日 JPCERT/ CC AGHD 広 報 5 「[重要]ケータイキット for Movable Type 1.65 の提供を開始」と題するプレスリリースを 公表。 事象1の際に盗取された ID・パスワードを利用 され、DB 管理ソフトウェア経由で、データベー スサーバに格納されていた本件情報を含むイベ ント情報が漏えい(事象2)。 ケータイキットのパッチの適用を完了。 攻撃者が作成・ダウンロードした圧縮ファイル の中に、アーティストの BBS(掲示板)の書き込 み情報があり、メールアドレスが登録されてい ることが判明。 アクセスログの解析より、DB 管理ソフトウェア 経由で、データベース情報が不正アクセスされ ていたことが判明。 アクセスログに記載されているデータベース 名、テーブル名からどのような情報が格納され ているかの確認を指示。 「ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起」を公表。 AGHD のオフィシャルサイトに「弊社アーティス トオフィシャルサイトの不正アクセスによる個 人情報流出の可能性のお詫びとお知らせ」と題 するプレスリリースの掲載。 年月日 時間 19:26 発信者 AGHD システ ム担当 受信者 経済産業省 21:00 AGHD 報 AGHD ステ 担当 AGHD ステ 担当 11:00 5月3日 11:30~ 作業者 AGHD 広 シ ム 5月6日 JPCERT/ CC 本委員 会 A社 5 月 11 日 ~13 日、 16 日、17 日 AGHD シ ステム 担当 AGHD 松 浦社長 CEO A社 5 月 12 日 5 月 20 日 5 月 27 日、6 月 1 日、6 月3日 AGHD AGHD シ ステム 担当 5 月 31 日 AGHD 総務部 門 6月8日 6 月 10 日 麻布警察署 AGHD 総 務部門 AGHD シ ステム 担当 AGHD シ ステム 担当 6 専用窓口用カスタマーサポート設置。 シ ム TMI 総 合 法 律事務所 5 月 10 日 内容 情報漏えいの可能性がある旨、メールにて報告。 メールアドレスが登録されている応募者に対し て、お詫びのメールを送信。 弁護士に事故対応について相談。外部委員を入 れた調査委員会設置の検討開始。TMI 総合法律 事務所の弁護士から委員就任の内諾を受ける。 「ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起」を更新。 本委員会の設置。 「[重要]ケータイキット for Movable Type 1.66 の提供を開始」と題するプレスリリースを 公表。 5 月 3 日に送信したメールが到達した応募者に 対して、お詫びのメール(イベント名と対象の 情報を含めたもの)を送信。 2016 年 3 月期投資家・マスコミ向け決算説明会 において、本件事故の説明及び謝罪。 「[重要] ナビゲーションの不具合に対応した ケータイキット for Movable Type Ver.1.661 の提供を開始」と題するプレスリリースを公表。 メールアドレスの登録がなく、住所・氏名が登 録されている応募者宛にお詫びの文書を郵送。 経済産業省を訪問し、本件事故について説明。 本件事故について、電話にて被害状況の申告及 び相談。 麻布警察署を訪問し、本件事故の詳細を説明。 麻布警察署に対し、本件事故に係るログを提出。 第3 本件事故の原因調査 本件事故は、AMC のサイト制作部門(以下「サイト制作部門」という。)が構築・運 用している Web サーバにおいて、当該サーバ内で使用していたケータイキットの未知の 脆弱性を突く攻撃を受け、当該サーバに不正アクセスされ、当該サーバにあったウェブコ ンテンツやプログラム等の一部のデータが不正に取得されたものである。その際、当該サ ーバに格納されていたアーティストオフィシャルサイト内の掲示板(BBS)の書き込み情 報内の個人情報や、データベースサーバにアクセスするための ID・パスワードが盗取さ れた(事象1・図表1参照)。さらに、事象1の際に盗取された ID・パスワードを利用さ れ、DB 管理ソフトウェアによりデータベースサーバに格納されていた本件情報が不正に 取得された(事象2・図表2参照)。 