プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

カテゴリ: プライバシーマーク

添付ファイル自動ZIP圧縮_パスワード別送(PPAP)方式
皆さんこんにちは。
プライバシーザムライ中康二です。

ここ10年間くらい、個人データや機密情報を社外に電子メールで送付する際に、パスワード付きZIP圧縮を行ってメールに添付し、別のメールでパスワードを送信する方法がよく利用されています。

そして、それを手処理で行うのではなく、自動的に全ての添付ファイルをそのように処理してくれるシステムがあり、多くの企業で採用されています。

ただし、この方法については「情報セキュリティ的に意味がなく、むしろ逆効果である」との指摘が多く寄せられています。

その指摘の趣旨を列記すると、
●直後にメールで自動的にパスワードを送るため、メールの内容が盗み見されている場合には解読できてしまう
●暗号化ZIP圧縮すると解読できなくなり、ウイルス対策フィルターを通過してしまう。この方法が当たり前になることで、逆にウイルスが送り付けられるリスクが高まる。
●電子メールの伝達方法は、インターネット発足当初のような平文のバケツリレー方式ではなく、現在はメールサーバー間が直結かつ暗号化通信をしている場合がほとんどであり、伝達経路上での漏洩リスクはほとんどない。(もしそのリスクがあるのなら、添付ファイルだけでなく本文もZIP圧縮しないとおかしい)
●解読が面倒であり、生産性を落としている。(日本だけの習慣という指摘も)
などがあげられます。

この方式に対する「もうやめようよ」の声は日増しに大きくなってきており、「PPAP方式」というおかしな名前まで付けられて、日本のなんちゃってセキュリティの象徴のように語られるようになってきました。
PPAP
(提唱者:大泰司さんのプレゼン資料より)

話が長くなりました。

実は当社(オプティマ・ソリューションズ)でも、この添付ファイル自動ZIP圧縮/パスワード別送方式(PPAP方式)を2013年から利用していたのですが、この度やめることにしました

当社は「個人情報/機密情報を取り扱う企業の模範となる」ことを会社全体の目標にしています。そのために日々活動し、社内でもISMS/PMSを運用しています。

7年前には、よかれと思って導入したシステムですが、情報セキュリティの世界の常識はどんどん変わっていきます。まさにこのPPAP方式は、今、見直すべき時だと考えました

今後はどうするかということについて、当社の場合は意外と簡単に答えが見つかりました。
●個人データ/機密情報を含まない場合はそのままファイル添付の機能を使用して送信する
●個人データ/機密情報を含む場合は、専用のファイル転送システムを利用して送信する
ということです。

ちなみに、当社が代替策として使用することにした「専用のファイル転送システム」というのは、
HENNGE Secure Transfer
というもので、従来から当社が契約していたシステムの中に入っていたのでした。

個人データ/機密情報を含むファイルを社外に送信する場合には、このシステムにアップロードし、そこで発行されるURLとパスワードをメールで送ることで、受信者はそのファイルをダウンロードできるという仕組みです。(昔懐かしい「宅ふぁいる便」みたいなイメージです)

新しい添付ファイル送信方式
というわけで、当社としては今後はこういう方法で添付ファイルを送ることにしますというご報告になります。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

システムズデザイン社に対するプライバシーマーク一時停止
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、東京国税局など委託元の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していたシステムズ・デザイン株式会社(東京都杉並区)に対して、2020年8月24日から1か月間「プライバシーマーク一時停止」の措置をとると発表しました。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

システムズ・デザインによる発表
https://www.sdcj.co.jp/dcms_media/other/news20181218.pdf

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマーク一時停止になるということは、欠格レベルが「8または9」ということです。これは事業者に重大な過失があったと判断されたということになります。

しかし、今回の対応は少し遅いですね。
 2018年12月 事態が発覚
 2019年8月 個人情報保護委員会による指導
 2020年8月 プライバシーマーク一時停止
新型コロナによる遅れがあったとしても、もう少しタイムリーに対応していただきたいなと思いました。

