プライバシーマーク・個人情報保護blog @pmarknews

プライバシーマーク・コンサルタントの中康二が、個人情報保護と情報セキュリティに関する最新情報を追いかけています。

mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

45
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)は、自社のWebサイトに不正アクセスが発生し、約1億4000万人以上の社会保障番号を含む個人情報が流出したと、9月7日に発表しました。

今回流出した個人情報は、米国とカナダの在住者の名前、住所、生年月日と、社会保障番号を含む約1億4300万件とのことです。また、一部については運転免許証番号、クレジットカード番号なども含まれているとのことです。また、今回の不正アクセスは、同社のWebサイトのアプリケーション脆弱性を悪用したものであり、今年5月中旬から2017年7月まで続いていたとのことです。

同社では今回の事件に対応するための専用のWebサイトを開設し、流出の有無をオンラインで確認できるようにしています。また、流出した被害者に対しては、専用のIDを発行し、信用情報業界大手三社における自分の信用情報を無料で確認してロック/アンロックできる機能や、被害を補填する保険を提供するなど、様々な対策を行うとしています。

https://www.equifax.com
https://www.equifaxsecurity2017.com/

(私のコメント)
米国では社会保障番号が事実上の国民総背番号になっており、この番号を提示することで信用情報が検索されて、金融機関の口座開設やクレジットカードの作成など様々な金融サービスに利用されています。一方で社会保障番号にはパスワードなどの認証機能がありませんので、番号が分かるだけで他人に悪用される事件が頻発しており、従来から問題とされていたところでした。今回の大規模流出をどのように乗り越えていくのか注目していきたいです。

なお、日本のマイナンバーが、厳格に目的外利用を禁止したり、何種類ものパスワードを用意しているのは、この米国の社会保障番号と同様の問題を起こさないようにと事前に工夫された結果ということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

23
(画面はJIPDECのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、改正案への意見受付が9月17日まで行われているJIS Q 15001改正への対応方針を発表しました。

今回、JIPDECが発表した方針をまとめると下記のとおりになります。

(1)改正JISが公示される。
   ↓
 (速やかに)
   ↓
(2)新審査基準を公表する。
   ↓
 (最低6か月の経過期間を置く)
   ↓
(3)新審査基準による申請を受け付ける。


とのことです。

では、この(1)はいつになるのでしょうか?JIS規格による標準化を進めている日本工業標準調査会のWebサイトには下記のような記載があります。


【Q8】JISの制定、改正にはどれくらいの期間がかかりますか。

A.(略)JIS原案がまとめられてから、担当大臣が制定・改正するまでに、短い場合で約半年程度がかかります。これは、まとめられたJIS原案について、日本工業標準調査会での審議やWTO/TBT協定に基づく意見受付公告(60日間)、官報公示を行うなどの事務手続きを要するためです。
https://www.jisc.go.jp/qa/#A108


今回の改正JISの原案が公表されて、意見受付が開始されたのが7月20日です。そこから「短い場合で約半年」ということですから、早くても(1)は2018年1月ごろになりそうです。

そうすると、(2)は2018年2月ごろ、(3)は2018年8月ごろということになります。

すなわち、新基準での申請が始まるのが、早くても2018年夏ごろということになるのではないかと思います。

https://privacymark.jp/info/jis_kaisei/index.html

(私のコメント)
ということで、上記は私の大胆予想です。

来年夏に新基準での審査開始ということだとしても、当初は審査の厳しさも審査官により、また審査機関により、違いが出るでしょうし、相場観が醸成されるまでにはかなり時間がかかると思います。また、コンサルタント側としても何回か審査を経験することで新審査基準にスムーズに対応できるようになっていくと思います。そういう意味から、今すぐに手早くPマークを取りたいという方は、従来のJISのままさっさと取得したほうがいいと思いますし、Pマーク更新の場合も、両方選べるとしたら改正JIS対応は二年後に回した方が、手間が少なくなると思います。「改正JIS対応は急がない」という考え方で臨んでいただいたほうがいいと思います。

ちなみに、前回のJIS Q 15001改正の際の経緯は下記の通りでした。
 2005年12月 経産省が改正案を公表。意見募集を開始
 2006年1月 意見募集締め切り
 2006年5月 改正JISが正式発表。新JISでの申請受付開始
 2006年8月 JIPDECガイドライン第一版が公表
 2006年11月 旧JISでの申請受付終了
この時は発表後すぐに申請受付だったので、確かにかなりの混乱がありました。今回はしっかりと経過期間を置くということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

