プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加
プライバシーマークの新方式の審査とは
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

前回の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今後、この「新方式の審査」の内容について、解説していきます。

新方式の審査における、最も大きな変更点は、従来の審査と比べて審査項目が大幅に減少したことがあげられます。全体の項目が369項目から126項目に減少したのです。

さらに、内訳を詳しく見ていくと、文書審査が25項目、現地審査が101項目となり、文書審査が大幅に減少していることが分かります。

文書審査については、審査基準の本文テキストの中に「文書化」の3文字が含まれているものだけが項目となっており、そうでないものは全て現地審査に振り分けられるという徹底ぶりです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
プライバシーザムライ
(写真は大阪開催時のセッションです)

皆さんこんにちは。
プライバシーザムライ中 康二です。

今週いっぱい、3月6日(水)から8日(金)まで、東京駅前のJPタワー(KITTE)で「Security Days Spring 2019 Tokyo」が開催されます。当社(オプティマ・ソリューションズ)では、今回もブース出展とセッション登壇を行います。

ブース番号は「18」。セッションは下記となります。

3月7日 12:25〜13:05 ルームE(セッション番号E2-05)
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役) 

※セッションはすでに満員となっていますが、関係者席にご招待しますので、出席されたい方は下記のご来場予約画面URLから当社にご連絡ください。

三日間の会期中、会場に説明員を配置し、情報セキュリティのための体制づくり、ISMS、プライバシーマークなどに関して、気軽にご相談いただけるように対応いたします。ぜひ事前予約のうえ、お越しください。

「Security Days Spring 2019 Tokyo」参加登録(登録無料)
SecurityDaysSpring-2019_bnr650_150.jpg

当社ブースへのご来場予約画面URL
https://www.optima-solutions.co.jp/event

(私のコメント)
私も三日間、会場にいる予定です。ぜひ会場でお会いしたいと思いますが、会期中、結構ウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!

このエントリーをはてなブックマークに追加
プライバシーマークの審査方式変更(1)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となり、すでに2017年版での審査が始まっていますが、そもそも審査のやり方自体も大きく変わりました。

※私はこれを「新方式のプライバシーマーク審査」と呼んでいます。

この新方式の審査への移行については、JIPDECから公式発表が行われていないため、ご存じない方もおられるかもしれません。そのため、本Blog上で何回かに分けて、このことをしっかりとご案内したいと思います。

まず、「2年間の移行期間を設ける」とJIPDECは発表しています。ですから、上記の絵のように、新方式の審査が始まったとしても、古い方式の審査も2年間は並行して続けられるのかなと思いましたが、実際にはそうではなく、昨年8月以降に申請した事業者については、全面的に新方式の審査に切り替えられています。

プライバシーマークの審査方式変更(2)

そして、ここからがややこしいのですが、2006年版のままで申請した場合でも、2017年版に対応して申請した場合でも、同じく新方式の審査が行われるのです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
BCPセミナー

いつもお世話になります。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

どんな災害が起こっても、お客様の期待に応え続けたい。
何があっても、社員を路頭に迷わせない。
粘り強い会社になるよう、企業体質を整えたい。

そんな風にお考えの経営者の方は多いと思います。そのためには何をすればいいのでしょうか?そのためには、経営戦略やマーケティングといった、通常の経営手法に加えて、事業継続のための取り組み、いわゆるBCP(事業継続計画)の考え方が欠かせません。


BCPと言いますと、災害対策としてだけ注目される傾向がありますが、実際にはそれにとどまるものではありません。

・テロ事件の発生による社会的混乱
・インフルエンザの大規模感染
・情報システムのトラブル
・火災による業務停止
・取引先の経営破綻 など

様々な経営資源の危機に対応するための手法と言えます。

今回は、BCPの専門家で情報セキュリティアナリストの堀池眞臣氏を講師にお招きして、経営者層の皆様を対象とした「危機に負けない」会社を作る経営者のための事業継続BCPセミナーを開催いたします。

堀池氏は、独自の「HRCモデル(Holistic RISK Controls)」に基づくBCP構築を多くの企業に導入し、成果を上げておられます。想定外を想定外とせず、現場力を高めることで、平時の業務改善にもつながるBCPとして注目を集めています。

どうぞお越しください!