【図表1】事象1 7 【図表2】事象2 したがって、本件事故は、その直接の原因がソフトウェアの未知の脆弱性によるもので あるという不可避とも思える偶発的な事象であったという側面を有している。 もっとも、その他の情報セキュリティ施策が有効に機能していれば、本件事故は、避け られた可能性がある事故であったともいえる。 そこで、以下では、まず、本件事故の原因調査として、AMC が構築・運用している Web システムの情報セキュリティに関して、技術的観点から、Web システムが堅牢な情報シ ステムであったか否か、ネットワーク構成が適切であったかを検証した。 また、本件情報には、取得時期が古く、既に破棄されるべきであった情報も数多く存在 していたところ、本件情報の管理主体や廃棄に係るルールの取決め等について、個人情報 管理の運用面の不備も発見され、これにより漏えい件数が拡大したという事情があること から、AGHD 及びその子会社(以下併せて「エイベックス・グループ」という。)内にお ける個人情報の管理体制についても検証した。 1 技術的観点からの調査結果 ⑴ 攻撃に関する調査 本件事故は、A 社が提供するケータイキットに OS コマンドインジェクションの脆 弱性が存在していたことに起因する。ケータイキットとは、コンテンツマネジメント 8 システム(CMS)である Movable Type の、携帯電話等のサイト構築用プラグインで ある。技術的観点からの調査を行った範囲は次のとおりである。 【図表3】 調査対象サーバについて 本委員会にて入手した各種ログやヒアリングをもとに、攻撃発生から攻撃終了まで の内容を調査した結果、ケータイキットが導入された Web サーバに対して脆弱性を 突いた攻撃が行われたものであり、次の 2 事象が発生していたことが確認された。 事象1は、次に示すステップで攻撃者による不正アクセスと情報の持ち出しが行わ れたと推測される。 ① インシデント発生当時の最新版であったケータイキット v1.641 における OS コマンドインジェクションの未知の脆弱性を利用し、Web サーバへ遠隔 操作プログラムを設置 ② Web サーバ上に設置した遠隔操作プログラムを操作し、当該 Web サーバの 内部を探索 ③ Web サーバに保存されていたデータ等の外部への持ち出し 9 【図表1】事象1 事象1で持ち出されたと考えられる情報は、当該サーバに保存していたデータ(プ ログラムやコンテンツ、掲示板に書き込まれていた個人情報等)と考えられる。これ は、持ち出す際に、ファイルを収集して圧縮した結果であるファイルがサーバに残っ ており、圧縮後のファイルが攻撃者によりダウンロードされたログが残っていたこと からも推測できる。当該ファイルには、データベースサーバへアクセスするための ID・ パスワードが含まれていたと推測されることから、事象2で発生するデータベースへ の不正アクセスに必要となる ID・パスワードの情報も併せて漏えいしたと考えられ る。 事象2は、次のステップで攻撃者による不正アクセスと情報の持ち出しが行われた と推測される。 ① 事象1で設置した遠隔操作プログラムを用いた DB 管理ソフトウェアの設 置 ② 事象1で入手した ID・パスワードを使用してデータベースサーバへの不正 アクセス ③ データベースサーバから個人情報(メールアドレス、氏名、住所、電話番号、 プロフィール情報等)を含むデータを外部にダウンロード 10 【図表2】事象2 データベース内の情報を持ち出すために使用された DB 管理ソフトウェアは、オー プンソースで公開されているソフトウェアと同じものであることが確認されている。 攻撃者は、当該ソフトウェアを用いて、事象1で持ち出された ID・パスワードを使 い、データベースサーバへアクセスし、格納されていた個人情報を含むデータを入手 したと考えられる。 ⑵ ケータイキットに関する調査 本件事故の原因となったケータイキットについての調査結果は以下のとおりである。 ① 2016 年 4 月 21 日時点のケータイキット最新版である v1.641 には、OS コ マンドインジェクションの未知の脆弱性があった。この未知の脆弱性は、攻 撃者が不正な HTTP リクエストを送信すると、OS が利用する任意のコマ ンドが実行される問題があった。 ② 2016 年 4 月 21 日時点のケータイキット最新版である v1.641 のプログラム コードを分析したところ、IPA(情報処理推進機構)が広く公開している「安 全なウェブサイトの作り方」に示されているような基本的なセキュリティ対 策が実施されていなかった。 ⑶ 被害対象ネットワーク・システム構成に関する調査 ネットワーク・システム構成の情報セキュリティ施策について、以下の事項が確認 された。 ① 当該 Web サーバ上にあるいくつかのサイトに対しては、ツールによる脆弱 性診断を実施していたが、攻撃を受けたサイトに関しては、パッケージ製品 11 であるケータイキットを利用していたため、脆弱性診断の対象から外してい た。 ② 侵入防止システム(IPS)を導入しており、常時監視をしていた。本件事故 において攻撃を受けたサーバから外部へのファイルダウンロードリクエス トに関しては、検知し、攻撃を防いでいた。 ③ ウェブアプリケーションファイアウォール(WAF)を導入していたが、本 件事故において攻撃を受けたサイトを除外していたため、攻撃を検知してい なかった。 ④ プログラムモジュール(PHP)の設定としてシステムに対するコマンド実行 を行う関数の制限がされていなかった。 ⑤ 本件事故において影響を受けた Web サーバ上には、複数のサイトが存在し ていた。さらに、個人情報を取得するサイトと取得しないサイトが共存して いたことから、当該 Web サーバ上に存在する一部のサイトが攻撃を受けた 結果、直接攻撃を受けていないサイトに関しての情報(本件情報を含む。) も持ち出されることとなった。 12 2 管理体制からの調査結果 ⑴ 全般的な情報管理体制等について ア 情報管理体制及び規程・ガイドライン等の現状 AGHD では、2005 年 4 月 1 日に「個人情報保護方針」と「個人情報保護基本 規程」が制定され、台帳登録の仕組みが設けられた。その後、個人情報を含む情 報資産保護のための規程の見直しが随時実施され、各種規程・ガイドライン等が 定められた。 AGHD では、従来、個人情報等の管理や情報セキュリティ施策は法務部の管 掌事項となっていたが、2013 年 7 月に、経営情報管理本部 IT システム部セキ ュリティ課(以下「セキュリティ課」という。)が新設された。 セキュリティ課が新設されたことに伴い、それまで法務部の管掌であった情 報セキュリティ関連の規程・ガイドライン等が、同年 10 月からセキュリティ 課の管掌となった。セキュリティ課は、法務部から引き継いだ規程・ガイドラ イン等の改訂作業を順次行うとともに、各種規程・ガイドライン等を新たに定 め、AGHD における情報セキュリティ関連の規程・ガイドライン等の整備を推 進していた。 セキュリティ課は、エイベックス・グループ内の各社が新たにシステムを開 発する際には、同課に情報セキュリティ全般について事前に相談することを義 務付ける制度を近時新たに構築し、エイベックス・グループ内に周知してい た。 以上のように、AGHD では、セキュリティ課が新設されて以降、同課を中心 に、情報管理体制の改善が進められていた。しかし、現時点では、個人情報ごと のフローは未構築であり、AGHD において個人情報保護のための管理体制は十 分には整えられていなかった。 イ システムチェックの実施状況 AGHD では、本件事故発生以前から、セキュリティ課の主導の下、エイベッ クス・グループ内で個人情報を保有するシステムのセキュリティチェックを順次 実施していくことが計画されていた。 また、AGHD では、簡易脆弱性診断ツールを購入し、既存であるか、新規で あるかを問わず、全てのシステムについて、脆弱性診断を順次実施していた。も っとも、本件事故当時、ケータイキットについては、未だ診断が実施されていな い状況であった。 さらに、AGHD では、改ざん検知システムをエイベックス・グループ全社に 導入したほか、ケータイキット導入後の 2013 年 11 月 8 日に、全てのシステム 13 を対象とするシステム開発時セキュリティチェックリストを作成し、適宜更新し ていた。 ⑵ ケータイキットの採用過程について AMC においては、アーティスト専用ブログを Movable Type で構築していたが、 Movable Type は PC 用のブログソフトだったため、フィーチャーフォンやスマー トフォン用に表示を変更することができなかった。