た、新しい情報が入りましたら、皆様にシェアいたしますね。

JIPDEC
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナの感染が広がる中で、プライバシーマークは特に現地審査において「3つの密」を避けられないことから、どのように対応するべきか気にされている方も多いことと思います。

制度全体を運営しているJIPDECとしては、「感染防止対策に最大限配慮する」など一般的な感染予防対策を公表しているだけで、それ以外は各審査機関で実態にあわせて行うということになっておりました。

そんな中、先日、審査指定機関のCSAJは「リモート審査+短時間の現場確認」という方式を採用すると公式に発表され、本Blogでも記事にしました。

それ以外の審査機関については、特に公式には公表されている情報はないのですが、当社のお客様における審査の状況から、一つの傾向が浮かび上がってきました。

それは「現地審査の時間の短縮」ということです。

・記録類を事前提出してもらって確認しておく
・現地での確認事項を最低限に絞り込む

などを行うことにより、現地審査の時間を「3時間程度」まで短縮しているケースがあるようです。

あくまでもこれは各審査機関での判断、または審査員の個別の判断で行っていることのようですので、全ての審査機関で行われているわけではないと思いますし、必ず対応してもらえるということでもないと思いますが、参考情報として皆様にお知らせいたします。

JIPDECによる審査再開の発表
https://privacymark.jp/news/system/2020/0527.html

【新型コロナ対応】CSAJがPマークの審査でリモート審査を導入
http://www.pmarknews.info/privacy_mark/52125821.html

(私のコメント)
なお、今回は審査を停止した期間がありましたので、7月現在、どこの審査機関もかなり混雑しているようです。審査のスケジュールも後ろ倒しされているために「すぐに審査をうけてマークを使いたい」という希望に答えてもらえない場合もあるようです。みなさまご注意ください。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



2020-07-08 10.11.31
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は「2022年春」に施行するとの方針を明らかにしました。

これは6月15日に開催された第144回個人情報保護委員会の議事録の中で公表されたものです。

その内容によると、2020年いっぱいかけて「政令」「委員会規則」「ガイドライン」などについて検討や審議を行い、2021年にパブリックコメントを行って公布・公表し、施行は2022年の春から6月頃を予定するとしています。

個人情報保護委員会としては、今回の法律改正が広く一般の事業者に影響を与えることを考えて、施行までに十分な期間を確保したいとのことです。

第144回個人情報保護委員会(資料1に本件が記載されています)
https://www.ppc.go.jp/aboutus/minutes/2020/20200615/

(私のコメント)
個人情報保護法については、情報通信技術の進展が著しいなどの理由から、3年毎に見直すことになっており、それで今回も改正された次第です。私は勝手に、もっとスピード感をもって施行するのかなと思っていたのですが、そういうことではなかったようです。確かに全ての事業者に影響がある法改正ですので、施行までに十分な期間を確保したいという考え方は理解できます。2年間かけて、じっくり準備を進めていきましょう!

また、新しい情報が入りましたら、皆様にシェアいたしますね。


助成金

※2020年6月に内容を更新しました。

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークやISMSの取得に対して、助成金を用意している地方自治体がいくつかありますので、ここにまとめておきます。

なお、これらの助成金を使用するためには、年に1回のタイミングを見計らって作業を行う必要があるため、好きな時期に始めて超特急で取得するというわけにはいかない場合もあります。皆様のニーズと調整してご利用ください。

●東京都

港区 https://www.minato-ala.net/guide/hojyo/iso.html(P/ISMS)※2020年度締切済み
大田区 https://www.pio-ota.jp/business-consulting/business-supoort-services2.html(P/ISMS)
品川区 https://www.mics.city.shinagawa.tokyo.jp/joseikin/shingijutu_2/814.html(ISMSのみ)
練馬区 http://www.nerima-idc.or.jp/bsc/yuushi/hojokin.html#ninsho(P/ISMS)
世田谷区 http://www.setagaya-icl.or.jp/isohojyo/index.html(P/ISMS)
台東区 https://taito-sangyo.jp/02-assist/syokubakankyouPM.html(Pのみ)
江戸川区 https://www.city.edogawa.tokyo.jp/san_jigyosya/sangyo_jigyosya/jyosei/iso_eco_p.html(P/ISMS)
江東区 http://www.city.koto.lg.jp/102020/sangyoshigoto/chusho/hojokin/25384.html(P/ISMS)
足立区 https://www.city.adachi.tokyo.jp/s-shinko/shigoto/chushokigyo/25iso-josei.html(ISMSのみ)
北区 http://www.city.kita.tokyo.jp/sangyoshinko/sangyo/chushokigyo/monozukuri/josekin/iso.html(ISMSのみ)
荒川区 http://www.city.arakawa.tokyo.jp/sangyo/shien/kakushuhojyokin/iso.html(ISMSのみ)