54
(画像は同社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

大手旅行会社の株式会社エイチ・アイ・エス(東京都新宿区・プライバシーマーク取得済み)は、自社が運営する国内バスツアーサイトにおいて、サーバー移行の際の不手際により予約者の個人情報約12000件がインターネット上からダウンロードできる状態となっており、実際に第三者がこれをダウンロードして情報が流出したと、8月22日に発表しました。

今回、流出した個人情報は、首都圏を出発地とする国内バスツアーのWebサイトで今年の3月から7月の間に、今年8月から12月までのツアーを予約した人とその同行者・緊急連絡先合わせて約12000名分で、氏名、性別、年齢、メールアドレス、住所、電話番号などが含まれているとのことです。カード番号や銀行口座の情報など決済に必要な情報は含まれていないとのことです。

同社では、観光庁、個人情報保護委員会、一般社団法人日本旅行業協会、一般社団法人日本情報経済社会推進協会(JIPDEC)に対して報告すると同時に、所轄の新宿警察署にも相談しているとのことです。

http://www.his.co.jp/
http://www.his.co.jp/material/pdf/n_co_20170822.pdf

(私のコメント)
サーバー移行のための本番データが公開領域に残されていたというのは、かなり初歩的なミスですね。バックアップデータや移行データの取扱いにはより一層の配慮が必要だと思いますので、他の会社の皆さんも他山の石としてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

34
(画像は関東財務局のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

外国為替取引を行っている株式会社マネースクウェア・ジャパン(東京都港区)は、今年に入ってから外部からの不正アクセスを受けて顧客の氏名とメールアドレスなど2500件が流出しており、またさらなる調査の結果、昨年に大規模な不正アクセスを受けて顧客の基本情報など11万件が流出した可能性があると、7月に相次いで発表しました。

この発表を受けて、財務省の関東財務局は、金融商品取引法に基づく報告を求め、その結果として新規口座の開設停止や被害の拡大防止などを含む行政処分を行ったと7月28日付で発表しました。

マネースクエア・ジャパンの発表文
http://www.m2j.co.jp/landing/information_1707/
関東財務局の発表文
http://kantou.mof.go.jp/rizai/pagekthp032000673.html

(私のコメント)
FX事業者からの情報流出です。投資用の資金が不正に引き出される可能性もありますので、万が一のことになれば、大変なことだと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

37

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

ロシアのウイルス対策ソフト開発会社カスペルスキー(Kaspersky)が、無料版のウイルス対策ソフト「Kaspersky Free」を発表しました。

無料版と言っても、ウイルス対策ソフトとしての基本的な機能は備わっており、何しろ広告表示は一切行わないといいます。

マイクロソフトが無償でウイルス対策ソフトを配布するようになり、Windows10には標準装備されるなど、ウイルス対策ソフトの必要性が低くなってきているのは事実です。かといって、やはり従来型のウイルス対策ソフトも一つくらいは入れておきたい。そんな方にピッタリのようです。

50

また、便利機能として「Kaspersky Secure Connecion(無償版)」も付属しています。これはいわゆるVPNソフトであり、セキュリティの担保されていない公衆無線LANなどを利用する場合に、通信自体を暗号化することで傍受されても内容が判別できないようになるというものです。1日300MBまでの通信をVPN化できるということですので、外出時や海外旅行時に現地の無線LANを使用する場合にこの機能を使用すると安心できます。

解説記事
http://forest.watch.impress.co.jp/docs/news/1072567.html
ダウンロードサイト(英語のみ)
https://www.kaspersky.com/free-antivirus

(私のコメント)
カスペルスキーについては、ロシア製ということで米国政府が締め出ししようとしているとの報道もありますが、同社はこの業界では十分な実績を持っています。以前には情報セキュリティEXPOでカスペルスキーさん本人の講演をお聞きしたこともありますし、製品の品質については十分な信頼がおけると判断しています。
ここ数年、個人的にはMicrosoft標準のウイルス対策で十分かなと思っており、自分のパソコンにもそれ以外のウイルス対策ソフトをインストールしていなかったのですが、今回はせっかくの機会ですからしばらく使用してみようと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

30
(画面は改正案の目次です)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

プライバシーマーク公式Webサイトの情報によると、7月20日付で、日本工業標準調査会よりJIS Q 15001 個人情報保護マネジメントシステム−要求事項の意見受付が開始されたそうです。これにより、注目のJIS Q 15001改正案が初めて一般に公開されました。

