2021年09月02日

JIPDECが来年4月から適用する新審査基準を発表～法改正対応版は来年1月に公表～

（画面はJIPDECによるPMS構築・運用指針）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、来年4月から適用される新しい審査基準を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

その「PMS構築・運用指針」は、従来のものから構成自体が大きく変更され、JIS Q 15001の「附属書A」だけでなく、これまでほとんど審査に使用されてこなかった「規格本文」の内容も審査での確認事項とするとなりました。

ですから、細かな文言だけではなく、項番の振り方など全て変更されていますし、「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。

なお、来年4月に予定されている法改正の内容については、まだこの新審査基準に盛り込まれていません。それについては来年1月に公表されて4月以降の審査で利用されることになっています。

https://privacymark.jp/news/system/2021/0830.html

この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
以前から噂では聞いていた「規格本文を盛り込んだ審査基準」がこのタイミングで出てきました！
3年毎に法律が見直されるという最近の状況においては、法改正とJIS改正を経て、その後にプライバシーマークの審査基準を見直すという従来のやり方では追いつけないということなのかなと思います。

なお、このプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を10月19日（火）に開催いたします。詳細は下記のリンク先をご参照ください。

https://www.pmarknews.info/event/52147812.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年09月01日

プライバシーマークの新審査基準に関するPマーク担当者勉強会のご案内(10月19日リモート開催)

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

来年4月の個人情報保護法改正にタイミングを合わせてプライバシーマークの審査基準が大幅に見直しされることになりました。（詳細はこちらの記事をご参照ください）

まだまだ未確定な部分も多いのですが、この出来たてホヤホヤの審査基準を読み解き、プライバシーマーク担当者の皆様と共有する機会を設けたいと思います。

講師は、私プライバシーザムライが担当いたします。

なお、セミナーの途中で、Zoomのブレイクアウトルーム機能を使用し、皆さん同士で意見交換をしていただく時間も取りたいと思っております。（チャットだけでも参加できますのでお気軽に！）

プライバシーマーク担当者の皆様、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ中康二(なかこうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：Pマーク担当者勉強会「プライバシーマークの新審査基準について」

日時：2021年10月19日（火）16時から18時
場所：リモートで開催（Zoomを利用します）
講師：プライバシーザムライ中康二
参加費：無料（1社2名様まで）
参加対象者：
　プライバシーマーク取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓

皆さんとオンラインにてお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

2021年08月27日

仮名加工情報の実務上のメリットとは？【2022年4月施行・改正個人情報保護法】

（個人情報保護委員会資料より）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

来年4月に施行される個人情報保護法の改正点の一つが
「仮名加工情報の創設」です。

これは、
氏名などの個人を直接識別できる記述を置き換えたり削除した情報
（ただし他の情報と照合することで識別できるものを含む）
とされています。

具体的には、下記の3つすべての加工を行うとされています。

①特定の個人を識別することができる記述等の削除
例）会員ID 、氏名、年齢、性別、サービス利用履歴が含まれる個人情報から、氏名のみ削除する。
例）氏名、住所、生年月日が含まれる個人情報から、氏名と住所と生年月日を削除する。
②個人識別符号（個人番号／パスポート番号などの公的な番号や、生体認証データ）の削除
③不正に利用されることにより財産的被害が生じるおそれのある記述等の削除
例）クレジットカード番号の削除
例）送金や決済のできるWebサービスのID・パスワードの削除

仮名加工情報を取扱う際には、下記の義務規定が適用されます。

①安全管理措置の実施
②利用目的の公表
③利用する必要がなくなった場合の消去
④第三者提供の禁止（委託／事業の承継／共同利用は除く）
⑤本人を識別する行為の禁止（個人情報データベースとの照合）
⑥本人への連絡等の禁止（Telかけ、DM送付など）
⑦不適正な利用／取得の禁止

で、肝心のメリットなのですが、仮名加工情報については

①利用目的を自由に変更できる（公表は必要）
②漏えい時の報告／本人への通知は不要
③本人からの開示等の請求に答える必要はない

とされています。

ここまで情報を整理してきて、
実務的にはどんなメリットがあるんだと
私は悩んでしまいました。。。。

そんなとき、
JIPDECさん主催の改正個人情報保護法セミナーがありまして、
個人情報保護委員会の方が解説をしてくれていました。

それが冒頭に掲載した内容になります。

これによると、

①当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析
例）医療・製薬分野などにおける研究
例）不正検知・売上予測などの機械学習モデルの学習など
②利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため仮名加工情報として加工した上で保管