20180913_005


なお、セミナー終了後、同会場で懇親会を開催いたします。簡単なお食事とお飲み物をご用意いたしますので、お時間の許す限りご参加ください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
堀池 眞臣(ほりいけ まさおみ)氏 
情報セキュリティアナリスト
horiike
通信キャリア、大手ITで、事業企画、通信ネットワーク構築などを担当。その後、金融機関で情報システムとコンプライアンスを担当し、専門の分野を情報セキュリティに移す。現在アナリストとして企業の経営改善、教育研修、監査業務、セミナー/講演活動に関わる。BCPにおいては、独自のHRCモデルを提唱し、企業、行政機関、各種団体から高い支持を受けている。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「危機に負けない」会社を作る経営者のための事業継続BCPセミナー
講師:堀池 眞臣氏(情報セキュリティアナリスト)
日時:2019年3月19日(火)16時から18時25分まで(懇親会も含みます)
   懇親会は自由参加(無料)としますが、準備の都合がありますので、
   参加の可否をあらかじめ教えてください。
参加対象者:企業の経営者層の皆様
参加費:無料(1社2名様まで)
場所:TKP虎ノ門駅前カンファレンスセンター
   東京都港区虎ノ門1-4-3 NT虎ノ門ビル 9F
   ●東京メトロ銀座線・虎ノ門駅 1番出口 徒歩1分
   ●東京メトロ・霞ケ関駅 C2出口 徒歩4分
   ●都営三田線・内幸町駅 A3出口 徒歩5分
   ●各線・新橋駅 日比谷口 徒歩9分

tkp


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

このエントリーをはてなブックマークに追加
2019-02-03 15.01.48
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社オージス総研(大阪ガス100%出資・プライバシーマーク取得済み)は、自社が運営するファイル転送サービス「宅ふぁいる便」の利用者のパスワード(平文のまま)を含む個人情報約480万件が流出したと、1月25日付で発表しました。

流出したのは、利用者の情報で
・2005年以降、会員登録をした会員の氏名、性別、住居の都道府県、生年月日、職業、ログインID(メールアドレス)、パスワード(暗号化していない平文のまま)などの情報 約480万件
・2005年〜2012年の間に、会員が答えた住居の郵便番号、職場の都道府県、職場の郵便番号、家族構成の情報 件数未公表
とのことです。

同社でサービスを全面的に停止し、トップ画面のURLでお詫び文を掲載して、利用者との対応に当たっているようです。

https://www.filesend.to/

(私のコメント)
今回の流出が致命的なのは
・ログインID(メールアドレス)
・パスワード(暗号化していない平文のまま)
がセットになって流出していることです。


メールアドレスとパスワードがセットになっている場合、世の中の人の何割かは同じ組み合わせを他のサービスでも使いまわししていますから、この情報をセットにしてGoogle、Facebook、楽天、Yahoo!などの著名サービスに入れてみると、あれよあれよという間に不正アクセスができてしまいます。480万件流出なら100万件くらいはどれかにログインできてしまうんじゃないかと思います。

そうです。これがパスワード使いまわしによるパスワードリスト攻撃というもので、本Blogでも何回も警鐘を鳴らし続けてきていますが、それが大規模に起こる危険性がまさに「今そこにある危機」となっています。

最大限、警告します。宅ふぁいる便を使ったことがある人で、同じパスワードを他の著名サービスでも使っている人は、今すぐにその著名サービスのパスワードを変更してください。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
69c35f13
皆さんこんにちは。
プライバシーザムライ中康二です。

ご好評をいただいている「JIS Q 15001改正セミナー」を2月21日に名古屋でも追加開催することとなりました。(昨年11月に東京と大阪で開催したのとほぼ同内容となります)