JIS Q15001改正案は、日本工業標準調査会のWebサイトで公開されており、60日間にわたり広く一般からの意見提出の機会を設けるとしています。

今回の改正案は、構成や章立てが完全に現行の2006年版から変わっていて、かなりの意欲作です。主なポイントを列記します。

(1)改正個人情報保護法に対応するための用語と規定の見直し

・要配慮個人情報、匿名加工情報など新しい定義の盛り込み
・外国にある第三者への提供の制限、第三者提供に係る記録の作成、第三者提供を受ける際の確認など新しい手続きの盛り込み
開示対象個人情報、特定の機微な情報など、JIS単独の定義が廃止され、個人データ、保有個人データ、要配慮個人情報など個人情報保護法の定義をそのまま使用することに(保有個人データについては、6か月保有しない場合でも同様の取扱いにすることは現行通り)

(2)ISOの共通テキストに合わせて構成を大幅に見直し

・規格本文の構成をISO9001/14001/27001などで採用された「共通テキスト」にあわせた章立てに変更
・本文中に「組織」「利害関係者」「トップマネジメント」「有効性」「力量」「文書化した情報」「プロセス」「パフォーマンス」「管理策」「事象」「尺度」「残留リスク」「リスク所有者」「リーダーシップ」「コミットメント」「コミュニケーション」「パフォーマンス評価」「マネジメントレビュー」など、新しい用語が続々と登場
・個人情報保護ならではの細かな要求事項を「附属書A」にまとめて表記
・従来の解説文に相当する内容を「附属書B」に表記
ISO27001の附属書Aとよく似た内容の管理策を「附属書C」にまとめて表記

意見提出の締め切りは9月17日とのことです。我こそはという方はぜひ意見を提出していただければと思います。

https://privacymark.jp/news/2017/0720/index.html

(私のコメント)
いや〜。かなりの衝撃を受けました。今回のJIS改正が、ここまで大幅なものになるとは思っていませんでした。ISMS認証との親和性も高くなりますし、個人的には気に入りました。繰り返しになりますが、今回のJIS改正はかなり大幅なものです。プライバシーマークの審査もかなり変わると思います。プライバシーマーク取得企業、コンサル、審査員のいずれにとっても大きな変化となりますので、それに追いついていくための努力が求められることになると思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

52

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、この度、プライバシーマークの審査員募集の案内を行い、また9月4日に東京都内で募集に関する説明会を開催すると案内しました。

プライバシーマークの審査員の募集自体は、これまでも定常的に行っているものであり、プライバシーマーク審査員補の研修を受けて、実務研修をうけて、審査機関と契約を結ぶことで、審査員となることができました。今現在も同じです。

ただし、今回JIPDECとしては「企業の個人情報保護担当者のセカンドキャリアとして、士業等の個人事業主のもう1つの業務の柱として、プライバシーマーク審査員を広く募集しています!」というメッセージを打ち出しており、かなり積極的に数多く募集したいということのようです。

https://privacymark.jp/shinsain/training_info.html

(私のコメント)
そろそろプライバシーマークの審査員も世代交代ということなのかもしれません。我こそはという方は挑戦してみてはいかがでしょうか?

(追記)
ちょうどJIS Q 15001の改正案が出てきました。ISO9001/14001/27001などで採用されている標準テキストの枠組みがそのまま導入されることになるようです。この新しい枠組みをしっかりと勉強しなければ、審査員を続けることは難しそうです。もしかしたらこれを機会に引退する審査員がそれなりに出てくるかもしれませんね。今回のJIPDECの審査員募集の動きはそれを見据えたもののように思えてきました。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

27
(画面は個人情報保護委員会議事録より)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

国内における個人情報の取扱い全般に関して責任を持つ個人情報保護委員会は、7月4日に開催された第41回委員会の議事録を発表し、その中で日本とEUの間における相互の円滑な個人データ移転に関して、進展があったことが分かりました。

これは、前日の3日にブリュッセルで熊澤春陽個人情報保護委員会委員とベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)が会談し、下記の3点が確認されたというものです。
(1)日EU間の相互の円滑な個人データ移転を実現するための方法は、相互認証(我が国の個人情報保護法第24条及びEU側の十分性認定)であり、来年の早い時期に成果を出すことを目標にお互い努力していくこと
(2)今までの個人情報保護委員会と欧州委員会司法総局との対話の中で、日EUの制度には多くの共通点が見つかったが、一方で相違点もあるため、今後も対話を続け、互いの議論を深めていくこと
(3)秋頃に再び委員同士で会って論点を絞っていくこと

