Pマークザムライがゆく(プライバシーマーク・ISMS最新情報)

Pマークザムライことオプティマ・ソリューションズの中康二が、プライバシーマーク、ISMSに関する最新情報を追いかけます。

このエントリーをはてなブックマークに追加 Clip to Evernote
23
(画像はブルームバーグ社ニュースサイトより)

皆さんこんにちは。
Pマークザムライことオプティマ・ソリューションズの中康二です。

世界中で何かと物議をかもしているライドシェアサービスの「Uber」社から、2016年10月に約5700万人分の利用者とドライバーの個人情報が流出していたとのことです。

同社は犯人グループに10万ドルを支払い、情報消去と口止めをして、被害者には一切説明せず、公表もしてこなかったといいます。

これは責任ある企業として、あるべき姿とは言えませんね。

なお、今回流出した個人情報には、日本の利用者の情報も含まれているようです。心当たりのある方はご注意ください。(実は自分も。。。)

https://www.bloomberg.co.jp/news/articles/2017-11-21/OZSGJB6JIJUO01

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
sddefault

いつもお世話になります。
Pマークザムライこと、オプティマ・ソリューションズの中康二です。

先日10月25日に、年内にも予定されている「JIS Q 15001改正」に際し、プライバシーマークの審査がどうなるのか?緊急解説するセミナーを開催し、大勢の皆様にお集まりいただきました。

大変好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
イベント名:JIS Q 15001改正・緊急解説セミナー
内 容 : JIS Q 15001の改正に際して、プライバシーマークの審査はどう変わるのか
講 師 : Pマークザムライ(オプティマ・ソリューションズ 中康二)
参加費 : 無料
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※PDFダウンロードはこちら
https://drive.google.com/file/d/11kDLcVaFh1peuRVBZGvywsXSIDeKIxpR/view

なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc




このエントリーをはてなブックマークに追加 Clip to Evernote
myna_portal (2)
(画面はマイナポータルトップページです)

皆さんこんにちは。
Pマークザムライことオプティマ・ソリューションズの中です。

11月13日から、マイナンバーを使った「情報連携」が始まりますが(別記事参照)、これにあわせて一般市民用Webサイト「マイナポータル」の利用も始まりました。上の画像がそのログイン後の画面です。

(1)マイナポータルとは

マイナポータルとは、マイナンバーカードの電子証明書を使って認証するWebサイトです。
そこでは
  • 行政機関が保有する自分の情報の閲覧(所得や社会保険加入状況など)

  • マイナンバーを使った情報連携によりやりとりされた自分の情報の履歴の確認

ができることとなっており、

さらにこの認証基盤を用いて
  • 各種の行政機関へのオンライン申請

などができるというものです。

(2)マイナポータルの使い方

マイナポータルを使うには、「マイナンバーカード(個人番号カード)」と対応したICカードリーダーが必要です。ICカードリーダーを内蔵している一部のAndroidスマホでも利用できます。
reader
(クリックするとAmazonのページが開きます)

(利用手順)
・ICカードリーダーを正しくセットアップします。(ドライバだけではなくソフトウェアもインストールしてください)
・対応ブラウザはChrome、IE、Edgeです。マイナポータルの画面を開きます。
・最初のログインの前にそれぞれのブラウザに対応した「マイナポータルAP」というソフトウェアのインストールが必要です。(当初、Javaのインストールが必要という話がありましたが、すでにそれは不要となっています
・マイナンバーカードをリーダーにセットします。下記の画面が出てきたらセットアップ完了です。
myna_portal (1)
・マイナンバーカードを取得する際に登録した4文字の暗証番号を入力すると、ログインできます。

(3)すでに多くの情報が閲覧可能となっています。

「あなたの情報」というところを開いていくと、自分の個人情報を確認することができます。11月6日現在、すでに地方税の情報(所得など含む)、健康保険の加入状況などは情報連携の対象となっているようです。一方で、年金など社会保障の情報はまだ連携されていないようです。
myna_portal (6)

興味深いのは、このマイナポータルも、マイナンバーの導入と同時に開発された情報提供ネットワークシステムを利用した情報連携の一つであるということです。情報提供ネットワークシステムは、一つのデータベースに情報を集めていく「一元管理」ではなく、各行政機関が持つデータをそのままにして一つのマイナンバーで紐づけしていく「分散管理」方式を採用しているため、情報はリアルタイムに出てきません。見たい情報を指定して、しばらく待つとそれが情報提供ネットワークシステムを介して情報連携され、画面に表示されるようになっています。
myna_portal (3)

