プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加 Clip to Evernote
公益通報
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報の取扱いに関する公益通報窓口を開設したとWebサイト上で発表しました。

2004年に定められた公益通報者保護法において、労働者が業務上知りえた違法行為に関して、社内外に通報したとしても、一定の条件を満たしている場合には不利益を一切受けないこととされました。

今回の個人情報保護委員会の公益通報窓口の開設は、個人情報保護法やマイナンバー法を管轄する行政機関として、公益通報を受け付ける体制を整備したものと言えます。

●公益通報の方法

(郵送の場合)
〒100-0013
東京都千代田区霞ヶ関3-2-1
霞が関コモンゲート西館32階
個人情報保護委員会事務局総務課宛
※「公益通報」と明記する

(電子メールの場合)
kojyoui_tsuuhou@ppc.go.jp
※添付ファイルは不可

(FAXの場合)
個人情報保護委員会事務局総務課宛
FAX:03-3593-7962
※「公益通報」と明記する

https://www.ppc.go.jp/application/internalreport/

(私のコメント)
今後、個人情報の流出事件・事故などが発生した場合に、会社がしっかりとした対応を取らない場合に、内部の関係者が個人情報保護員会に公益通報するケースが出てきそうですね。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
EU_JP
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

つい先日、「GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に」という記事を掲載したばかりですが、日本とEUの間での話し合いに大きな進展が出てきたようです。

5月31日に、個人情報保護委員会の熊澤委員と欧州委員会のヨウロバー委員が日本で会談し、日EU間の個人データ移転に関して、可能な限り早期に、日本とEUの双方が、互いに個人情報の取扱いに関する「十分性認定」を行うことで、基本的な合意に達したとのことです。

EU側が、新しい個人情報保護法制「GDPR」において「十分性認定」という考え方を採用しており、EUと同様の個人情報保護法制を取っている場合に限り国単位で十分性を認定し、EU居住者の個人情報を持ち出す場合に、本人の同意がなくても可能としていることを前回の記事で書きました。

一方で、日本も2017年に施行された改正個人情報保護法において、同様の「十分性認定」の考え方を採用しており、日本居住者の個人情報を持ちだす場合には同様の規制があります。

今回は、日本とEUの間で、相互にこの「十分性認定」を行う方向で作業を進めていくことが合意されたということです。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/

(関連記事)
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
前の記事を書いたその日に実は会談が行われていたということで、タイミングが良すぎたなと思いました。EUからの個人情報の移転ばかりが気にされていますが、日本からの個人情報の移転も同じく気にするべきだなと思った次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
SAY企画
(画面はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライこと、オプティマ・ソリューションズの中です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、日本年金機構から受託した業務で大きな問題を発生させた株式会社SAY企画(東京都豊島区)に対して、プライバシーマークの一時停止措置とすると、6月1日付で発表しました。

同社は、日本年金機構から受託した年金情報の処理業務を、中国の関連会社に無断で再委託したうえで、31万件以上の入力ミスを発生させ、今年2月の年金の支払い時に間違った金額で支給されるという事態を招いたとして、問題となっていました。

https://privacymark.jp/news/system/2018/0601.html

(私のコメント)
誠に残念な事態だと思います。プライバシーマーク制度としても、日本のビジネス社会全体としてもこのような事態を再発させないことが必要だと思いますし、私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、その一助となれるようさらに努力してまいります。

また、新しい情報が入りましたら、シェアしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
28
(画面はガイドライン案の表紙です)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、マスコミでも多く報道されており、関心をお持ちの方も多いと思います。

これに関して、興味深い動きがありますので、情報共有したいと思います。それは、日本が国レベルでのEUから「十分性認定」を受けられることがほぼ現実的になってきたということです。

以下、もう少し詳細にご説明しますね。

EU(欧州連合)は、他地域にさきがけ、個人情報保護法制を整備してきました。その中で「EU居住者の個人情報を持ち出す時には一定の条件が必要」としてきました。

その条件を分かりやすく集約すると
(1)持ち出す先の国がEUと同程度の厳しさの個人情報保護法制を持っていること
(2)持ち出す先の外国の事業者が一定のルールに基づいて体制を整備すること
(3)本人が明確に同意していること など
となります。