会談後に発表された共同プレス・ステートメントによると、「2018年の早い時期に、この目標(相互認証)を達成するための努力を強化することを決意した」とありますので、来年にも実現する可能性が出てきました。

https://www.ppc.go.jp/enforcement/minutes/2017/20170704/

(私のコメント)
EUが「十分な個人情報保護法制を持たない外国への個人データの移転」を制限しており、従来の日本の個人情報保護法ではEUの十分性を認定できないというのが従来の状況でした。今回の個人情報保護法改正により、この条件を満たす可能性が出てきたということです。また逆に日本も個人情報保護法改正により「十分な個人情報保護法制を持たない外国への個人データの移転」を制限しましたので、今後は日本とEUの間で相互に十分性を認定しあって、相互に円滑な個人データの移転を実現できる可能性が出てきたということです。この世界の関係者にとっては悲願でもあると思います。ぜひうまくいくことを願っております。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

maxresdefault

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

弊社(オプティマ・ソリューションズ株式会社)では、ISMS認証をこれから取得しようとお考えの方を対象にしたセミナーを定期的に開催しております。

このたび、開催時に撮影した動画を編集し、いつでも皆様にご覧いただけるよう配信を開始しましたので、お知らせいたします。

--------------------------------------------------------
セミナー名:基礎からわかるISMS認証取得セミナー(動画約90分)
日時:随時(インターネット回線を利用して配信)
対象者:ISMS認証の取得をご検討中の事業者の方
参加費:無料といたします。
--------------------------------------------------------



※PDFダウンロードはこちら
https://on.fileforce.jp/sh?site=c000000302&id=g0b5l9dlyj0r04zt4uredklm10

なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_isms_seminer2

東京国際フォーラムでのセミナーへの参加を希望される方は、
下記からお申し込みください。
https://www.optima-solutions.co.jp/isms_stepup_lp




このエントリーをはてなブックマークに追加 Clip to Evernote

08
(画像は年金機構のリリースより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

日本年金機構は、特定の年金加入者の情報が不正に持ち出されていることが判明し、元職員(懲戒解雇済み)が窃盗の容疑で逮捕されたと6月29日付で発表しました。

年金機構からのリリース文ならびに報道の情報を総合しますと、下記のようになります。
・今回の事件が発生したのは大阪市の淀川年金事務所である。
・社会保険庁(年金機構の前身)の時代の上司の指示に基づいて、特定の加入者の情報を持ち出していた。
・年金機構が定期的に実施している持ち物点検の結果、プリントアウトした個人情報を持ち出していることが判明した。
・今回判明したのは20名だが、数年間にわたり400人程度の情報を持ち出していたと思われる。
ということだそうです。

年金機構としては、持ち出された加入者に対しては、お詫びすると同時に、基礎年金番号の変更を行うとしています。また、全ての拠点において「検索履歴のチェック」「執務室内への監視カメラの導入」「執務室へのクリアバック以外での私物持ち込み全面禁止」など再発防止策を実行していくとしています。

http://www.nenkin.go.jp/oshirase/press/2017/201706/20170629.files/20170629.pdf

(私のコメント)
年金機構では、前身の社会保険庁だった2004年に、著名人や政治家の年金未納がマスコミ等で話題になった際に、職員による業務目的外閲覧が発生し、多数の職員に対して懲戒処分を行った経緯があります。当時から、検索履歴をしっかりと残す仕様になっているのだなと感心しておりました。今回の事件は大変残念なことですが、いつかは発覚する運命だったのだと思います。

(追記)
続報が出ました。元職員は見返りに現金10数万円を受け取っていた疑いがあるとのことです。また元上司は行政書士と並行して探偵業もしていたとのことです。
http://www3.nhk.or.jp/news/html/20170719/k10011064411000.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

image
(画像は同行WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

佐賀銀行(佐賀県佐賀市)は、高額預金者の情報が元行員により不正に持ち出され、外部の第三者に提供されていたと、6月19日付で発表しました。

今回持ち出されたのは、同行に1億円以上の預金を預けている169人の個人情報で、住所、氏名、電話番号、預金残高、口座情報などとのことです。

持ち出した元行員は、昨年10月に同行で発生した現金窃盗事件に関与したとして起訴されており、警察による調査により今回の持ち出しが発覚したとのことです。

http://www.sagabank.co.jp/oshirase/000885.php

(私のコメント)
ひとことで言ってとんでもない事件ですが、元行員には相当の不満がたまっていたんでしょうし、それが放置されてきたところに原因があるのだと思います。ですから、このような内部犯行を防ぐためには、公平な人事制度、日常的なコミュニケーション、内部通報制度など、情報システムの対応にとどまらない対策が求められるのだと再認識させられました。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

こんにちは。オプティマ・ソリューションズ広報担当の内野明子です。

いよいよ梅雨に入りましたが、みなさんいかがお過しでしょうか?
私は先日新しい傘を買ったので、雨もまた楽しもうと思っています。

さて、去る6月6日(火)に「Pマーク取得事業者のための改正個人情報保護法対応セミナー(第7回Pマーク担当者勉強会)」をTKP新橋カンファレンスセンターで開催いたしました。