そのため、AMC は、ブログの 表示変更に対応するために、2010 年 10 月 29 日からケータイキットを採用した。 ⑶ アーティストサイト構築・運用の委託主体及び受託主体について エイベックス・グループでは、サイト制作部門がアーティストサイトの構築・運 用を受託していた。 CD・DVD 等の販促イベント等の場合は、AMC をはじめとするエイベックス・ グループ内の各社における音楽や映像等を制作する部門(以下「音楽等制作部門」 という。)が企画の主催者となり、サイト制作部門にアーティストサイトの構築・ 運用を委託していた。 その場合、各イベント等の企画の主催者が、アーティストサイトの構築・運用の 委託者であり、アーティストサイトを通じて取得された個人情報のデータオーナー となる。すなわち、サイト制作部門がアーティストサイトの構築・運用を受託した 場合であっても、主催者である音楽等制作部門が、個人情報のデータオーナーとな る。しかし、音楽等制作部門の担当者は、自らが個人情報のデータオーナーである との認識が希薄であると認められる場合もあった。 ⑷ 本件情報の取得・管理・利用・削除フローについて 以下では、時系列に従って、本件情報の取得、管理、利用及び削除の各フローに おける規程及び運用の実態について記載する。なお、本件情報の中には、オーディ ションのためのプロフィール情報、プレゼント応募情報等様々な情報が含まれてい たが、情報の種類ごとにフローの違いは存在していなかった。 ア ① 取得 取得に関する規程・ガイドライン等 エイベックス・グループでは、個人情報保護基本規程で個人情報取得の基本 ルールが定められているものの、取得する個人情報の決定や個人情報取得の委 託に関するフローを具体的に定めた規程・ガイドライン等は存在していなかっ た。 14 ② 取得に関する運用 個人情報の取得範囲を検討するための規程・ガイドライン等は、エイベック ス・グループ内には存在していなかったため、取得する個人情報の範囲は、担 当者の判断によってケースバイケースに決められていた。AMC の音楽等制作 部門が主催者となる場合は、原則としてサイト制作部門にサイト構築・運用の 依頼がなされる運用となっていた。 AMC の音楽等制作部門からサイト制作部門への依頼事項の詳細は、内線電 話・メールで伝えられたり、口頭で伝えられたりするのが一般的であった。ま た、サイト制作部門がエイベックス・グループの社内システム上に作成した申 請フォームがあり、音楽等制作部門はその申請フォームにも必要事項を記入し ていたが、サイト制作部門への依頼に当たって、個人情報取得に関する書類等 は用意されておらず、契約書、仕様書等の書面が交わされることもなかった。 ③ 利用目的の公表 エイベックス・グループでは、取得した個人情報の利用について、利用目的 をできる限り特定し、その目的の範囲内で個人情報を取り扱うこととされてい た。 また、エイベックス・グループ全社に適用されるプライバシー・ポリシーが、 インターネット上で公開されている。 イ ① 管理・利用等 管理・利用等に関する規程・ガイドライン等 エイベックス・グループでは、取得した個人情報の管理について、「個人情 報保護方針」、「個人情報保護基本規程」をはじめとする各種規程・ガイドラ イン等が定められている。 ② 台帳登録の仕組み エイベックス・グループにおける台帳登録の仕組みは、2005 年 4 月 1 日に 制定された個人情報基本規程に基づき始まったものであり、エイベックス・グ ループ全体で統一のルールとなっている。 エイベックス・グループでは、従来は、システム内で保有・管理されている 情報及びファイル・紙で収集する情報を、一つの個人情報管理台帳(以下「管 理台帳」という。)で管理していたが、2014 年 9 月 13 日に、管理台帳からシ ステム部分を分離し、個人情報取扱システム一覧(以下「システム一覧」とい う。)が作成された。これにより、専用のシステムで管理される個人情報につ いては、管理台帳には記載されず、システム一覧上に、システムごとに登録さ 15 れることとなった。なお、システム一覧作成時に、管理台帳に登録されていた 個人情報のうち、専用のシステムで管理されるものについては、システム一覧 への登録替えがなされている。本件情報は全て、システム一覧中の単一の項目 で管理されていた。 