表示された情報はPDFなどの形式でダウンロードすることもできます。
myna_portal (4)

下記のような画面で、マイナンバーを使った情報連携によりやりとりされた自分の情報の履歴を確認することもできるようです。
myna_portal

(4)電子申請については、少しずつひろがっていくようです

マイナポータルのトップページから、「ぴったりサービス」というWebサイトにリンクが貼られており、このサイトでは各種の申請ができるようになっています。ただし、今のところは各種の申請用紙にマイナンバーカードから読み込んだ氏名や住所などの情報を自動的に書き込んでプリントアウトできるというものが多く、電子申請までできるものはこれから広がっていくものと思われます。
myna_portal (8)

マイナポータル
https://myna.go.jp/

(私のコメント)
ようやく姿を現したマイナポータル。比較的よくできているのではないかと思います。一つだけ注文を付けたいです。このWebサイト、誰が運営しているのか日本語でのはっきりとした表記がありません。画面の一番下に英語で「Cabinet Office, Government of Japan」と記載されているだけです。
footer
利用規約を読むと、このWebサイトが「内閣府番号制度担当室」が運営していると分かりますが、このようなことではよろしくないと思います。重要なWebサイトであればあるほど、運営母体がどこなのかはっきりと記載するべきです。至急改善を求めたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
43
(画面は個人情報保護士試験《完全対策》より)

皆さんこんにちは。
Pマークザムライことオプティマ・ソリューションズの中です。

11月13日から、遂にマイナンバーを使った「情報連携」が始まります。これは氏名や住所などの基本情報や所得情報、社会保険の加入の有無などの情報を、税務署、地方自治体、年金機構、健保組合などの間でやり取りする仕組みのことです。(上図の情報提供ネットワークシステムを介した情報のやり取りがそれです)

あくまでも番号法に記載された利用目的だけに限定されており、また利用履歴は本人がマイナポータル上で確認できることになっています。

総務省からの案内はこちら
http://www.soumu.go.jp/menu_news/s-news/01kanbo07_02000001.html

(私のコメント)
情報連携のスタートにより、マイナンバー導入の目的の一つである「行政の効率化」の実現に向けて大きく動き出したと言えるでしょう。行政の効率化はマイナンバーの真価が問われるところです。是非効率化を実現していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
本セミナーの内容の動画配信を始めました。
【JIS Q 15001改正】プライバシーマークの審査はどう変わる?
緊急解説セミナーの動画を配信します
http://www.pmarknews.info/privacy_mark/52062005.html


こんにちは。オプティマ・ソリューションズ広報担当の内野明子です。

みなさまお元気でお過ごしでしょうか?早いものでもう11月ですね。
だいぶ寒くなってきましたので、風邪などひかないよう体調管理していきたいですね。

さて、去る10月25日(水)に2017年10月25日・JIS Q 15001改正・緊急解説セミナー
(第8回Pマーク担当者勉強会)
をTKP新橋カンファレンスセンターで開催いたしました。

20171025_005

広い会場で席もゆったり。たくさんの方々にご参加いただきました!

20171025_007

講師はなんと!!!Pマークザムライこと中康二(弊社代表)〜(*゚▽゚*)
今回からこのキャラで活動して参ります。よろしくお願いいたしますm(__)m

スライド2

現在検討中のJIS Q 15001の改正案に基づき、今後のプライバシーマークはどうなるのか、
Pマークザムライが一刀両断!分かりやすくご説明いたしました。

Pマークザムライ見参!

何枚か資料から抜粋してご紹介しますね。

JIS Q15001の主な改正点

今回の主な改正点はこの2点になるそうです。
(2)の個人情報保護法改正対応は想像通りだったわけですが、
想像を超えていたのが(1)のISOの標準テキスト準拠というものでした。

新しいJIS Q 15001の構成

JIS Q 15001の本文は構成が大きく変更されて、ISO9001、14001、27001などで採用されている標準テキストに沿ったものになり、従来のJISの本文を引き継ぐのは「附属書A」になるとのこと。

PマークがISMSみたいになる?