昨年8月から、プライバシーマークの新しい審査基準「JIS Q 15001:2017」(2017年版JIS)に基づいた審査が始まり、その動向が当社にも戻ってきているところです。また9月には新しいガイドラインの書籍も発売されました。

さあ、プライバシーマーク担当者としては、新方式の審査の進め方が気になることろですよね。
・実際のところ、2017年版JISに基づく審査はどのようなものなのか?
・2006年版のまま審査を受けると何が起こるのか?
・最新のガイドラインには何が書いてあるのか?ポイントを知りたい。
・JIPDECの方が2月ごろの説明会で話した内容はどのように実行されているのか?
などなど、気になる内容を皆さんと共有したいと思います。

いつも通り、プライバシーザムライが一刀両断にばっさり分かりやすく解説します。
どうぞ内容にはご期待ください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後に軽食とお飲み物をご用意してのネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、
個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

DSC_9353
(セミナー)

DSC_9353
(グループワーク)

20180621_009
(ネットワーキングタイム)

皆様、どうぞお集まりください。

************************************

タイトル:「新方式の審査を徹底解説!JIS Q 15001改正対応セミナー」
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2019年2月21日(木)16時から18時25分まで
 (ネットワーキングタイム含む)
参加費:無料
場所:TKP名古屋栄カンファレンスセンター
 名古屋市中区栄3-2-3 名古屋日興證券ビル
・名古屋市営地下鉄 栄駅 8出口 徒歩8分
・名古屋市営地下鉄伏見駅 4出口 徒歩7分
・名鉄 瀬戸線 栄町駅 徒歩10分
https://www.kashikaigishitsu.net/facilitys/cc-nagoya-sakae/access/
 
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓

btn_semlp2


皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
2019-01-25 18.11.14
皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会が、昨年11月から全国の小学生を対象に募集していた「個人情報の大切さに関する標語」の優秀作品が決まり、1月25日に開催された個人情報保護法シンポジウムにおいて表彰式が行われました。

なんと全国の小学生883名から、2153作品の応募があったそうです。
この数は、個人情報保護委員会の呼びかけに、全国の小学校の先生が反応し、子供たちの関心も高かったことを示していると思います。

最優秀賞は「大切な ぼくの分身 個人情報」 というもので、確かに個人情報がなんであるのかを端的に表現した作品が選らばれました。

それ以外にも素晴らしい作品が選ばれてますので、下記に転記しておきます。(それぞれ作者のお名前も公表されていますが、あえてここでは記載省略させていただきます)

●最優秀賞

 大切な ぼくの分身 個人情報

●優秀賞

 かんたんに 何でもかんでも のせない教えない

 個人情報 しっかり守って 正しく使おう

 考えよう のせる写真や 文章も

 悔んでも アップしてからじゃ もうおそい

 個人情報 教えるまえに 一確認

 そのじょうほう のせるまえに かくにんを

●審査委員賞

 PPC みんなをまもる しんぱんだ
 (PPCとは個人情報保護委員会の略称です)

個人情報保護委員会キッズページ
https://www.ppc.go.jp/aboutus/kids/

標語募集結果
https://www.ppc.go.jp/files/pdf/190125_hyougo.pdf

(私のコメント)
小学生対象の個人情報保護に関する標語コンテストということで、当初私もピンと来てませんでしたが、これだけ多くの標語が集まったということで、個人情報保護に対する高い関心が感じられますね。

また、本日の個人情報保護法シンポジウムを聴講して感じたことですが、個人情報保護というテーマが、単に民間企業がどのように個人情報を活用するかという限定されたものではなく、SNSでの情報共有の問題や、特殊詐欺に使われる危険性など、どんどん領域が広がっていっていて、一人一人の生活に密接に関係するものになっている、だからこそ小学校の先生も今回の標語の呼び変えに敏感に反応したんだなという印象を受けました。

個人情報保護を仕事にしている私としても、認識を新たにする機会となり、ありがたく感じた次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2019-01-24 18.02.44
(画面はプライバシーマーク・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