他方、音楽等制作部門の担当者が、システム内で保有・管理されている個人 情報を受け取った場合には、管理台帳への登録が必要であるとされていた。 なお、台帳登録の仕組みは、導入当初は遵守されないことが多かったが、近 年においては、管理台帳のシステムからのメールによるアラート機能や全社的 な啓蒙活動により、当初よりは遵守されるようになっている。もっとも、2014 年に内部監査部門が実施した調査によると、台帳制度の遵守はまだ十分に浸透 していないことが伺われる。 ③ 利用に関する運用 音楽等制作部門の担当者が、取得された個人情報を利用する際には、まず、 サイト制作部門にメールや内線電話でデータの送付を依頼することが一般的 であった。 依頼を受けたサイト制作部門の担当者は、該当する個人情報ファイルを自ら の PC にダウンロードした後、パスワードを付して依頼者に送付し、依頼者に 対してパスワードを別途メールで送信していた。依頼者への送信終了後、サイ ト制作部門の担当者は、ダウンロードしたファイルをゴミ箱へ移動し、ゴミ箱 を空にすることにより、自らの PC にダウンロードしたファイルを削除してい た。もっとも、多くのサイト制作部門の担当者は Web サーバ上にあるデータ を削除することについてまでは意識が及んでおらず、Web サーバ上のデータ はほとんどの場合に削除されずに放置されていた。 依頼した音楽等制作部門の担当者は、データを受け取ると、自らの PC に保 存していた。なお、音楽等制作部門の担当者の PC は、会社支給の PC であり、 アクセス制限やハードディスクの暗号化といったセキュリティ対策が施され ていた。 ウ 削除 ① 序論 エイベックス・グループでは、各事業会社、各部門にて個人情報を収集する 目的が異なっているため、エイベックス・グループ全体での共通的な破棄フロ ーは用意されておらず、それぞれの個人情報を収集する担当者及び責任者にお いて情報の利用期限(破棄期限)を決めるという運用がとられていた。また、 16 個人情報を受け取った者が、当該個人情報を廃棄した際には、管理台帳上で廃 棄の登録がされることとなっていた。 ② システム内で保有・管理されている個人情報について システム内で保有・管理されている個人情報については、恒常的に情報を取 るものが多いため、システム一覧では破棄期限は記載されていなかった。その ため、サイト制作部門の担当者は、サイト制作を依頼した担当者に個人情報を 含んだファイルを送付するためにダウンロードしたファイルについては削除 していたが、システム内で保有・管理されている個人情報はその利用が終了し た後もそのまま放置し、削除することを失念することが多かった。 また、発注元である音楽等制作部門は、個人情報のデータオーナーとしての 自覚を有しておらず、サイト制作部門内でのフローも認識していなかったため、 サイト制作部門への指導・監督等はしておらず、サイト制作部門が個人情報を 廃棄したかの確認も行っていなかった。 これらの原因により、システム上から古い個人情報が削除されないまま残存 していたものであると考えられる。 ⑸ 監査及び教育・研修について ア 監査 エイベックス・グループ内における個人情報の管理状況についての AGHD に よる監査は、2005 年 4 月 1 日に制定された個人情報基本規程に基づき始まった ものである。同年以降、 AGHD のグループ内部監査室に所属する監査責任者が、 毎年 1 回、年度ごとに目的を定め、グループ会社の各部門から無作為に対象部 門を選定し、同監査を行っている。同監査に基づき監査責任者より個人情報の廃 棄の遅れ等を指摘されることがあり、特に最近は、監査の程度が厳しくなってい た。 なお、2015 年度は、委託先における個人情報の使用状況及び監督状況の問題 点を考察し、改善を図ることが目的として定められ、実際に同目的に基づき監査 責任者が対象部門に対するインタビューを実施し、その結果に基づき改善点等 の指摘がなされていた(もっとも、いずれもエイベックス・グループ外の委託先 における個人情報の使用状況及び監督状況が監査対象であり、エイベックス・グ ループ内における受委託関係は対象となっていなかった。)。 