●千葉県

千葉市 https://www.chibashi-sangyo.or.jp/enterprise/kyoka-sosyutu/keiei/ninsyou.html(P/ISMS)※登録専門家派遣のみ

●神奈川県

横須賀市 http://www.city.yokosuka.kanagawa.jp/4402/g_info/l100010024.html(P/ISMS)

●埼玉県

戸田市 http://www.city.toda.saitama.jp/soshiki/214/keizai-hojyo-kougyou.html(P/ISMS)

●群馬県

高崎市 http://www.city.takasaki.gunma.jp/docs/2014011800397/(ISMSのみ)

●茨城県

水戸市 https://www.city.mito.lg.jp/001437/001445/p020149.html(P/ISMS)
日立市 https://www.city.hitachi.lg.jp/jigyo/004/001/p077908.html(ISMSのみ)

●愛知県

春日井市 https://www.city.kasugai.lg.jp/business/kigyo/hanro/shinyoryoku.html(P/ISMS)

●岩手県

奥州市 https://www.city.oshu.iwate.jp/soshiki/52/4258.html(ISMSのみ)

●島根県

島根県 https://www.joho-shimane.or.jp/news/wanted_subsidy/537(ISMSのみ)

詳細は直接自治体にお問い合わせ下さい。

(私のコメント)
これら自治体が産業振興の目的で予算化している助成金を使用することには何の問題もありません。
これとは別に雇用関係助成金を使ってプライバシーマーク/ISMSを取得することを推奨しているコンサル会社があるようですが、そちらはオススメしません。
参照URL:http://www.pmarknews.info/privacy_mark/52067557.html


なお、上記のリストに抜けているものや、廃止されたものがありましたら、
下記のフォームから教えて下さい。よろしくお願いします。

https://www.optima-solutions.co.jp/otoiawase_top

また、何か情報が入りましたら、皆様にシェアいたしますね。

CSAJ_リモート審査
(画面はCSAJの申請書類より)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの指定審査機関である一般社団法人コンピュータソフトウェア協会(CSAJ)は、新型コロナ対応の一環として、プライバシーマークの審査においてリモート審査を導入すると同団体のWebサイト上で発表しました。

その内容によりますと、プライバシーマーク制度において、従来から、トップインタビューなど一部の審査項目におけるTV会議システムの利用が認められていたところ、今回の新型コロナ対応の一環として今年6月から、現地確認を除く多くの項目にまで対象が拡張されたとのことです。

これを受けて、CSAJとしては審査のほとんどをリモートで実施し、1時間程度の現地確認のみ現地で行う方式の審査を開始したとのことです。既に試験導入を行っており、7月からは広く受け付けるとしています。

公表されている申請書類を確認すると、CSAJの行うリモート審査がどのようなものであるかよく分かります。

・テレビ会議システムは、事業者が用意したものでもいいし、CSAJが用意したものでもよい。
・予め全ての書類をスキャンするなどして電子ファイルとして用意しておき、審査員の要望に応じてWeb会議システムの画面共有で見せることができるようにしておく。
・出席予定者以外へのURL転送は禁止、リモート会議の録画も禁止。
・原則としてトップインタビューからPMSの運用状況の確認までリモートで行い、最後の現場確認と総評のみ現地で1時間程度かけて行う。
CSAJ