別の記事でご説明した通り、「EUと日本の間の十分性認定」が遂に発効し、EU−日本間の個人情報の国際移転の円滑化が実現しました。

これにあたって、プライバシーマーク制度を運用している(一財)日本情報経済社会推進協会(JIPDEC)・プライバシーマーク推進センターは、プライバシーマークの審査において、十分性認定の規定の適用を受ける事業者に対しては、個人情報保護委員会が定めた「補完ルール」に準じた内容で確認を行うと発表しました。

また申請書類も改訂し、「EU域内に拠点を有している事業者より移転された個人情報を取り扱う事業者様へのアンケート」という項目を追加しました。

これらの中で、特にご参照いただきたいのは「補完的ルールの対象となる事業者」についてという資料です。これはとても分かりやすく今回の対象となる事業者を説明しています。最後のページで、EU居住者から個人情報を直接取得する場合は、現地の法律に従うのが原則になるため、十分性認定は関係なく、したがって補完的ルールの対象にもならず、プライバシーマークの審査でも確認しないと明記しています。

十分性認定に関する補完的ルールへの対応について
https://privacymark.jp/system/operation/suppl_rules/index.html

「補完的ルールの対象となる事業者」について
https://privacymark.jp/system/operation/suppl_rules/pdf/supplrules_kaisetsu_add190124.pdf

個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(個人情報保護員会)
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

プライバシーマーク申請書類の様式の変更について
https://privacymark.jp/news/system/2019/0124.html

(私のコメント)
「補完的ルールの対象となる事業者」の情報は、当然のことを説明しているだけですが、間違いやすいポイントだと思います。実務的な対応として、適切な発表だと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加
310122_houdou.pdf - Google Chrome 2019-01-23 13.53.52
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

以前から、何回も記事にしてきた「EUと日本の間の十分性認定」が遂に有効化され、個人情報の移転の円滑化が実現したようです。

(おさらい)
日本の新しい個人情報保護法、EUの新しいGDPRは、いずれも域外に個人情報を持ち出す際に厳しい制限を設けていますが、自国と同水準の保護法制を整備している場合には国単位で「十分性」を認定することで制限を緩和する規定を備えています。今回、日本とEUは相互に十分性を認定しました。


個人情報保護委員会は、1月22日付でプレスリリースを発表し、その中で、日本の個人情報保護員会と欧州委員会は1月23日に会合を開き、相互に十分性認定を行うとしました。

これに先立ち、個人情報保護委員会は1月18日に第85回の委員会を開催し、その中でEUが日本の個人情報保護法と同水準の個人情報保護法制を有していることを確認し、個人情報保護法24条に基づいて下記の各国を指定しました。

アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク

個人情報保護委員会のプレスリリース
https://www.ppc.go.jp/files/pdf/310122_houdou.pdf

第85回 個人情報保護委員会
https://www.ppc.go.jp/enforcement/minutes/2018/20190118/

(私のコメント)
長年時間をかけてこの日を迎えることができました。人生をかけてこの問題に取り組んでこられた個人情報保護委員長の堀部委員長もようやく肩の荷が下りた思いなのではないかと思います。ただし、十分性認定されたからと言って、GDPRへの対応を何もしなくていいということでもありません。EU居住者の個人情報を取り扱う企業としては一定の対応が必要ですので、そこは勘違いされないようにしてください。

(関連記事)
GDPRに関して不安をお持ちの日本のビジネスマンの皆様へ
http://www.pmarknews.info/kojin_joho_hogo_ho/52077513.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加
69c35f13
皆さんこんにちは。
プライバシーザムライ中康二です。

ご好評をいただいている「JIS Q 15001改正セミナー」を1月29日に東京で追加開催いたします。(昨年11月に、東京と大阪で開催したのと同内容となります)

昨年8月から、プライバシーマークの新しい審査基準「JIS Q 15001:2017」(2017年版JIS)に基づいた審査が始まり、その動向が当社にも戻ってきているところです。また9月には新しいガイドラインの書籍も発売されました。