20170606_006

弊社の中によると、改正個人情報保護法の話題は世の中にたくさんあるものの一般的な内容ばかりで、プライバシーマーク取得事業者として具体的に何をすればいいのかという情報がほとんどなかったため、今回の勉強会を急遽開催することにしたとのことでした。

20170606_001

やはりお困りの方が多くおられたようで、今回の勉強会は開催2週間前の告知にもかかわらず、満員御礼となりました。

20170606_002

講師は弊社代表の中康二が担当しました。

20170606_004

今回の改正の12のポイントの一つ一つについて、プライバシーマーク取得事業者としてやるべきことは何か?やらなくてもいいところはやらなくてもいいとはっきり切り分けしていきました。

20170606_007

質疑応答にもたくさんのご質問をいただきました。

20170606_008

コンサルタントの生方も参加してまして、匿名加工情報の考え方について、横から補足してました。。。

20170606_009

最後にアンケートにお答えいただき、第一部を終了いたしました。

20170606_010

続いて、会場の模様替えをして第二部のスタートヾ(=^▽^=)ノ

20170606_012

ささやかですが、お料理もご用意させていただきました〜!

20170606_013

お腹も空いてきましたね( ´∀`)つ

20170606_015

和気あいあいとした雰囲気ですね。みなさんに楽しんでいただきたいと思います(´∀`*)

20170606_016

毎回ご参加いただき、ありがとうございます♪

20170606_017

お会い出来て嬉しいです (´▽`)

20170606_018

今回の懇親会には本当にたくさんの方々にご参加いただきました。

20170606_019

そして、恒例の一言タイム。みなさんがどのように日頃取り組んでいるか、
状況を聞かせていただきました。

20170606_029

各社の皆さんの苦労話も教えていただいて、参考になります。

20170606_028

みなさん、快く一言語ってくださいました。
メルマガの話題も出てきて、私も嬉しいです。

20170606_030

ご家族、親戚のみなさん、頑張ってますよ!

20170606_031

マイクを握っているのは弊社アドバイザーの佐藤です。

20170606_024

個人情報保険コンシェルジュの相川さんにも参加してもらいました。

20170606_014

デザートもしっかりいただきました(*・ω・)ノ

20170606_032

みなさんにお会い出来て、本当に感激です。

20170606_033

私も間からちょっと失礼(笑)いつもメルマガ読んでいただき、感謝しております。

20170606_034

そして盛り上がったところで....めでたくお開きです。ありがとうございました♪


いかがでしたでしょうか?試行錯誤で始まったPマーク担当者勉強会ですが、
お陰様で今回で7回目を迎えました。

今回から参加費をいただくことになったにもかかわらず、
たくさん参加お申込みいただきました。ありがとうございます。

不行き届きの点も多々あったかと思いますが...今後もみなさんのお役に立てる、
有意義な勉強会にしてまいりたいと思います。どうぞよろしくお願いいたします。


最後に参加者のみなさまからお答えいただいたアンケートの回答をご紹介いたします。

・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆

・今月20日が更新審査なので、大変役立ちました。

・今年11月更新なのでぜひお手伝いしていただきたい。ありがとうございました。

・とても参考になりました。ありがとうございます。内部カンサや教育訓練のアウトソースに興味あります。

・端的にまとめられていて、事業者としては対応すべきことがよく分かりました。

・改正方対応について把握することができ、とても勉強になりました。

・毎回参加させていただいております。対応ポイントが明確化されているので、自社での確認が早くありがたいです。JIS改正されるまで引き続き参加したいと思ってます。

・う〜ん、JIPDEC、JIS改正待ちでしょうか?要求事項がわからないとただただ心配するばかり..継続的に勉強会を開いて下さい!

・いつもピンポイントで知りたいことを教えていただきありがとうございます。

・本年度にPマークの更新が有り認証機関を変更しようと考えています。その際に留意する点等が知りたいです。

・匿名加工の対象が明確になりましたので助かりました。

・第三者提供の記録の作成について、確認させていただくことがありそうです。来週から社内定期教育が始まるので、参考にさせていただきます。

・改正個人情報保護法のポイントを解り易く解析されていて大変勉強になりました。ありがとうございました。

・今後Pマーク取得に向け、役立つ情報をありがとうございました。

・社内に保管期限を過ぎた個人情報がかなりの量でありますので、このタイミングで廃棄をしていきたいと思います。

・対応するべき所が(少し)明確になりました。

・わかりやすく、大変勉強になりました。

・Webなどで勉強はしていたが、具体的に何をするのかはあまりどこにも書いておらず、困っていましたが、今日のテキストにもヒントがたくさん書かれていたのですぐに取り組めそうです。

