Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サードパーティ管理はやはり難しい

3月16日のニコニコニュースに中国でのiCloudからの個人情報漏えいに関する記事が載っていました。

news.nicovideo.jp

先月28日、20代の男性が今回のデータ移管についてAppleへ電話で問い合わせたところ、スタッフの態度が悪かったことから口論に発展したという。男性によると「その夜、担当者が私の携帯に電話をかけてきた。職権を利用して私のiCloudに勝手にアクセスし、『個人情報すでにコピーした。言う通りにしないとネット上に晒すぞ』と脅してきた」といい、さらにiCloudに身に覚えの無いログイン履歴があったことから、男性は不正アクセスがあったと警察に通報した。(ニコニコニュース記事より引用)

 

この辺りの真偽の程は分かりませんが、アップルは中国ユーザのicloudサービスの運用管理をアメリカから、中国政府系企業の「雲上貴州」社に移して、すぐの不正アクセス事件報道なので、アップルや雲上貴州の信用を落とすためにライバル企業が・・・といった事も考えられますが、もし記事内容が本当であれば、世界企業で海外企業との取引(指導)経験の豊富アップルであってもサードパーティ管理”がいつも上手くいく訳ではない事を示唆しているといえます。

個人情報保護の概念は国によって違っている事もありますが、そもそも企業文化を浸透させる部分で摩擦が起きやすいこともあり、サードパーティ委託には規定類の慎重な策定や教育など、それを浸透させるための準備が重要です。

 

今回のアップルは・・何故、米国サーバから中国企業への委託を選んだのか・・と不思議に思ったのですが、

去年6月に中国で施行された「インターネット安全法」。外国企業が中国で収集した重要データを中国国内のサーバーに保存することを規定したもので、拒否した企業は中国から撤退せざるを得なくなる。(ニコニコニュース記事より引用)

 

それしか選択肢がなかった。という事だったようです。この法律の背景には、中国国内に重要データを漏えいさせない(委託するにふさわしい)企業が多くある事が前提ではないかと思いますが、こちらの方も国を挙げてPDCAを回している最中なのかも知れません。

 

 

参考:インターネット安全法が施行、外国企業にも中国基準を適用 | 世界のビジネスニュース(通商弘報) - ジェトロ

 

参考:1月15日に発表・・・あまりスタッフ教育されてない事もありえるかも知れません。

applealmond.com

 

守られた個人情報のイラスト

 

更新履歴

  • 2018年3月18日PM(予約投稿)