イ 社内研修・教育 エイベックス・グループ内における個人情報保護に関する研修は、2005 年 4 月 1 日に制定された個人情報基本規程に基づき始まったものであり、当初は座 17 学で研修が行われ、現在は、毎年 1 回、全社員を対象にした e ラーニング形式 での研修が行われている。 ⑹ 本件事故における事故対応マニュアルの遵守状況について エイベックス・グループでは、「情報セキュリティ・ガイドライン」の別表とし て、「情報漏洩事故発生時の報告ルート」が事故類型ごとに定められるとともに、 「個人情報取扱マニュアル(法的要件対応編)」において事故発生時の連絡方法が 定められていた。しかし、部署間の役割分担及び具体的に取るべき対応等といった 具体的な規定は存在しなかった。 本件事故では、サイト制作部門が初動対応に当たり、広報等の対応部門との連携 については、セキュリティ課が対応を行った。 3 外部ベンダーについて ケータイキットは、B 社が提供する CMS プラットフォーム「Movable Type」のプ ラグインソフトとして、A 社が開発・製造したものである。 ケータイキットには、上記第3の1⑵のとおり、IPA が広く公開している「安全なウ ェブサイトの作り方」に示されているような基本的なセキュリティ対策が実施されてい なかった。仮に当該セキュリティ対策が実施されていれば、本件の脆弱性を回避するこ とが可能であった。 18 第4 責任の所在 1 AGHD について AGHD は、情報管理体制の構築や、情報取扱フローの整備を通して、グループ全体 のセキュリティレベルを上げるべき立場にあった。 AGHD では、2013 年 7 月にセキュリティ課が新設され、情報セキュリティ関連の規 程・ガイドライン等の新規策定及び改正、システムリスクマッピング及びセキュリティ チェック、脆弱性診断ツールや改ざん検知システムの導入等、セキュリティレベル向上 のための施策が進められている途上であった。 本件事故が発生したアーティストサイトに関するシステムについては、セキュリティ チェックが未了だったものの、その背景としては、機微情報を多く保有しているシステ ムや複雑なシステムから優先してチェックを行い、パッケージソフトであるケータイキ ットについては診断を後回しにしたという判断があり、当該判断はやむを得ないもので あったといえる側面もある。 しかし、AGHD では、規程・ガイドライン等が個人情報の取扱主体を意識したもの になっていなかったことなど、個人情報に関する各種フローの整備に不十分な面があっ たことは否めない。また、現時点では、AGHD は、個人情報ごとの取扱フローが未構 築であり、事故発生時の対応フローも十分でなかったため、危機への備えが十分であっ たとはいえない状況であった。 特に、個人情報を破棄することについては、管理台帳上での破棄の登録を行う運用で あったことが大量の個人情報をシステム上に残存させることの原因となっている。 2 音楽等制作部門について 音楽等制作部門は、個人情報の募集を必要とするイベント等を企画して個人情報を収 集した場合には、収集した当該個人情報のデータオーナーとなるにもかかわらず、自ら がデータオーナーであるとの意識が希薄な場合もあり、委託先たるサイト制作部門の指 導・監督を行っていなかった。 上記 1 のとおり、規程・ガイドライン等において、音楽等制作部門による委託者とし ての指導・監督に関する規定が十分に定まっていなかったことを踏まえると、音楽等制 作部門において、自らがデータオーナーであるという意識が希薄だったことにはやむを 得ない側面があるものの、どのような個人情報を取得し、どのように利用するかを決定 する所管部署としては、落ち度があったといわざるを得ない。 3 サイト制作部門について 19 サイト制作部門の担当者は、Web サーバから必要な個人情報をダウンロードし、音 楽等制作部門の担当者に送付した後、自らの PC 内にある該当ファイルを削除していた が、Web サーバ上の個人情報は多くの場合削除されずに放置されたままになっていた。 その結果、長期間にわたり個人情報が Web サーバ上に放置されることとなり、本件 事故に関する被害の拡大を招いたことは否定できない。多数の個人情報を収集・管理す るシステムを構築する役割を担う所管部署としては、要求される注意義務も高いといえ、 サイト制作部門は、セキュアなシステムを構築・運用するとともに、Web サーバ上の 個人情報の削除の要否をデータオーナーである音楽等制作部門に確認するべきであっ たといえる。 