さあ、PマークがISMSみたいになるのか?
会場ではPマークザムライの大胆予測が発表され、参加者の皆様に披露されていました。

大胆予測>今後のタイムスケジュール
(クリックで拡大します)

今後のタイムスケジュール。これもPマークザムライの大胆予測です。

20171025_004

約1時間の説明の後、質疑応答にも時間をたっぷり取り、みなさまの疑問・質問を解消していきました。

20171025_009

最後にアンケートにお答えいただき、第一部を終了いたしました。

20171025_010

続いて、同じ建物の別会場にて第二部のスタートヾ(=^▽^=)ノ

20171025_011

みなさまと共に乾杯です

IMG_4335

ささやかですが、お料理もご用意させていただきました。

20171025_016

Pマークザムライも楽しそうですね(笑)

20171025_015

何回かの勉強会で、すっかりみなさま顔なじみになってきました。
毎回ご参加いただき、ありがとうございます♪

20171025_014

お腹も空いてきましたよ。

20171025_018

そして、恒例の一言タイム。みなさまから日頃の取り組みや、自己紹介などして頂きました。

20171025_020

各社のみなさまの苦労話も教えていただいて、参考になります。

20171025_021

みなさま、快く一言語ってくださいました。

20171025_022

弊社に対するお褒めのことばもいただき、ただただ感謝です。
ありがとうございます。

20171025_017

ご家族、親戚のみなさん、東京で頑張ってますよ〜!

20171025_023

デザートもしっかりいただきました♪

20171025_019

日頃のお悩み、質問など、コンサルタントに気軽に質問。

20171025_024

遠くからもご参加いただき、本当に感謝いたします。

20171025_025

そして盛り上がったところで....めでたくお開きです。
今回は懇親会に参加された方々と記念写真を撮らせていただきました。
ありがとうございます♪

いかがでしたでしょうか?大人気のPマーク担当者勉強会ですが、
もう8回目となりました。みなさまから今後の勉強会に対するご意見、ご要望、
アイディアをたくさんいただきましたので、
今後の参考にさせていただきたいと思います。

不行き届きの点も多々あったかと思いますが...今後もみなさまのお役に立てる、
有意義な勉強会にしてまいりたいと思います。どうぞよろしくお願いいたします。

最後に参加者のみなさまからお答えいただいたアンケートの回答をご紹介いたします。

・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆



・いきなりのサムライでびっくりしました!

・大変勉強になりました!!サムライのつかみがおもしろかったです。

・今回も分かりやすい解説ありがとうございました。

・勉強になりました。

・端的に改正点をまとめて頂いている点がわかりやすくてとても参考になります。

・頭の整理ができましたので大変役に立ちました。

・丁寧で分かり易かったです。

・本日は不安に思っていたことが解消されました。分かりやすいお話ありがとうございました。

・今回も参考になりました。改正JISQ15001が出たら、またセミナー開催してください。

・会場が広くなりゆったり聞けて良かった。審査基準が発表されたあとのセミナーを
期待しています。

・改正JIS&審査基準が発表されたら、また同じ様な勉強会をしていただけると嬉しいです。

・正式改正が入る前のこの時期に、改正セミナー開催は貴重な情報源でした。

・まだ改正JIS Q 15001が発表される前ですが、全体的なイメージがつかめたのでよかったです。
ISMSとPMSをできるだけ結合させてシンプルにできればと考えております。

