Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

観光庁の情報漏えい対策指針

日経新聞の2月2日電子版に観光庁が旅行会社向けに個人情報漏えい防止のガイドラインを3月をめどに発表する旨の内容がありました。

観光庁は旅行会社向けに、個人情報の漏洩防止策についての指針を作る。顧客のパスポートやクレジットカードの番号などの個人情報を旅行後に早期に削除することや、個人情報を扱う端末のセキュリティー強化を盛り込む。3月をめどにまとめて公表し、社内規定や具体的な防止体制づくりにつなげてもらう。(日本経済新聞電子版記事より引用)

これは2016年にJTB不正アクセスで最大678万8443件(当初は793万件と発表)の個人情報漏えい事件、札幌通運が同じく2016年にクレジットカード情報等2722件を不正アクセスにより漏えいした事件を受けてのガイドラインとなると思われます。

 

業界向けのガイドラインを策定することはとても良い方向性だとは思うのですが、少し疑問に思ったのが、2018年3月発表というタイミング。2016年6月のJTB事件から考えると・・・かなり時間がかかっている理由が良く分からないのです。

 

少し当時のことを調べてみたのですが、観光庁は両事件が発覚した2016年にはかなり積極的に動いています。(当然と言えば当然ですが・・・)

 

主な動きとしては、

  • 第1回 観光庁・旅行業界情報共有会議 2016年6月28日開催 (概要) 
  • 第2回 観光庁・旅行業界情報共有会議 2016年7月28日開催 (概要

   ※「旅行業界情報流出事案検討会 中間とりまとめ

     ~旅行業情報セキュリティ向上のため早急に講ずべき対策~」の公表

     (1)情報セキュリティ最高責任者(CISO)の任命

     (2)サイバーセキュリティ対策部署(CSIRT)の設置

     (3)個人情報サーバーとインターネットを使用するシステムの物理的な分離

f:id:foxcafelate:20180204115443j:plain

 

 

いずれも2016年に実施しており、早急な再発防止体制の構築を、旅行業界を挙げて取り組む重要性がうたわれていました。ですが、観光庁の動きはこれ以降パタっと止まります。少なくても2017年はまったく動きが無いように思われるほど、諸々の記事検索に出てきません。

その中で、突然の日経の記事、これは何を意味しているのでしょうか?

よくありがちな、トップが替わったので・・・という政策方針転換は、観光庁長官は2015年から田村長官であり、特に重点施策がかわる様なタイミングではなかったと思います。

 

色々調べてみて(合っているかどうかは分かりませんが・・)何となく自分が納得できそうな根拠は、内閣サイバーセキュリティセンター(NISC)が発表している平成29年度の「政府のサイバーセキュリティに関する予算」資料にありました。

f:id:foxcafelate:20180204122231j:plain

国土交通省のセキュリティ対策予算は2016年度で総額3千万円しか無く、2017年度になって総額6000万円に増額されているとの内容に見受けられます。今回の3月をめどのガイドライン作成は、「3.旅行業界における情報セキュリティ対策強化」施策の中で対応すると考えると、去年は予算が無かったので先延ばしになった、という推測が成り立ちます。もしかすると、当初目標としていたポータルサイト構築の今年度中完了が困難で、期末に向けて予算消化中だったので、ガイドライン作成に落ち着いた・・・そんな所なのかも知れません。

 

根拠の薄い推測はともかく、旅行業は裾野が広く、意見調整に時間がかかっていたのが観光庁が去年あまり動いてないように見える理由かとは思いますが、サイバーセキュリティ対策は全ての業界において喫緊の課題の1つとなりつつあるのですから、ガイドライン策定までとは言わないまでも、観光庁が2017年にもっと積極的に動いておけば、もしかすると12月のJALのビジネス詐欺メール事件は防げたのかも知れない、そんな風に思いました。

 

参考:

d.hatena.ne.jp

 

パスポートのイラスト

 

更新履歴

  • 2018年2月4日 AM(予約投稿)