（画像は総務省統計局のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年実施された、100年目の国勢調査で皆様が回答した内容に基づいて、
一年がかりの作業が行われ、集計結果が出てきたようです。

予想されていたことではありますが、少子高齢化／人口減少の傾向が明確です。

残念ながらダウンサイジング・ジャパンということです。
秋田県などではこの5年間で人口が6％も減少しています。

自治体単位でも様々な対策は取られているんだと思いますが、
残念ながら結果には現れていないという実態が明らかになりました。

現実を表す統計数字。
大事なことだなあと思います。

令和2年国勢調査　調査の結果
https://www.stat.go.jp/data/kokusei/2020/kekka.html

（過去の記事）
国勢調査サポーターとしての活動に対して、総務大臣様より特別な感謝状をいただきました！
https://www.pmarknews.info/event/52135371.html

そういえば、私は総務省統計局さんのメールニュースを購読しています。
雇用統計、消費者物価指数、消費支出の変動など、
最新の統計情報が日々共有されるので、意外と楽しく、オススメします。
https://www.stat.go.jp/info/mail/index.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

（画像は同病院のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

徳島県のつるぎ町立半田病院でランサムウェア（身代金要求型ウイルス）の被害が発生し、病院の心臓部ともいえる電子カルテシステムのデータを全く読みだせなくなり、機能停止の状態に陥っています。報道によると、同病院では身代金を支払わず、約2億円をかけて電子カルテシステムを再構築する方針とのことです。

事件が発生したのは10月31日、電子カルテシステムにランサムウェアが感染。プリンターが勝手に動き出して「データを暗号化した。複号するためには身代金を払え」との内容が印刷されたとのことです。病院では、外部の専門会社にデータ復旧を依頼したがうまくいかず、そのまま病院としての機能が停止したようです。

同病院では、フォーティネット社のVPN機器を使用していたとのことですが、同社製品には以前から脆弱性が報告されており、ログインするためのアカウント情報のリストが公開されるという危機的な状態が続いていました。しかし、同病院はその対応を取っていなかったために狙われたのでないかと推測されます。

同病院では新規の患者受け入れを停止し、患者から情報を聞き取って紙のカルテを作成するという対応を取っており、今後の方針としては身代金は支払わず、約2億円をかけて新しい電子カルテシステムを再構築する方針とのことです。

つるぎ町立半田病院
http://www.handa-hospital.jp

VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起（Security NEXT）
https://www.security-next.com/129771

（私のコメント）
今回の事態で明らかになったように、フォーティネット社のVPN機器の脆弱性をそのままにしておくことは組織崩壊の危機を招きます。同システムを使用されている会社の方は、今すぐ対応することを強く推奨いたします。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

（画像は同社のリリース文より）

皆さんこんにちは。
プライバシーザムライ中康二です。

製粉大手の株式会社ニップン（東証一部上場）は、2021年7月に、何者かによる大規模なサイバー攻撃を受けたことにより、社内の業務システムの多くのデータが暗号化されて読みだせなくなり、バックアップサーバも同様の被害を受けたとのことです。これにより同社は上場企業に義務付けられている四半期報告書を通常のスケジュールで作成できなくなり、8月から10月まで公表を遅らせる事態となりました。

この事件については、詳細が明らかにされておらず、原因などが不明なのですが、同社のリリースからは
・社内のサーバーと端末の多くで一斉にデータが暗号化されて読みだせなくなった。
・バックアップシステムも同様にデータを暗号化されて読みだせなくなった。
・オンラインバックアップも同様にデータを暗号化されて読みだせなくなった。
・全ての社内ネットワークを停止したために一時的に全業務（生産管理除く）が停止した。
・生産管理システムには影響はなかった。
・会計報告については、伝票を手入力することにより集計し、作成する。
ということが分かっています。

同社のリリース文
https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/08/16/20210816-1.pdf

（私のコメント）
一部上場企業を攻撃対象にしたとんでもない規模の事件です。犯人はどのようにしてこれを実行したのでしょうか？ネットワークに侵入し、少しずつサーバーを乗っ取っていき、準備を万端に整えたうえで、一気に実行に移ったように見えます。同社としても一定のセキュリティ対策は取っていたと思われますが、悪意を持った人たちに狙われるとこうなるという貴重な事例として、日本のビジネスパーソンには認識を新たにしていただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