・更新審査でサポートをいただき、ありがとうございました。次回は改正法での審査となるのでよろしくお願いいたします。

・現時点での対応すべきことが具体的にわかり、又対応としてもれていたので、大変為になりました。ありがとうございました。

・今までのセミナーではPマーク保有会社向けでなかったため、非常に参考となった。

・非常に役にたちました。

・改正点だけでなく、一番気になっていた具体的な対応まで示していただき、ありがたかったです。

・わかりやすいご説明、ありがとうございました。

・大変役立つメルマガありがとうございます。施行対応実施にあたり、再度参加させていただきました。

・別団体の改正ポイントセミナーにも参加しましたが、具体的な手を動かす作業レベルになっておらず、要点が分からず困っていました。Pマーク取得した上でのやるべき事がまとめられていて、具体例もあり分かりやすかったです。ありがとうございました。

・Pマーク事業者としてやるべきこと、やらなくて良いことについて分かりやすく説明して頂きありがとうございました。

・改正の概要やポイントを絞って説明して頂き、理解がすすみました。まだ改正間もないこともあり対応が見えないところ、実務的なアドバイスは役に立ちます。改正ポイントの規程例等の展開があれば改定モデルが欲しいです。

・何度かセミナーなどに参加させていただいています。いつもわかりやすく助かっています。ありがとうございました。

・今後も開催をお願いします。

・一応の対応が出来る内容でした。

・対応すべき内容、時期のボリュームや度合いの判断がとても難しいと感じました。

・もう少し早い時期に開催してほしかった。


・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆


次回開催は2017年8月〜9月ごろ開催の予定です。予定が決まりましたらまたお知らせいたします!

みなさま本当にありがとうございました!
このエントリーをはてなブックマークに追加 Clip to Evernote

Guideline

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の施行に伴い、従来の経済産業省、厚生労働省などが出していた個人情報保護ガイドラインが原則として廃止になり、個人情報保護委員会が発行するガイドラインに集約されることになりました。

少し混乱があると思いますので、現在有効な個人情報保護ガイドラインを一覧表にしてみたのが冒頭のものです。内容を参照していただけるように、以下の表ではリンクを開けるようにします。

全ての事業者が対象
個人情報保護ガイドライン(通則編)
個人情報保護ガイドライン(外国にある第三者への提供編)
個人情報保護ガイドライン(第三者提供時の確認・記録義務編)
個人情報保護ガイドライン(匿名加工情報編)
特定分野ガイドライン(主要なもののみ)
金融分野・個人情報保護ガイドライン
信用分野・個人情報保護ガイドライン
債権管理回収業分野・個人情報保護ガイドライン
医療介護分野・個人情報保護ガイダンス
電気通信事業分野・個人情報保護ガイドライン
放送分野・個人情報保護ガイドライン
郵便事業分野・個人情報保護ガイドライン
個人遺伝情報・個人情報保護ガイドライン


(私のコメント)
少しよく分からないのが 電気通信事業分野ガイドラインから下にあるものです。これらは個人情報保護委員会からの発行ではなく、依然として総務省や経済産業省の単独の名前で出されています。原則として全ての権限が個人情報保護委員会に一元化されたはずなのに、どういうことなんでしょうね。事業所管大臣への権限の委任の枠内ということなんでしょうか?不可解です。


また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

inin
(画像は個人情報保護員会Webサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の施行に伴い、個人情報保護委員会は、事業所管大臣への権限の委任の範囲を公表しています。

今回の改正個人情報保護法では、従来、主務大臣が保有していた監督権限がすべて個人情報保護委員会に一元化されました。ただし、個人情報保護委員会は事業所管大臣(=特定の業種を監督している大臣)に対して権限を委任できるとされました。

今回公表された事業所管大臣への権限の委任の範囲には、政府系の特殊法人がたくさん含まれてますが、これらを除くと、下記のようになります。

jigyo_shokan

これらの業界の事業者が個人情報漏洩事件・事故を起こした場合には、事業所管大臣に事故報告を行うこととなっています。また、立入検査も事業所管大臣が行う場合があります。

詳細は下記のURLをご参照ください。

https://www.ppc.go.jp/personal/legal/kengenInin/

(私のコメント)
事業所管大臣への権限の委任の範囲については、従来は一切公表されておらず、以前の主務大臣制の時と同じようになるのかなとも思われましたが、今回の内容を見ますと、意外と少ないという印象を受けました。しかも来年3月末に見直すとのことで、期限付きの委任とのことです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

horibe
(画面は個人情報保護委員会Webサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の全面施行にあたり、個人情報保護委員会は、堀部委員長のメッセージを公表しました。