上記(1)の認定を国レベルで受けることを「十分性認定」と言います。国レベルで十分性認定を受けると、その国の企業は特別な手続きをせずにEUの居住者の個人情報を持ちだせるようになります。しかし、現在まで日本はこの十分性認定を受けていなかったため、企業単位で(2)の対応を行ってきていました。

昨年施行された日本の改正個人情報保護法は、EUの十分性認定を受けることを目標としていました。一方でEU側でも改正個人情報保護法制「GDPR」の施行がありました。この両者の整合性を取るべく、日本の個人情報保護委員会とEUの欧州委員会の間で、やり取りがなされてきました。

その結果、今回のガイドラインを国内に適用することで、日本は国レベルでEUの十分性認定を受けることができることになったようです。(どこにもそのようにはっきりと書いていないので分かりにくいのですが、今回のガイドライン案の発表はそういうことを意味しているようです)

今回のガイドラインの内容を簡単にまとめると下記のようになります。

個人情報の保護に関する法律についてのガイドライン
(EU域内から十分性認定により移転を受けた個人データの取扱い編)

(1) 要配慮個人情報(法第2条第3項関係)
 →性生活 、性的指向又は労働組合に関する情報を要配慮個人情報に含めること
(2) 保有個人データ(法第2条第7項関係)
 →6か月以内に削除する場合でも保有個人データに含めること
(3) 利用目的の特定、利用目的による制限(法第15条第1項・法第16条第1項・法第26条第1項・第3項関係)
(4) 外国にある第三者への提供の制限(法第24条・規則第11条の2関係)
(5) 匿名加工情報(法第2条第9項・法第36条第1項第2項関係)
 →加工方法等情報を削除した場合のみ匿名加工情報とできる

このガイドライン案については、既にパブリックコメントの受付が終了しており、間もなく正式発表がなされるものと思われます。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000050&Mode=0

(関連記事)
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
遂に長年の懸案だった「EUの十分性認定」が現実のものになるということで、うれしく思います。なお、GDPRについては、私も完全に追いかけられていないのですが、皆さんちょっと騒ぎすぎかなと思っております。十分性認定が受けられば、SDPCもBCRも不要になるわけですしね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

(追記)
ちょうどタイミングよく、このようなニュースが入ってきました。
EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ
https://japan.zdnet.com/article/35120097/



このエントリーをはてなブックマークに追加 Clip to Evernote
2018-05-23 17.00.49

皆さんこんにちは。
プライバシーザムライこと、オプティマ・ソリューションズの中です。

いつも東京で開催し、ご好評をいただいている「Pマーク担当者勉強会」をこのたび名古屋で開催いたします。テーマはいま最も皆さんが知りたい「JIS Q 15001改正対応セミナー」です。

プライバシーマークの審査基準であるJIS Q150001の改正版「JIS Q 15001:2017」が昨年末に正式発表されました。今年の8月から、この2017年版に基づいた審査が始まります。

さあ、プライバシーマーク担当者としては、ここからが悩みどころになりますよね。
・今回の改正の内容はどのようなものなのでしょうか?
・文書の見直しはどのように進めればいいのでしょうか?
・次回の更新申請は2006年版/2017年版のいずれで行うべきなのでしょうか?
といった内容を皆さんで共有したいと思います。

どうぞ内容にはご期待ください!

なお、セミナー終了後、軽食と飲み物をご用意してのネットワーキングタイムを設定します。プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問に講師や弊社スタッフが多少はお答えできると思います。

caea290a
(写真は東京での開催の様子です)

皆様、どうぞお集まりください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「Pマークの審査はどう変わる?JIS Q 15001改正対応セミナー」
   (第1回Pマーク担当者勉強会・名古屋)
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2018年6月21日(木)15時から17時半まで
参加費:3,000円(税込・一名様あたり・当日会場受付でいただきます)
場所:名古屋駅近くのセミナー会場
  ※参加申込後、お知らせいたします。
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2



このエントリーをはてなブックマークに追加 Clip to Evernote
情報セキュリティEXPO

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

今週水曜日から金曜日まで、東京ビッグサイトで「情報セキュリティEXPO」が開催されます。当社は今年もデータセキュリティコンソーシアムの一員としてブース出展いたします。

ブース番号「東41-35」、今年もIPA(情報処理推進機構)さんのお隣ですので、すぐに分かると思います。黒と緑のブースを目指してお越しください!