・JISが改正され、JIPDECの審査方針が公表されたら、またセミナーに参加したいと思います。

・まだ改正JIS,JIPDECの要件がはっきりしていないので、今後とも情報を発信していただければ助かります。

・前置きが親切で分かりやすかった。質疑応答が多く、有用な情報が得られた。

・みなさんの質問が大変参考になった。同じ様な事で悩んでいるようです。

・新JIS対応のPマークの導入スケジュールについて全体像が把握できました。
ありがとうございます。

・11月に更新審査なので、次は改定JISに対応することになります。
まだ何も見えて来ないので不安ですが、情報共有しつつ頑張って対応していきたいです。

・1月に更新審査を控えており、その後に改正JISへの対応に着手と考えていますが、
多くのヒントを頂きました。ありがとうございます。

・来春更新なので早めに申請したほうがよいか...と改めて思いました。

・スケジュールとして改正JISでの審査となるのでまた更新時にサポートをお願いします。

・有償でも構いませんので、プライバシーマークに関するセミナーを
定期的に実施いただければと思います。

・JIPDECの審査基準が発表されたら「対策」のための集団型勉強会
(有料で中身の濃い内容)を開いてください。

・今後またセミナーに参加したいと思います。

・とても勉強会ためになっていますので、これからもよろしくお願い申し上げます。

・機会があれば、また参加させて頂ければと存じます。

・ひき続き、近日中の勉強会の企画をお待ちしています。よろしくお願い致します。

・お話に出たe-learningサービスについて利用検討したいと思います。



・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆


次回開催は2018年1月〜2月ごろ開催の予定です。予定が決まりましたらまたお知らせいたします!

みなさま本当にありがとうございました!




このエントリーをはてなブックマークに追加 Clip to Evernote
04
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

各種の報道によりますと、無線LANの暗号化技術として現在最も多く利用されているWPA2のプロトコルそのものに脆弱性が発見され、無線での通信内容を傍受される危険性があるとのことです。センセーショナルな記事が多く、実際の対策が分かりにくくなっていますので、下記に概要をまとめます。

(1)今回の脆弱性はプロトコルレベルで見つかっているため、すべての無線LAN端末(子機)で対応が必要です。Windowsは対応済み、iOS、Android、その他全てのプラットフォームでも順次修正版が出ると思われますので、アップデートが必要です。

(2)今回の問題は子機側の対応で原則として修正されるようですが、プロトコルレベルで見つかった脆弱性のため、アクセスポイント(親機)側でも順次アップデートが行われるものと思われます。各社からの情報を待って対応してください。(ただし、中継器として使用している場合は子機と同じですので、急ぎアップデート必要です)

(3)今回危険性があるのは「無線での通信内容の傍受」ですから、実際に無線機器の付近に近寄って、その電波を受信して解読した場合に限られます。
カフェでの無線LANの通信内容を傍受するとか、企業や家庭での無線LANの電波を窓越しに道路からキャッチするというようなイメージです。地球の裏側からでも攻撃されるようなものではありません。

・今回の問題は、ブラウザやメールソフトの通信内容がSSLやVPNなどで暗号化されている場合には発生しません。ネットワークレベルで傍受されても、その上のレベルで暗号化されるからです。

Windowsについては、10月10日のセキュリティアップデートで対応済みとのことです。(CVE-2017-13080)
http://www.security-next.com/086689

その他の最新情報については、下記IPAのWebページを参照してください。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

(私のコメント)
従来から無線LANについては常に危険性が警告されています。今回の問題によらず、無線LANで機密情報や個人情報を通信する場合には、通信内容をSSLやVPNで暗号化することを徹底することをおススメします。(Gmail、Facebook、Twitter、Dropbox、Salesforceなど、主要なクラウドサービスはSSLによる暗号化を実現済みです)

また、何か情報が入りましたら、皆様にシェアいたしますね。

(10月19日追記)IPAの公式スタンスが、親機側も含めて全ての機器のアップデートが必要と変わりましたので、それに合わせて内容を修正しました。


このエントリーをはてなブックマークに追加 Clip to Evernote
(画面はクーリエジャポンのウェブサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中 康二です。

ロシア政府による情報収集との関連が噂され、米国政府が政府機関での使用中止命令を出したカスペルスキー製品について、新しい情報が入ってきました。

なんと米国のスパイ組織であるNSAの職員の私物パソコンから機密情報が漏洩した際に、ロシアのスパイ組織によってカスペルスキーのソフトが悪用されていたというのです。

米国NSAが、世界中のWindowsパソコンやSNS、クラウドサービスなどから大規模な情報収集をしていたことがスノーデン氏の告発により明らかになりましたが、同様のことをロシアのスパイ組織はカスペルスキーのソフトを使って行っていた疑いが出てきているのです。