今回の個人情報保護法改正では、従来はそれぞれの主務大臣に分散していた権限が個人情報保護員会に一元化されることもあり、ますます役割が重くなっています。そういう状況の中で、今後も委員会として広く日本社会に貢献したいというスタンスの表明のようです。

詳細は下記のURLをご参照ください。

https://www.ppc.go.jp/files/pdf/sekouniyosete.pdf

(私のコメント)
本Blogでも何回かご紹介しておりますが、堀部氏は日本の個人情報保護の元祖のような方です。長年、研究活動を継続すると同時に、積極的な情報発信や国際的な交流を続けられ、日本の個人情報保護法の法制化にも大きく関与してこられました。その中で、政府でも民間でもない第三者的な存在となる「プライバシーコミッショナー」が日本にも必要だと継続して主張され、それが現実のものとなったのが個人情報保護員会であり、自らがその初代委員長を務めておられる次第です。そういう流れの中での今回のメッセージということで、皆様よくお読みいただければと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

48
(画面は個人情報保護委員会Webサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の全面施行を控えて、個人情報保護委員会では3月1日から受付を行ってきた「オプトアウトによる第三者提供の届出」を行った事業者のリストのWebサイト上での公表を開始しました。

これは各事業者から提出された届出書をそのままWebに掲載したもののようで、現在のところ17社が掲載されています。

https://www.ppc.go.jp/personal/preparation/optout/

オプトアウト届出書検索(届出日を3月1日にすると全ての事業者を表示できます)
https://www.ppc.go.jp/personal/preparation/optout/publication/

(私のコメント)
個人情報保護委員会の案内に「オプトアウト手続の届出の主な対象者は、いわゆる名簿業者です」との記載があるのを読み、オプトアウトによる第三者提供は名簿業者だけではなく、名簿出版社や電話帳の発行元など、もう少し広い範囲になるのではないかなと直感的に思いました。しかし、よく考えてみると、個人情報保護法が登場して12年が経過し、今やそういう多くのケースにおいては本人同意が取れているのだと思います。そうすると本人同意を取らずに、オプトアウトによる第三者提供を行うのはいわゆる名簿業者に限られてくるのだなと思いました。

また、リストに掲載されている事業者のWebサイトにおいて「個人情報保護委員会 届け出番号:2017-0000**」というような表記を行い、あたかも個人情報保護委員会のお墨付きをもらったような表現が散見されました。ただし、今回の事業者のリストの公表にあたって、届出書の形式的な内容確認はしているものと思われますが、その業者が適法であることを個人情報保護委員会が保証しているものではありませんので、皆さん勘違いしないようにしてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加 Clip to Evernote

31

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月10日から12日まで、東京ビッグサイトで開催されました「第14回 情報セキュリティEXPO【春】」におきましては、当社(オプティマ・ソリューションズ株式会社)ブースに多数のご来場をいただきまして、誠にありがとうございました。

DSC_4650

当社は、今年も業界各社で構成するデータ・セキュリティ・コンソーシアム17社共同出展ブースに出展いたしました。(コマ番号「東41-35」)

DSC_4635

特に、「プライバシーマーク・ISMS認証無料相談会」には、事前予約をいただいた熱心な企業の担当者様にお越しいただきました。

DSC_4681

皆様がお困りのプライバシーマーク・ISMS認証に関する細かな質疑応答にお答えいたしました。

DSC_4685

ご来場ありがとうございました。

DSC_4648

来年も同じ会場の同じ場所に出展する予定です。
EXPO会場でお会いしましょう!




このエントリーをはてなブックマークに追加 Clip to Evernote

(追記2)本イベントは満員御礼となりましたので、受付終了しました。

(追記)開催日の曜日を6月6日(水)としておりました。正しくは6月6日(火)です。お詫びして訂正いたします。

20170118-04
(写真は前回の開催の様子です)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

毎回ご好評をいただいている「Pマーク担当者勉強会」。

第7回を迎える今回は、注目が集まる「Pマーク取得事業者のための改正個人情報保護法対応」セミナーをメインとして開催します。

改正個人情報保護法の全面施行日が5月30日に決まり、ガイドラインなども整備されましたが、事業者として何をする必要があるのか今一つピンと来ていない方が多いと思います。特にプライバシーマーク取得事業者の場合には、すでに対策がとれている部分も多く、差分がよく分からないというご意見をよくいただきます。

この混とんとした状況に、私が最適な解決策を提示いたします。それがオプティマ・ソリューションズです。ご期待ください!