ブースまでの行き方

データセキュリティコンソーシアム共同出展ブース

三日間の会期中、EXPO会場において、プライバシーマーク、ISMSに関して、気軽にご相談いただける無料相談会を実施いたします。プライバシーマーク、ISMSの取得だけでなく、運用や更新に関するご心配事、JIS Q 15001改正や最新のクラウドセキュリティ認証(ISO27017/27018)に関するご質問まで、ご自由にご相談いただけます。

相談員の時間を抑えますので、事前予約のうえ、お越しください。

予約画面URL
https://www.optima-solutions.co.jp/expo

私も三日間、会場にいる予定です。
ぜひ会場でお会いしたいと思いますが、私は会期中、会場内をウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!




このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_2690
(画像はプライバシーマーク公式ウェブサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。


プライバシーマーク公式ウェブサイト上の案内によりますと、2018年4月1日をもってプライバシーマーク制度が制度創設20周年を迎えたそうです。

いや〜、めでたい。めでたい。
本当におめでとうございます。

これも、ひとえにJIPDECの皆さん、事業者の皆さん、審査員の皆さん、コンサル各位、それ以外の関係者の皆さんそれぞれが、力を合わせ、切磋琢磨し、この制度の維持を通して、少しでも日本の個人情報保護の水準をアップさせようと努力してきた結果だと思います。

制度創設から20年で、取得事業者は15,000社を超えました。
この制度がここまで成長するとは、20年前にこの制度を作った方々も想像されてなかったのではないかと思います。

公式ウェブサイトには、プライバシーマーク20年の歴史を遡る統計データなども掲載されておりますので、是非ご覧いただければと思います。

https://privacymark.jp/news/other/2018/0426.html

(私のコメント)

私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、今後ともプライバシーマークならびにISMSが、より良い制度となり、より発展していくよう、皆様のお手伝いを続けていく所存です。どうぞよろしくお願いいたします。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
20180221-1
(写真は当日開催の様子です)

いつもお世話になります。
プライバシーザムライこと、オプティマ・ソリューションズの中康二です。

2月に、「JIS Q 15001改正」に際し、プライバシーマークの審査がどうなるのか?対応方法を解説するセミナーを開催し、大勢の皆様にお集まりいただきました。

大変好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
イベント名:JIS Q 15001改正対応セミナー
内 容 : JIS Q 15001の改正に際して、プライバシーマークの審査はどう変わるのか
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
参加費 : 無料
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※PDFダウンロードはこちら
https://drive.google.com/file/d/1nHpctgVEr0lWMPovJQ-Lvmx56lShKtI-/view

なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
GDPRについて
(画面は個人情報保護委員会の資料より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける個人情報保護法制が新しくなり、5月25日から「GDPR(一般データ保護規則)」が施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることをご存知の方も多いと思います。

●どんな企業が何らかの対応を求められるのか?
●対象となる企業が取るべき対策は何なのか?

これらの気になる情報について、個人情報保護委員会が分かりやすく取りまとめたものをウェブサイト上で公開していますので、本Blogでも共有します。

https://www.ppc.go.jp/files/pdf/eukojindata.pdf

(私のコメント)
既に対策を完了している会社も多いと思いますが、もしかしてまだフォローしていないという方がおられるかもしれないと思いまして、記事にしておきます。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
46
(画像はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

昨年12月に改訂されたプライバシーマークの準拠規格「JIS Q15001:2017」の中には、個人情報台帳において、個人情報の「利用期限」と「保管期限」を記載するようにとされました。

しかし、「利用期限」と「保管期限」の定義がどこにも記載されていなかったので、少し混乱が発生していました。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月18日付で、Webサイト上に掲載したよくある質問を更新し、その中で下記のとおり定義を明確にしました。

------------------------------------------------------------
(よくある質問14)
【Q】個人情報の管理台帳に記載する「利用期限」と「保管期限」の違いは何ですか。

【A】「利用期限」は、個人情報の利用の期限、「保管期限」は、個人情報を保管する期限、となります。利用が終了すると同時に保管も終了し消去する場合には、利用期限と保管期限が同じとなります。一方、利用が終了した後、一定期間保管をした後に消去する場合には、利用期限と保管期限は異なります。
------------------------------------------------------------