とありました。

個人情報保護法には、従来から
アンケート調査の集計結果のような統計情報は個人情報ではない
という大原則がありましたが、
これはあくまでも集計後の統計情報のことであり、
集計前の個人データは個人データですし、
その集計作業は利用目的に含まれている必要があったわけです。

つまり、過去10年分の売上データがあり、それには顧客の住所氏名や生年月日などの詳細な個人情報が含まれているとした場合に、その売上データを利用して今後の事業戦略に役立てるための統計分析を行うには、それが利用目的に含まれていなければなりませんでした。

従来の仕組みでも利用目的の変更は可能でしたが、それはあくまでも「変更前の利用目的と関連性を有すると合理的に認められる範囲」のみでした。

例えば、その売上データを利用して何らかのマーケティング統計を作成し、その統計データを販売するという事業を始めることはできない可能性がありました。

また、その売上データは個人情報ですから、保存し続けている限り、保有個人データとして開示請求に答えなければなりませんでしたし、万が一流出事件などを起こしてしまった場合には、事故として取り上げることが必要でした。

一方で、改正法の施行後であれば、その売上データを仮名加工情報に加工した上で、「売上データを利用してマーケティング統計を作成し、その統計データを販売する」という利用目的を公表することで、その事業を始めることができます。また、その仮名加工情報に関しては開示請求に答える必要はありませんし、万が一流出事件を起こしたとしても、事故として取り上げる必要はなくなります。

なるほど。。。。さすが個人情報保護委員会さん。
素晴らしい説明をありがとうございました😆

皆様もこの仮名加工情報という新しい制度をうまく使って、
自社のビジネスの拡大を実現していただきたいと思います。

さて、この仮名加工情報のことを含む
「2022年4月施行個人情報保護法改正6つのポイント」
という私のセミナー動画をYoutubeで配信しております。

ぜひ、ご覧ください、

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_2022

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年08月20日

JIPDECが来年の法改正に向けて審査基準の見直しスケジュールを発表

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、来年4月の個人情報保護法改正に向けて、審査基準の見直しを進めていくとし、そのスケジュールを発表しました。

2021年8月末
　「構築・運用指針」（JIS本文明記）の公表
　「審査基準」（改定版）の公表
2022年1月
　「構築・運用指針」（改正保護法対応を加えたもの）の公表
2022年4月1日
　「審査基準」「構築・運用指針」に基づいた審査の開始

JIPDECとしては、従来から存在している「審査基準」に加えて、今回新たに「構築・運用指針」という文書を追加し、今後はこの両者を併存させる形で審査基準として運用していくことにするとのことです。同時に、既存の「審査基準」についても今回を機会に改定するとしています。

ただし、8月末で公表される「構築・運用指針」は、あくまでも現行個人情報保護法対応のものであり、改正個人情報保護法に対応したものを来年1月に出すとのことです。

そして、上記の全てを反映させた内容で、来年4月1日以降、審査を行うとしています。

https://privacymark.jp/news/system/2021/0805.html

（コメント）
今回の見直しは法改正も絡んで、かなり大きな修正になりそうです。
詳細はまだ不明なところも多いです。
まずは8月末の「構築・運用指針」「審査基準」の公表を待ちたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年08月08日

250名が全国からリモート参加した「2022年4月施行個人情報保護法改正6つのポイント(Pマーク／ISMS担当者勉強会)」の動画を公開しました。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

7月14日に緊急開催した
「2022年4月施行個人情報保護法改正6つのポイント(Pマーク／ISMS担当者勉強会)」。

皆さんの関心にあったテーマということもあり、
全国から250名を超える数の皆様にリモート参加していただきました。

前半の第一部勉強会では、私プライバシーザムライが、今回の法改正に関して、
・2回分の法改正が一度に施行されるとはどういうことなのか、
・民間事業者が対応するべき6つのポイントとは何か？
・プライバシーマークとの関係は？
など、現在分かりうる範囲でご説明させていただきました。

後半の第二部懇親会では、Zoomのブレイクアウトルームの機能を使用し、
全国から集まっていただいた皆さんどうしで、プライバシーマーク／ISMSの運用で
困っていることと自慢したいことを共有していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル：Pマーク／ISMS担当者勉強会
「2022年4月施行個人情報保護法改正6つのポイント」
講師：プライバシーザムライ・中康二
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年08月05日

2022年4月の法改正後も国内ではクッキー同意ボタンは不要です。

（7月開催のPマーク／ISMS担当者勉強会のプレゼン資料より）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

来年4月の個人情報保護法改正に向けて、個人情報保護委員会などで
様々な準備が進められていますが、その中で、一つ明確になったことがあります。

それはクッキー同意ボタンは法改正後も不要ということです。
（クッキー＝Cookie、Webサイトで端末識別に利用される情報のことです）

改正個人情報保護法では、個人関連情報という概念が創設され、
「提供元では個人情報として認識されないが、提供先で個人情報として認識される情報を提供する場合には、提供にあたって本人の同意が必要」となります。