早くも年末の足音が聞こえてまいりました。
コロナコロナで明け暮れた2021年という印象がありますが、
皆様はいかがでしょうか？

さて、この一年も、プライバシー／セキュリティの領域では
様々な出来事が起こりました。

・世界標準のプライバシー認証ISO27701（PIMS）がスタート
・個人情報保護法の官民一元化改正が成立
・JIPDECがプライバシーマークの新審査基準を発表
・LINEに対して個人情報保護委員会が立ち入り検査と指導を実施
・Omiaiから大量の本人確認書類が流出

などなど、目まぐるしかったですね。

さて、今回、初めての試みとして、
私プライバシーザムライと、セキュリティ博士（当社コンサルタント・大塚）
の二人によるクリスマス特別対談を開催いたします。

プライバシーマーク、ISMS担当者の皆様、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登壇者紹介

プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家


セキュリティ博士 大塚晃司(おおつか こうじ)
オプティマ・ソリューションズ株式会社・コンサルタント
会計事務所出身
ISMS／情報セキュリティで数多くのお客様を支援してきた、腕利きコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：「2021年を振り返る」プライバシーザムライ／セキュリティ博士 クリスマス特別対談
日時：2021年12月23日（木）10時から11時半
場所：リモートで開催（Zoomを利用します）
登壇者：プライバシーザムライ 中 康二×セキュリティ博士 大塚晃司
参加費：無料（1社2名様まで）
参加対象者：
　プライバシーマーク、ISMS取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓




皆さんとオンラインにてお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

（画面はマイナポータルから）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

政府が普及促進に躍起になっているマイナンバーカード。

ついに本命の使い方と言えるのではないかと思われる「健康保険証」としての利用が始まりました。厚生労働省がYouTubeに分かりやすい動画を載せてますので、これを使って簡単にご紹介しておきます。

（１）マイナンバーカードの健康保険証利用の概要について

マイナンバーカードが健康保険証として利用できるようになり、全国の医療機関や薬局で利用できるようになります。


（動画の最後に令和3年3月からとありますが、10月に延期されていました）

（２）健康保険証としての利用には事前の申し込みが必要

マイナンバーカードを健康保険証として利用するには、事前の申し込みが必要です。
この手続きには「4桁の暗証番号」が必要で、下記の方法でできるようです。

・パソコンにICカードリーダーを接続して申し込む
・マイナンバーカードの読み取りに対応したスマホで申し込む
　（対応スマホはこちらから）
・セブン銀行ATMから申し込む
・医療機関や薬局の端末から申し込む

ここでのポイントはどうして「事前に」なのかということですが、申し込みをしたあと、裏側で健康保険組合に情報が送られて「情報連携」の手続きが行われるからのようです。完全オンライン処理ではないのでご注意ください。

また「4桁の暗証番号」は、3回連続で間違えるとロックがかかり、役所の窓口まで行かないと解除できないことになっていますので、くれぐれも要注意です。特にスマホで申し込む場合には、読み取りミスが発生しやすく、読み取りミスによりロックがかかってしまうことも多いようです。それが嫌な場合には保守的に考えて、わざわざセブン銀行ATMに行くくらいでいいかもしれません。



（３）医療機関、薬局での利用時には顔認証も利用

今回、医療機関や薬局には、大量にマイナンバー対応の顔認証付きカードリーダーが導入されたようです。マイナンバーカードに収録されている顔写真データと照合するようですね。（入出国時のパスポートに収録された顔写真データと照合するのと同様の方式と思われます）顔認証の際には、マスクをしていても対応できるとしています。

なお、顔認証を希望しない場合には「4桁の暗証番号」での認証を選択することができるようです。



（４）今後は薬剤情報や健康診断の情報が蓄積されていく

あくまでも今後のデータのみになるようですが、医療費の情報、処方された薬剤情報、40歳以上の人に実施されている特定健康診査のデータが蓄積されていくようになり、「お薬手帳」の代わりになるほか、確定申告の際にも医療費の情報が自動的に連携するようになるそうです。