さあ、プライバシーマーク担当者としては、新方式の審査の進め方が気になることろですよね。
・実際のところ、2017年版JISに基づく審査はどのようなものなのか?
・2006年版のまま審査を受けると何が起こるのか?
・最新のガイドラインには何が書いてあるのか?ポイントを知りたい。
・JIPDECの方が2月ごろの説明会で話した内容はどのように実行されているのか?
などなど、気になる内容を皆さんと共有したいと思います。

いつも通り、プライバシーザムライが一刀両断にばっさり分かりやすく解説します。
どうぞ内容にはご期待ください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後に軽食とお飲み物をご用意してのネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、
個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

DSC_9353
(セミナー)

DSC_9353
(グループワーク)

20180621_009
(ネットワーキングタイム)

皆様、どうぞお集まりください。

************************************

タイトル:「新方式の審査を徹底解説!JIS Q 15001改正対応セミナー」
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2019年1月29日(火)16時から18時25分まで
 (ネットワーキングタイム含む)
参加費:5,000円(税込・一名様あたり・事前にお振込みいただきます)
場所:TKP新橋カンファレンスセンター
  東京都港区西新橋1丁目15-1
  大手町建物田村町ビル
●都営三田線 内幸町駅 A3出口 徒歩1分
●東京メトロ銀座線 新橋駅 8番出口 徒歩3分
https://www.kashikaigishitsu.net/facilitys/cc-shimbashi/access/ 
 
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓

btn_semlp2


皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
30

皆様、新年あけましておめでとうございます。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

2019年を迎えるにあたり、私なりの考えをまとめてお伝えしたいと思います。

(1)変革を迎えたプライバシーマーク・ISMS

プライバシーマークの準拠規格JIS Q 15001が改正されて、ちょうど一年が経過しました。
昨年8月から改正された規格に基づいた審査が始まりましたが、文書審査が25項目だけになるなど、
審査の方式自体が大きく変わり、重箱の隅をつつく審査から、お客様の状況に合わせたリスク対策が
本当に行われているのかをしっかり確認する審査への方向転換が行われました。


ISMSは、以前からそのような考え方で運用されてきていますが、2013年に規格が改正されて、
より一層その色が濃くなっています。単純に情報ごとのリスクを見積もって対策を打つだけではなく、
事業全体として、会社全体としてのリスクは何なのかを深く掘り下げて、リスク対策を実施することが
求められるようになってきています。


プライバシーマーク・ISMSについては、国内で大変普及し、
情報セキュリティ関係の認証のデファクトスタンダードとなっていますが、
一方で制度が形骸化しているとの指摘も受け続けてきました。
最近のプライバシーマーク・ISMSの動きは、これに対して制度側から
積極的に変革を起こそうという流れなのではないかと私は受け止めています。


(2)認証コンサル業界の動向

一方で、プライバシーマーク・ISMSのコンサル業界側にも動きがあります。
個人情報保護法制定当時のような高価な値付けは遠い昔の話となり、
大手コンサル会社が撤退し、当社のような小規模なコンサル会社にも
大手企業からの支援要請が相次ぐようになっています。

その中で、お客様側の工数をゼロにするという代行業者や、
助成金を使って割安に取得できることをうたうコンサルなど、
粗悪なコンサル会社がネット上で集客しています。

ただし、代行業者という存在自体がプライバシーマーク・ISMSという制度と
矛盾していることは明らかであり、審査機関としては、この存在を全面的に否定しています。
また、書類を紙やPDFファイルでのみ渡すようにして継続契約を解除できないようにするなど、
お客様の立場にから見ても非常に困った、まさに粗悪なサービスとなっています。


一方、助成金についても、各自治体の認証助成金は当社でもご紹介していますが、
雇用関係助成金を認証コンサルに適用することは制度の趣旨からいって正しいとは思えません。
商談時には助成金の獲得を約束しておきながら、実際にはそれが実行されず、
大きなトラブルになっているケースもあるようです。