ただし、この本人同意を取るのは原則として「提供先」があらかじめ取得するものとされ、提供元が提供する際に同意を取るものではないものとされています。

もう少し分かりやすく説明します。

個人関連情報の例として、下記の二つをあげます。

------------------------------------------------------------
（１）Tポイント加盟店が、購買データをCCCへ提供する行為は、個人関連情報の提供に当たると思われます。

加盟店側では、Tカードの持ち主が誰かは認識できません。
しかしT番号を取得し、それに購買データを一緒にして、CCCに送信します。
CCC側ではT番号を照合して、それが誰の購買なのかを明確にして、データベース化します。

------------------------------------------------------------
（２）WebページにFacebookのいいねボタンを設置することは、個人関連情報の提供に当たると思われます。

Webサイト側では、アクセスしてきた人が誰なのかは一切認識できません。
しかし、いいねボタンを設置していると、そのWebページにアクセスしただけで、Facebookにアクセスしたことが伝わります。
Facebook側ではIPアドレスやクッキーなどの情報を照合し、それが誰なのかを明確にして、データベース化します。
------------------------------------------------------------

これが「個人関連情報の提供」の事例です。

これらの際に、提供にあたって同意を取るのはCCCであり、Facebookとされます。
Tポイント加盟店の店頭や、いいねボタンを設置したWebサイト側で、「あなたは個人関連情報の提供に同意しますか」といちいち確認する必要はなく、CCCやFacebookに対して本人同意を取っていることを事前に一括確認するだけでよいとされます。

ですから、来年4月の改正個人情報保護法施行後も、国内においては「クッキー同意ボタン」は不要なのです。

GDPR対応ではクッキー同意ボタンは必須とされますが、国内においては不要であることをここで明確にしておきたいと思います。

GDPR圏内では、クッキー同意ボタンは一つのビジネスになっています。国内でも同じようなビジネスを始める会社が出てくると思います。すでに出てきていると思います。それらを設置することに問題はありません。しかし法律上必須のものではないことを明確にしておきたいと思います。

※自社の個人情報保護の取り扱いに関する公表事項の中に、自社がどこに個人関連情報を提供しているかのリストを掲載するなどは有益なことだと思いますから、推奨いたします。またこれとは別に、自社のシステム内でクッキーを利用して個人情報に紐づくアクセス履歴を取得している場合には通知公表（プライバシーマーク取得の場合は同意）が必要になります。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年07月29日

Pマーク／ISMS担当者のためのFacebookグループを開設しました！

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日リモート開催しましたPマーク／ISMS担当者勉強会には、
200名を超える皆様にご参加いただき、
誠にありがとうございました。

また、第二部のリモート懇親会にも多くの方にご参加いただき、
Pマーク／ISMS担当者同士で意見を交換していただくことができました。

参加していただいた皆様には、それぞれ満足していただけたものと思います。

私としては、この集まりを今後も継続していきたいと思っております。
そのためにも日常的な交流の場が必要ではないかということで、
このたび、Pマーク／ISMS担当者のためのFacebookグループを開設いたしました。

参加資格としては、
・プライバシーマーク取得済み事業者のご担当者様、または役員の方
または
・ISMS認証取得事業者のご担当者様、または役員の方
とさせていただきます。

グループのURLは下記のとおりです。

https://www.facebook.com/groups/pmarkisms

ぜひ、このグループをご活用いただくことで、
皆様同士の交流をさらに促進できればと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年07月16日

「基礎からわかるISMS取得セミナー(ISO27001)」の最新版動画を公開しました。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

当社では「基礎からわかるISMSセミナー」を定期開催しております。
（もともとは東京国際フォーラムでリアル開催しておりましたが、新型コロナ以降、リモート開催に切り替えております）

開催時に収録した動画を公開しておりますが、内容が少し古くなってきましたので、最新版に差し替えて、公開いたしました。

--------------------------------------------------------
タイトル：
「基礎からわかるISMSセミナー」
～Pマークとの違いから、最新のクラウドセキュリティ認証まで～
講師：プライバシーザムライ・中康二
　　　セキュリティ博士・大塚晃司（当社コンサルタント）
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します！
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_isms_seminer2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年07月01日