マイナンバーカードの健康保険証利用について（厚生労働省）
https://www.mhlw.go.jp/stf/newpage_08277.html

（私のコメント）
みんなが大好きな医療機関や薬局で使えるとなれば、マイナンバーカードの使い方としてはかなりの本命となるのではないかと私は勝手に思っています😉

医療機関や薬局から健康保険組合への医療費を請求し、それを健康保険組合が処理するという作業は、とてつもない手作業の集積となっていると思われます。今回のマイナンバーカードの導入により、それらの処理がオンライン化されていくのであれば、このカードの意味も出てくると言えるのではないかと思います。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像は中国政府のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

報道によりますと、11月1日から、中国で個人情報保護法が正式に施行されたとのことです。

今回の法律の施行により、すでに施行済みの「サイバーセキュリティ法」「データ安全法」と合わせて、中国政府としての情報セキュリティ・個人情報保護に関する法整備がひとまず完成したものとされているそうです。

さて、肝心の内容ですが、私がGoogle翻訳で読み下した範囲においては、日本の個人情報保護法とよく似ていて「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」という方向性のように思えました。中国には人権がないかのような言説が多いですが、今回の法律に関してはそういうことでもなく、世界の風潮に合わせた近代的な法整備と考えてよさそうです。

また後発の利点というべきでしょうか、個人情報の海外移転の制限や、域外適用、中国国内における責任者または代理人の指名、最大5000万元（約9億円）もしくは前年の売上高の5％という多額の罰金など、欧州のGDPRと同様の規制を含んでいます。中国でビジネスを展開する日本企業は、これらに対する対応が必要となります。

さらに中国ならではの規制として、中国在住者の個人情報を大量に扱う場合には、中国国内のデータセンターでの保管が義務付けられるとのことで、巨大IT企業として中国でもビジネスを展開しているAppleやマイクロソフトなどはこれに既に対応しているようです。

中国個人情報保護法
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

中国サイバーセキュリティ法
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

中国データセキュリティ法
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
（いずれもGoogle翻訳にかけると、かなりきれいな日本語になります）

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

今年３月に大きな話題となったLINEの個人情報問題。

直前に買収したZホールディングス(Yahoo!ジャパンの親会社)により組織された外部第三者委員会が最終報告書を公開しました。下記、私なりの理解により要約します。

今回問題とされたことは下記の2点です。
------------------------------------------------------------
（１）LINE上でのやり取りに関して、内容に問題があるとのユーザーからの通報に対処するにあたり、その処理を中国の子会社に委託していたことについて、中国の政府組織などが中国法に基づいて開示を要求するなどのリスクがあることをLINE社が認識しておらず、ユーザーにも適切に説明していなかったこと。
（２）LINE上でやり取りされる画像／動画／添付ファイルが、実際には韓国のデータセンターに保存されていたにも関わらず、LINE社は全てのデータが国内のデータセンターにあるかのように説明していたこと。
------------------------------------------------------------

そして、それ以上の情報漏洩事件や、違法行為はなかったとしました。

また、上記2点の問題が発生した理由として、下記の2点を挙げました。

------------------------------------------------------------
（１）LINE社のコンプライアンス体制が不十分であり、中国の子会社にデータへのアクセス権を許可することの経済安全保障上のリスクを認識できていなかった。
（２）LINE社は、韓国のデータセンターを利用していると説明した場合に予想された、日本ユーザーの拒否反応を嫌って、2013年に「LINEを構成する主要なサーバーはすべて日本国内にある」という誤解を与える説明を行い、その後も同様の説明をし続けた。
------------------------------------------------------------

最終的に、報告書はZホールディングスの指導の下、LINE社が今後の体制の立て直しを行い、社会的な信頼を回復していくことを求めています。

「グローバルなデータガバナンスに関する特別委員会」最終報告
https://www.z-holdings.co.jp/notice/20211018

（私のコメント）
LINE社が急成長をする中で、しっかりとしたコンプライアンス体制を確立できていなかったことは事実として認めざるを得ないと思います。特に中国への委託の件については、それが捜査機関からの問い合わせを受けて対応する業務であり、そのような業務をどうしてわざわざ中国子会社に担当させたのかということを考えると、そういうことに関する危機意識が全くなかったことが伺えます。またこの件については、外国に情報を移転することに関して個人情報保護法で求められている本人同意が、しっかり取れていなかったのではないかという疑問は依然として残っています。