上記の内容に基づいて、例を挙げてみます。
●プレゼントキャンペーンを実施していて、当選者を決定し、賞品を発送して不着の処理が終わった時点で廃棄する場合には、「利用期限」も「保管期限」も同じく「不着処理終了時」となります。
●プレゼントキャンペーンを実施していて、当選者を決定し、賞品を発送して不着の処理が終わったあと、念のために半年間保管して廃棄する場合には、「利用期限」は「不着処理終了時」となり、「保管期限」は「不着処理終了後6か月」となります。
●経理書類の利用自体は通常は次回の決算処理で終了しますが、税務のために10年間保管している場合が多いと思います。この場合には「利用期限」は「決算処理まで」となり、「保管期限」は「決算後10年」となります。

まあ、書きようによっていろいろなことがあると思いますが、要は事実が明確になればいいのだと思います。また、法改正により、保管期限が終わった個人情報については、廃棄の努力義務が発生していますので、しっかりと廃棄するようにしていただきたいと思います。

https://privacymark.jp/system/operation/jis_kaisei/faq.html

(私のコメント)
これでスッキリしましたね。よかったよかった。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

FullSizeRender

(画像はギズモードより)


皆さんこんにちは。

プライバシーザムライことオプティマ・ソリューションズの中です。


シンガポールは、市内に11万本ある街灯に全て監視カメラを装備する計画を進めるとしていて、当然のことながらこの監視カメラには顔認識機能が含まれるのだそうです。


すでに中国ではこの手のシステムが大量に導入されており、治安維持などに使われているそうですが、シンガポールもそのあとを追うということのようです。


英国も監視カメラ大国と言われています。日本でも同様のシステムが導入される可能性がないとは言えません(自動車については、Nシステムで幹線道路の通行車両が記録されています)。


ネット技術を活用して、世界が監視社会になっていくことは止められない流れのようです。社会全体としてはこの動きをどのようにコントロールするか、個人としてはこれらのシステムを前提としてどのように対処するかが課題となるかなと思います。


https://www.gizmodo.jp/2018/04/singapore-face-recognition-cameras.html


また、新しい情報が入りましたら、皆さんにシェアしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
プレミアム・アウトレット
(画像は同社Webサイトトップ画面)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

また、個人情報流出の知らせが入ってきました。
今回のは危ない事件です。


三菱地所グループの三菱地所・サイモン株式会社は、自社が運営するアウトレットモール「プレミアム・アウトレット」の顧客の個人情報27万件が流出したと、4月14日に発表しました。

流出したのは、顧客向けメールマガジン登録者の情報で
・メールアドレスとパスワードの組み合わせ 24万件
・メールアドレスのみ 3万件
が現在も有効な内容であったとのことです。

日経XTECHの記事によりますと、今年2月に様々なWebサイトから流出したと思われる個人情報がインターネット上で公開されており、その中に同社の情報が含まれていたとのことです。

同社のWebサイト(どこで告知されているか分かりますか?)
http://www.premiumoutlets.co.jp/

プレスリリース
http://www.premiumoutlets.co.jp/pressroom/pdf/180414.pdf

日経XTECHの記事
http://tech.nikkeibp.co.jp/atcl/nxt/news/18/00777/

(私のコメント)
これは結構ヤバい事件です。メールアドレスとパスワードの組み合わせが実際に外部に流出していますので、パスワードリスト攻撃にすぐ利用できます。このリストを入手した人が、メールアドレスとパスワードを著名なクラウドサービスに流し込めば、かなりの高確率でログインできるはずです。

今回の被害者で、同社に登録していたパスワードを他のサービスでも使い回ししていた方は、その他のサービス側のパスワードを変更するべきです。今すぐにです。


一方で、同社の動きはあまりよくありません。Webサイト上での案内も正式なプレスリリースではなく、分かりにくいところに置いてあります(上記画像の右の赤枠です。いい場所ではありますがデザインになじみすぎていて緊急性が伝わりません)。流出した43万件のうち24万件が現在も有効であったと情報開示したのも得策とは思えません。残念ながら、同社は緊急性の認識が低いのではないかと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。







↑このページのトップヘ