プライバシーマーク審査機関の「CSAJ」が「SAJ」に団体名を変更

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

プライバシーマークの審査機関の一つであるCSAJさんが、
7月1日より下記の通り団体名を変更されたようです。

一般社団法人コンピュータソフトウェア協会（略称：CSAJ）
　⬇
一般社団法人ソフトウェア協会（略称：SAJ）

同団体では、現代のデジタルトランスフォーメーション（DX）の流れの中で、
ソフトウェアの重要性が益々高まる一方で、コンピュータに限らず、
あらゆる機器でソフトウェアのが使われる時代になってきていることを反映して、
団体名を変更することにしたとのことです。

またSAJのロゴは、現在のものは仮のものであり、
新しいロゴを準備しているとのことです。

https://www.saj.or.jp/NEWS/about/210701_saj.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年06月24日

プライバシーマークやISMSの運用記録を電子化する際、押印欄はどうするべきなのか？

皆さんこんにちは。
プライバシーザムライ中康二です。

リモートワークの活用が広がるにつれて、
プライバシーマークやISMSの運用記録についても、
紙を原本とするのではなく、電子ファイルを原本として
そのまま運用したいとお考えの方が多いと思います。

しかし、実際にはどのようにすればいのでしょうか？
担当者印、承認印などの「押印欄」はどうするべきなのでしょうか？
このあたり、お悩みの方が多いと思いますので、今回は当社で実践し、
お客様にもオススメしている簡便な方法をご紹介したいと思います。

答えとしては、下記のようになります。
（１）エクセルやワードなど、記録を作成するのに使用するファイル
そのものを原本とする。（別途PDFを作成したりしない）
（２）押印欄をそのまま残し、そこに氏名と日付を入力することで押印に代える。

※そうすると、上記のタイトル画像のようになります。

え？それだけでいいの？とお感じの方もおられると思いますが、
プライバシーマークやISMSの審査において、
この方法では不足すると指摘を受けたことは私の知る限りありません。
（もちろん審査員が何を言うかは分かりませんから保証はできませんけどね）

この方式の場合、押印の場合と異なり、
代理で入力することも容易になりますから、
確かに運用が形骸化するという危険性はあります。

しかし、PMS／ISMS文書は、やはり会社の公式文書ですから、
野放図な運用は許されません。
しっかりとその人にキーボード操作していただいて、
名前と日付を入力していただくことを徹底していただきたいと思います。

この情報が皆様にとって何かの参考になればと思います。

また、役立つ情報があれば、皆様にシェアいたしますね。

2021年06月11日

個人情報保護委員長が朝日新聞の取材に答えて「忖度せず厳しい姿勢でのぞむ」と発言

（画像は朝日新聞Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

5月に国会で成立したデジタル改革関連法により、
監督範囲が行政機関や自治体のの個人情報の取り扱いにも拡大された
個人情報保護委員会の丹野委員長が、朝日新聞の取材に答えて
「忖度せず厳しい姿勢でのぞむ」と発言しました。

https://digital.asahi.com/articles/ASP6876MDP67ULFA01H.html

（私のコメント）
丹野委員長は、全国消費生活相談員協会理事長を経て、
2019年に個人情報保護委員会委員長に就任されました。

個人情報保護委員会は、その責任範囲がどんどん拡大しており、
社会的意義も大きくなってきています。
個人情報の取り扱いに関して「利活用の促進」と
「個人の権利利益の保護」をどのようにバランスを取るのか、
今後も注目していきたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年06月04日

2022年春施行・個人情報保護法改正に向けたガイドライン案が出ています

（画像はe-govパブリックコメントWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年4月1日に施行される個人情報保護法の改正に向けて、個人情報保護委員会は、ガイドラインの見直し案を取りまとめ、パブリックコメントを実施しています。

今回の改正には、
・保有個人データの「6ヶ月以上保有」の条件を廃止
・利用停止、消去、第三者提供の停止の請求が認められる条件を拡大
・オプトアウト規定で提供できる個人情報の制限を強化
・個人情報の不適正な利用の禁止
・漏えい等の個人情報保護委員会への報告と本人通知の義務化
・「仮名加工情報」の創設
・「個人関連情報」の第三者提供の制限
・外国事業者も報告徴収／命令／立入検査の対象に含める
・本人同意を根拠に外国の事業者に移転する場合の、移転先の国名などの情報提供
などの内容が盛り込まれており、これらについての詳細がガイドライン案で確認できます。

なお、来年4月に施行される際には、今年5月の国会で成立したばかりの2021年改正（官民の個人情報保護法の一元化）も同時に施行されると思われますが、これらについては後追いでガイドラインなどが出てくるものと思われます。

https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

（私のコメント）
このガイドラインの内容を含み、来年4月に施行される個人情報保護法の改正についてPマーク／ISMS担当者勉強会でご説明いたします。関心をお持ちの方は是非ご参加ください。
（7月14日にリモート開催いたします）

https://www.pmarknews.info/event/52142566.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。