なお、セミナー終了後、同会場で懇親会を開催いたします。懇親会ではプライバシーマークの実務担当者様同士で相互に意見交換していただけるほか、弊社のメンバーも参加しますので、技術的な質問にも多少はお答えできると思います。

20170118-09

皆様、どうぞお集まりください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「Pマーク取得事業者のための改正個人情報保護法対応」セミナー
    (第7回Pマーク担当者勉強会)
講師:中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2017年6月6日(火)16時半から18時まで
  ※セミナー終了後、同会場で懇親会を開催いたします。(〜19時半)
   懇親会は自由参加(無料)としますが、準備の都合がありますので、
   参加の可否をあらかじめ教えてください。
参加費:3,000円(税込・一名様あたり・当日会場受付でいただきます)
場所:TKP新橋カンファレンスセンター
  東京都港区西新橋1丁目15-1
  大手町建物田村町ビル
●都営三田線 内幸町駅 A3出口 徒歩1分
●東京メトロ銀座線 新橋駅 8番出口 徒歩3分
banner_content-header_01
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるPマークコンサルの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

参加される方は下記のボタンから登録してください。
 ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2





このエントリーをはてなブックマークに追加 Clip to Evernote

WannaCrypt
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先週末から、全世界で大規模なウイルス被害が発生しており、マスコミ等でも報道されておりますが、本Blogでもその概要をまとめておきます。

------------------------------------------------------------
■発生していることの概要

今回問題になっているのはウイルスの一種で、ランサムウェア(身代金ウイルス)と呼ばれるものです。今回のウイルスに感染すると
(1)同じネットワーク内に存在する他のWindowsマシンも感染させる
(2)パソコン内部のファイルが暗号化されて
(3)お金を払わないとファイルを戻せなくなるぞという画面を表示して脅し
(4)そのまま放置するとファイルが削除される
というもののようです。

このパソコンに感染すると強制的に警告画面が表示されて、また多くのファイルが暗号化されてしまうため、通常業務に使えなくなってしまうといいます。実際に、イギリスの病院では業務が行えなくなったという被害が発生しているようです。

------------------------------------------------------------
■主な対策

今回のウイルスが利用している脆弱性は、今年の3月15日にマイクロソフト社が配信したWindowsUpdate(MS17-010)により対策がなされているものであり、Windows7/10をお使いで、WindowsUpdateを適用されている場合には感染する可能性はないとのことです。

ただし、今回はあまりにも被害が大きくなったため、マイクロソフト社ではWindowsUpdateでのサポート終了済みのWindowsXP/8/Windows Server 2003についても、修正パッチを作成し、配布しています。もしこれらのサポート終了済みOSを使われている場合には、この修正パッチをあててください。

また、すでに各社のウイルス対策ソフトでも対応済みですので、ウイルス対策ソフトを最新にすることでも新たな感染は防ぐことができます。ただし亜種が出てくる場合にはいたちごっこになります。

あと、詳細については未確認なのですが、今回のウイルス被害に関連し、「DoublePulsar」というバックドアの流行も取り上げられています。Windowsサーバーなど、インターネットに公開しているWindowsマシンについては、このバックドアが仕掛けられている可能性があるとのことですので、別途ご確認いただく必要があるかと思います。

------------------------------------------------------------
■そのほかの気になる情報

今回の脆弱性について、スノーデン事件で有名になった米国NSAが以前から関知しており、自らのスパイ活動に活用していたそうです。そのスパイ活動用のツールがなぜか昨年夏にハッカー集団に流出し、それが今回の攻撃に使用されているといいます。本来、脆弱性を発見した場合にはマイクロソフト社に連絡して対策を促すべきなのですが、米国NSAはそれをしなかったとのことで、マイクロソフト社が正式に抗議を行っているようです。

また、どうして日本での被害が小規模に留まっているかということですが、日本ではインターネットに公開されたWindowsマシンが少ないからではないかとトレンドマイクロ社の担当者は見解を出しています。

------------------------------------------------------------

IPAからの情報
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

トレンドマイクロ社の見解
http://itpro.nikkeibp.co.jp/atcl/news/17/051501407/


(私のコメント)
今回のウイルスはパソコン内のファイルを持ち出すわけではないため、個人情報/機密情報や、メールの受信簿の内容がすべて流出したりすることは今のところはないようです。ですから、バックアップを取ってある場合には、そのパソコンを初期化して、バックアップファイルからファイルを復元すれば、大丈夫なのではないかと思われます。あくまで今のところはということですので、ここについては、ご自分でも情報を確認していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

↑このページのトップヘ