認証コンサルという業界は参入が容易なのは事実ですが、
なかなか甘いものでもなく、ダークサイドに堕ちてしまう場合も多いのだと思います。

(3)当社はどこに向かうのか

さて、そのような状況の中で、私たちオプティマ・ソリューションズは、
どこに向かうのか。ここに記したいと思います。

従来、私たちは「審査に通すためのコンサル」を主に提供してきました。
「審査ではここが指摘されますよ」「審査員にはこのように対応してください」
などといったやり方です。

もちろんそれは重要なことです。今後も当社はそれを継続します。


しかし、そこには一つ欠けていたものがあります。
「お客様の情報セキュリティ水準をアップする」という考え方です。

もともと、プライバシーマーク・ISMSは、
企業・団体としての情報セキュリティ水準をアップさせるための制度です。
審査員が言うからやらなくてはいけないのではなく、
自社の情報セキュリティ水準のアップに必要かどうかという視点で意思決定するべきです。

上記の通り、審査の動向は変わってきました。
審査員も重箱の隅をつつくよりは、お客様企業にとって本当にそれが必要なのかどうかという視点で、
審査を行うようになってきます。

プライバシーマーク・ISMSともに、
・指揮命令系統の確立と体制づくり
・規程の作成
・重要情報の洗い出し
・リスク評価
・リスク対策の立案
・社員教育、社内への徹底
・内部監査でチェック
・マネジメントレビューで社長のコメントをもらう
・外部の審査機関による審査を受ける
というPDCAサイクルを回し、自社の情報セキュリティ水準をアップする制度です。

これにお客様とコンサルがタッグを組んで真剣に取り組み、
お客様が企業・団体として、より高い情報セキュリティ水準を実現する。
そしてそれを審査員が厳しい目でチェックする。

それが「本気のPマーク」「本気のISMS」です。
これが当社が2019年にやっていきたいことです。


それがお客様の求めていることであり、審査員の求めているものであり、
またコンサルとしても社会的意義のある仕事になるのだと思います。

当たり前のことを当たり前に行っていきます。
これこそが粗悪コンサルにはできないことなんだと思います。

元号も変わります。当社も変わります。
どうぞ今年もよろしくお願いいたします。


2019年1月
オプティマ・ソリューションズ株式会社・代表取締役
プライバシーザムライ中康二

12






このエントリーをはてなブックマークに追加
2018-12-28 05.47.01

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、公式Webサイト上の「プライバシーマーク付与適格性審査の申請先について」というタイトルのページを修正しました。

この中で、「一般財団法人医療情報システム開発センター(MEDIS-DC)」に申請するべき事業者の対象範囲が明確にされました。

病院・診療所、調剤薬局、検査センター、健康保険組合、審査支払機関、介護施設サービス事業者、介護在宅サービス事業者など医療情報を取り扱う事業者。
また、業種の如何を問わず医療機関で取り扱う診療録、検査依頼伝票、検査結果報告書、レセプト等が取り扱い個人情報の5割以上を占める事業者

となりまして、健康や医療に関する情報が個人情報の過半を超える事業者はMEDIS-DCへ申請することが求められることになりました。

さらに具体的に言うならば、個人情報保護法の要配慮個人情報のうち、
病歴、心身の機能の障害の記述(身体障害、知的障害、精神障害など)、医師等により行われた健康診断等の結果、医師等の健康に関する指導・診療・調剤の記述

にあたる個人情報が過半の場合にはMEDIS-DCにということになると思います。

https://privacymark.jp/news/system/2018/1221.html

MEDIS-DC
http://privacy.medis.or.jp/

(私のコメント)
「健康や医療に関する個人情報が過半の場合にはMEDIS-DC」という話は、個別の問い合わせに対してお聞きしたことがありましたが、今回はそれが公式にWebサイトに掲載されましたので、すっきりしましたね!

また、何か情報が入りましたら、皆様にシェアいたしますね。







↑このページのトップヘ