また現状においては、現場確認を含む全ての現地審査をリモートで行うことは、許可されていないとのことです。

CSAJ・Pマーク審査事業
https://www.csaj.jp/activity/project/pmark/index.html

(私のコメント)
プライバシーマークの現地審査は、「長時間」「一つの部屋にこもって」「質疑応答を続ける」ものであるため、そもそも「3つの密」になることは避けられない実態があります。その点で、今回のCSAJの取り組みは注目に値します。他の審査機関にも広がっていくことを期待します。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



2020-06-06 13.19.33
(画像は共同通信社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

かねてより改正案が公表されていた2020年改正個人情報保護法が国会を通過し、正式に成立しました。施行は2年後の2022年6月までとのことです。

なお、改正点については、下記の動画で詳しく説明していますので、ご参照ください。



説明資料のダウンロード提供を希望される方は、下記からお申し込みください。
https://www.optima-solutions.co.jp/form_kaisei_2020
※同業者様、士業事務所の方、個人の方は、ご遠慮ください。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2020-05-29 07.59.37
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、新型コロナウイルスの感染に関する政府の緊急事態宣言の解除を受けて、プライバシーマークの審査業務を全国で順次再開していくと発表しました。(明確には記載されていませんが、全国の指定審査機関でも同様に再開するのだと思われます)

審査業務の再開にあたっては、審査員の検温・健康状態の確認の徹底/手洗いや手指消毒/マスクの着用/ソーシャルディスタンスの確保などの感染防止への配慮を行うと同時に、審査を受ける事業者側にも、会議室の換気/対応者のマスク着用/対応人数の制限/ソーシャルディスタンスの確保などの協力を呼びかけるとしています。

プライバシーマーク・Webサイト
https://privacymark.jp/news/system/2020/0527.html

(私のコメント)
これで新型コロナの影響で止まっていたプライバシーマーク審査が元に戻っていくことになると思います。まずは一安心ですね。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



JUAS
(画面はJUASのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査機関である一般社団法人日本情報システム・ユーザー協会(JUAS)セキュリティセンターは、新型コロナウイルスの感染拡大を受けて中止していたプライバシーマークの審査業務を、6月1日から全国で順次再開していくと発表しました。

JUAS・公式Webサイト
https://www.juas.or.jp/privacymark/

また、新しい情報が入りましたら、皆様にシェアいたしますね。

JIPDEC_20200521
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、新型コロナウイルスの感染拡大を受けて中止していたプライバシーマークの審査業務を、緊急事態宣言が解除された地域から順次再開していくと発表しました。

プライバシーマーク・Webサイト
https://privacymark.jp/news/system/2020/0519.html


また、新しい情報が入りましたら、皆様にシェアいたしますね。

動画に差し込む画像

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

5月14日、当社では「在宅勤務のためのPマーク/ISMS担当者勉強会」をリモート形式で緊急開催いたしました。

現在の新型コロナ対応の一環として、急仕立てで在宅勤務をされているプライバシーマーク/ISMS取得企業の担当者様に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

社名やお名前をご登録いただくことで、当日配布した資料もご提供いたします。
どうぞお申し込みください。

--------------------------------------------------------
タイトル:「在宅勤務のためのPマーク/ISMS担当者勉強会」
講 師 : プライバシーザムライ中康二(オプティマ・ソリューションズ・代表取締役)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



全編視聴・PDFダウンロードはこちらからお申し込みください。
https://www.optima-solutions.co.jp/form_zaitaku

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

2020年 最新のPマーク審査の動向

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

3月18日、当社では「プライバシーマーク担当者勉強会」をリモート形式で開催いたしました。

後半のパートで弊社の遠藤が「2020年 最新のPマーク審査の動向」という内容をお話しましたが、全てのプライバシーマーク担当者様に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

--------------------------------------------------------
タイトル:
「2020年 最新のPマーク審査の動向」
講 師 : 遠藤 朝永(オプティマ・ソリューションズ・取締役シニアコンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



全編視聴・PDFダウンロードはこちらからお申し込みください。
https://www.optima-solutions.co.jp/form_p_koshin_seminer_2020


今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

↑このページのトップヘ