また、LINEのサービスが拡大するにつれて「LINEでのやり取りは韓国の秘密警察に筒抜けである」というような風評がずっと続いてきたのも事実だと思います。LINE社がそういう言説を嫌い、自分たちが日本社会から信頼される日本企業であるとアピールしたいあまりに、不正確な情報発信を行い、それが独り歩きする形で、社内でさえも「LINEの個人情報は日本のサーバーに置いている」と思っていた人がいたのではないかと思います。

ほんのわずかな「嘘」が、その後どんどん大きな問題となっていく。
そんな悲しいドラマを見ているような気もしてきました😢

FACTAの記事（韓国国情院がLINE傍受）
https://facta.co.jp/article/201407039.html

森川社長（当時）による反論記事
https://lineblog.me/morikawa/archives/1023072161.html

わたくしは、LINE社がZホールディングス（＝Yahoo!ジャパン）の監督の下で、社会の期待に応えられる存在に復帰していただくことを期待しています。長すぎるプライバシーポリシーもYahoo！ジャパンを見習って改善してほしいなと思っています！

LINEのプライバシーポリシー（長すぎます）
https://line.me/ja/terms/policy/

Yahoo！ジャパンのプライバシーポリシー（適切だと思います）
https://about.yahoo.co.jp/common/terms/chapter1/#cf2nd

（過去の関連記事）
個人情報保護委員会がLINEに立ち入り検査を実施
https://www.pmarknews.info/kojin_joho_hogo_ho/52140256.html
今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

来年4月の個人情報保護法改正により、国内の官民全ての個人情報の取扱いを管轄することになる個人情報保護委員会。

アジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、10月18日から24日まで国内でも「個人情報を考える週間」を実施すると発表しました。

わたくし個人的には、委員会が市民に向けて呼びかけていた3つのメッセージに興味がわきました。

（１）知り合いの連絡先を無断で教えていませんか？
（２）自分の居場所が分かるような情報をSNSに掲載していませんか？
（３）プライバシーポリシーや規約の内容をよく読まずに同意していませんか？

確かにどれも重要な内容になります。

（１）は論外としても、（２）は過去から個人情報保護委員会が様々な機会に呼びかけていたものでした。一方で（３）は目新しく感じました。

これはまさに「長過ぎるプライバシーポリシー問題」ですね。

わたくし自身も、常日頃「こんな長いプライバシーポリシーの内容確認してられないな」と思いながら様々なサービスの規約に渋々同意しています。

これはまさに「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」ためには重要なことです。日本のプライバシーポリシーをもっと分かりやすく、簡潔なものにしたいと強く再認識した次第です。

個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

長過ぎるプライバシーポリシー問題
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、先日発表した新しい審査基準（来年4月から適用）と、現在の審査基準の差分が明確になる新旧対応表を公式Webサイト上で公表しました。

なお、正確には、（新）PMS構築・運用指針と（旧）審査基準の対応表ですが、（新）審査基準には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんので、これが事実上の審査基準の新旧対応表と言えます。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
この資料により、今回の変更点がより明確に分かりますので、プライバシーマーク取得済み企業の担当者の皆様には役立つ資料となるのではないかと思います。

なお、プライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を10月19日（火）にリモート開催いたします。皆様のご参加をお待ちしております。

https://www.pmarknews.info/event/52147812.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画面はJIPDECによるPMS構築・運用指針）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、来年4月から適用される新しい審査基準を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

その「PMS構築・運用指針」は、従来のものから構成自体が大きく変更され、JIS Q 15001の「附属書A」だけでなく、これまでほとんど審査に使用されてこなかった「規格本文」の内容も審査での確認事項とするとなりました。

ですから、細かな文言だけではなく、項番の振り方など全て変更されていますし、「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。

なお、来年4月に予定されている法改正の内容については、まだこの新審査基準に盛り込まれていません。それについては来年1月に公表されて4月以降の審査で利用されることになっています。

https://privacymark.jp/news/system/2021/0830.html

この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
以前から噂では聞いていた「規格本文を盛り込んだ審査基準」がこのタイミングで出てきました！
3年毎に法律が見直されるという最近の状況においては、法改正とJIS改正を経て、その後にプライバシーマークの審査基準を見直すという従来のやり方では追いつけないということなのかなと思います。

なお、このプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を10月19日（火）に開催いたします。詳細は下記のリンク先をご参照ください。

https://www.pmarknews.info/event/52147812.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。