4 外部ベンダーについて A 社は、ケータイキットの開発において、セキュリティに関する基本的な対策を行っ ておらず、ソフトウェア開発において落ち度があったものといわざるを得ない。 20 第5 再発防止指針 1 AGHD におけるシステム全体の強化及び運用の改善 ⑴ 当面の対応 エイベックス・グループが管理する個人情報に関係する全てのシステム(以下「管 理対象システム」という。)において、今回調査を行った結果判明した内容を踏まえ、 同様な不正アクセス被害を再発させないために速やかに次の対策を必ず講じなけれ ばならない。 ① セキュリティ機器(WAF、IPS、FW)からのアラート対応(分析・判断・ 指示等)を行うに当たっての役割分担や初動対応時間を関係組織間において 明確に定義しておくこと。 ② 管理対象システムに導入されているセキュリティ機器(WAF、IPS、FW) の各種設定やサーバ(PHP 等)の設定、運用の見直しを確実に実施するこ と。 ③ 管理対象システムの Web サーバから個人情報データへのアクセス制御をよ り厳格に実施すること。インシデントが発生した際に被害を最小限にするよ うなシステム構成とすること。 ④ 管理対象システムにおけるセキュリティパッチの適用及び不要なサービス の停止、並びに不要なプログラムやデータの削除を徹底すること。 ⑤ 管理対象システムにおいて必要のない通信(不要な外部への通信等)を継続 的に監視・分析して速やかに遮断すること。 ⑥ 管理対象システムの脆弱性診断を速やかに実施し、脆弱性が発見された場合 は修正等を行うこと。 ⑵ 今後の方向性 管理対象システムにおいて、セキュリティレベルを更に向上させるために次の対策 を講じることを強く推奨する。 ① 管理対象システムにおけるログ管理方法の見直しを行うこと(アクセスや操 作の成功・失敗等の各種ログ保存粒度の見直し、的確なログレビュー等)。 ② 管理対象システムにおいてホスト型 IPS 等で攻撃に気付けるような仕組み の導入を検討すること。 ③ 管理対象システムにおける定期的な脆弱性診断を徹底すること。 ④ 定期的な管理対象システムのセキュリティレビュー(インタビュー、セキュ リティ監査等)を行うこと。また、入口対策・内部対策・出口対策を意識し たセキュリティ対策の観点での評価も行うこと。 21 ⑤ 管理対象システムの新規構築及び更改時には、第三者によるセキュリティレ ビュー(インタビュー、設計書レビュー等)を行うこと。 ⑥ 管理対象システムで保管する個人情報データや、個人情報に関するプログラ ムファイル等のうち、不要となったものは速やかに削除する仕組みを整備す ること。 2 情報セキュリティ管理体制の強化 エイベックス・グループ全体のセキュリティレベルを向上させるため、セキュリティ 課を中心に、全社的な情報管理体制・情報取扱フローを、引き続き改善させていく必要 がある。 ① 情報セキュリティ関連の規程・ガイドライン等の新規策定及び改正を引き続 き行っていく必要がある。特に、以下の(ⅰ)(ⅱ)のような視点での新規 策定及び改正が考えられる。 (ⅰ)音楽等制作部門が個人情報のデータオーナーであることを規程・ガイ ドライン等に明記し、データオーナーとしての意識を根付かせるべき である。 (ⅱ)システム内で保有・管理されている個人情報の廃棄に関して、サイト 制作部門による廃棄に係るフローを確立するとともに、データオーナ ーたる音楽等制作部門による指導・監督が及ぶようにすべきである。 例えば、管理台帳等を活用するなどして、データオーナー、管理シス テム、保有期間、削除日等の項目が把握できるよう管理することが考 えられる。さらに、属人的な運用フローのミスによる事故等を可及的 に回避するため、長期間にわたって個人情報を保管している場合に自 動的にアラートメールが発せられるなど、機械的なシステム制御の試 みも検討に値する。 ② 複数のアーティスト・イベントのイベント個人情報を一つのデータベースで 管理するのではなく、アーティスト・イベントごとに個別管理すべきである。 ③ 事故発生時の対策について、部署間の役割分担及び具体的に取るべき対応等、 具体的なフローに関するマニュアルを設けるべきである。 以上 22
© Copyright 2024 ExpyDoc