もちろん、カスペルスキー社はこの疑いを全面的に否定しています。しかし、同社の製品に対する信頼性が大きく揺らいでいるのは間違いないと言えると思います。


(私のコメント)
カスペルスキー製品については、私自身も信頼していて、むしろ使用を推奨してきていました。つい最近も、下記のような記事を書いたところです。


ですから、今回のニュースには少なからず衝撃を受けました。

上記にも書きました通り、アメリカもロシアも日常的にサイバー攻撃を仕掛け、情報を盗みあっています。もちろん中国もこれに参戦しています。今やこのソフトなら安心ですと言えるものが少ないのが実際のところです。

そういうことなので、カスペルスキー製品についても、今回のような記事が出たからといって過剰に反応する必要はないでしょう。ただし、国家機密を取り扱う政府関係者や、高度な企業秘密を取り扱う多国籍企業の社員などは、カスペルスキー製品の利用は避けたほうがよさそうです。同社製品の信頼性が揺らいでいます。

また、新しい情報が入りましたら、皆様にシェアしますね。
よろしくお願いいたします。







このエントリーをはてなブックマークに追加 Clip to Evernote
00_m
(画面はGigazineのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

Gigazineの記事によりますと、iPhoneを使ってる時に急に表示される「パスワードを入力してください」の画面が、不正アクセスによるものである可能性があるとのこと。

個人的にも「どうしてこのタイミングでパスワードを聞いてくるんだろう?」と不思議に思いながら、そのまま入力していたことが何回かありますので、もしかしたらパスワードを盗まれているかも知れませんね。

同じような心当たりのある方は、AppleIDのパスワードを変更することをお勧めします。

http://gigazine.net/news/20171011-ios-steal-password/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
16
(画像はラック社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

セキュリティの専門会社「ラック」社では、24時間365日眠らないネットワークセキュリティ監視センター「JSOC」を運営していますが、このJSOCでは毎月1回だけ、15名限定の見学ツアーを開催しているそうです。

今後の開催予定は
●2017年12月13日
●2018年1月10日
●2018年2月14日
●2018年3月14日
となっております。

ネットワークセキュリティの現場を実際の目で見るチャンスです。興味のある方はどうぞお申し込みください。

https://www.lac.co.jp/corporate/tour/jsoc_tour.html

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
23
(画像は個人情報保護委員会のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

個人情報保護委員会がWebサイトで公表した注意喚起によりますと、仮想通貨の取引に関連してマイナンバーの提供を求める事例が発生しているそうです。

株式や債券の取引を行う証券会社では税務処理のためにマイナンバーの提供を求めています。そこから連想すると、仮想通貨の取引においてもなんとなくマイナンバーが必要かのように思えますが、2017年10月現在、仮想通貨の取引にマイナンバーは必要ありませんし、使えません。

皆様も騙されないようにご注意ください。

https://www.ppc.go.jp/news/careful_information/

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
31
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先日、米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)が、米国版マイナンバーである社会保障番号を約1億4千万件以上流出してしまい、大きな問題になっているという事件を記事にしましたが、その後も混乱が続いているようです。

Equifax社は、今回の事件の対応のために専用のWebサイト(equifaxsecurity2017.com)を立ち上げたのですが、こともあろうに同社の公式Twitterがほんの少し違う偽URL(securityequifax2017.com)を記載してユーザーに案内してしまったといいます。

securityequifax2017.comというドメインは、セキュリティの専門家がわざと本物のサイトに似せて作った偽サイトであったにも関わらず、同社のTwitter管理者自らがまんまと引っかかってしまったということのようです。

下記URLの記事の中で、セキュリティの専門家のコメントとして「Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」との意見が記載されています。

http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html

(私のコメント)
先日の記事を書いているときに、事件の後始末のためだけに専用のドメインまで取ってるのはすごいけど、ひと段落したらドメインごと削除するつもりなのかなと私も少し気になっていました。新しいドメインを作成すると、今回のように偽サイトが登場したり、それに間違えてアクセスしてしまうことが起こるのですね。重要な局面であればあるほど、自社のWebサイトとしてみんなが知っていて信頼のおけるドメインを使わないといけないのだと改めて思いました。

たとえ話で言うと、大通りに立派な本社ビルが立っているのにも関わらず、「事件の対応は裏通りに用意した専用テントで受付します」と言って顧客をそちらに誘導していると、そこに行く途中にそっくりの偽テントが立っていて、ぞろぞろ顧客がそこに入っていっている、そんなことになるのだと思います。ドメインの使い方ひとつで、セキュリティ水準を下げてしまうということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