皆さんこんにちは。
プライバシーザムライ中康二です。

先日、JIPDECから郵送物が届きました。

なんだろうと開けてみると。。。
素晴らしい感謝状が入っていました！

「貴社は多年にわたる個人情報保護マネジメントシステム構築運用の取り組みを通じ、プライバシーマーク制度の発展に多大な貢献をされました。ここにその功績を讃え感謝の意を表します」

なんと！！！

プライバシーザムライとしての日々の活動を、JIPDECの偉い方が見ていただいていたんですね。
私としても、これまでの努力が認められてうれしいです。ウルウル。。。

というのは、かなり誇張が入っておりまして、

実はこの感謝状というのは、プライバシーマークの付与認定を7回受けた、つまり取得審査1回、更新審査6回に通過した全ての事業者に送られているものです。

既に多くの事業者に対して発行されていて、この記事をお読みの方の中にも、自社でも受け取ったという方も多いのではないかと思います。

何はともあれ、せっかくの感謝状、ありがたくお受け取りいたします。

プライバシーマーク・公式Webサイト
プライバシーマーク制度貢献事業者一覧を公表しました（2022年6月〜2022年7月）
https://privacymark.jp/project/recognition/index.html

この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。

ISO27001を基準とする認証制度「ISMS認証」を国内で運用している一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、国内での認証登録組織数が7000件を超えたと発表しました。

ISMS-ACによると、直近の2年9か月で約1,000件増加したとのことです。

https://isms.jp/topics/news/20220901.html

（私のコメント）
国内におけるISMS認証の登録件数は、情報セキュリティに対する社会的な関心の高まりを反映し、順調に増加し続けています。当社にも連日、数多くのお問い合わせをいただいており、誠にありがとうございます。

当社では、「ISMS認証とは何なのか」「スムーズに取得するにはどうすればいいのか」などをわかりやすく解説するWebセミナーを毎月定例で開催しております。詳しくは下記をご参照ください。



また、ISMS認証取得済みの方を対象に、ISO27001：2022年版対応を開設するセミナーを開催いたします。どうぞご参加ください。




この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

先日も本Blogでご案内いたしましたが、ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001：2022年版として（10月にも）正式に発表される予定となっております。

今回の改訂ポイントは下記の3点です。
（１）改訂されるのは、ほぼ附属書Aのみ
（２）附属書Aの管理策が「組織的」「人的」「物理的」「技術的」に再構成
（３）猶予期間は3年間

そこで、これに関するISMS担当者勉強会を、
10月18日（火）に新橋で開催したいと思います。

久しぶりのリアル開催です。
もちろん感染対策には十分に配慮して開催いたします。
（恐縮ですが有償セミナーとさせていただきます。
　当社サービスをご契約いただいているお客様は無償ご招待）

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答＋ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消！
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、新旧対応表／新しい適用宣言書など、他では入手できない資料も配布します。

ISMS担当者の皆様、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：「ISO27001:2022年版対応セミナー」（ISMS担当者勉強会）

日時：2022年10月18日（火）
　　14：20〜16：30　第一部　セミナー
　　16：30〜17：30　第二部　質疑応答＆ネットワーキングタイム
場所：TKP新橋カンファレンスセンター
　　東京都千代田区内幸町1丁目3-1 幸ビルディング
内容：ISMSの審査基準であるISO27001：2022年版対応を解説します。
講師：プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者：
　ISMS取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方
参加費：一社10,000円（1社2名様まで）
※当社サービスをご契約いただいているお客様は無償でご招待させていただきます。
※お申込みいただいた方にお振込み先をお知らせいたします。

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓


皆さんと会場でお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

（画像はセキュリティネクストより）

皆さんこんにちは。
プライバシーザムライ中康二です。

現在進行しているウクライナ戦争に関し、日本政府がロシアに対する経済制裁に参加し、ロシアに敵対しているとの見方から、ロシアのハッカー集団が日本のWebサイトに対する攻撃を実施し、実際にアクセスできなくなるなどの被害が出ているようです。

今回自ら攻撃していると公言しているハッカー集団は「Killnet」と名乗っており、ロシア系のSNSサービスTelegram上で情報発信しています。その中では「日本政府に対する宣戦布告」という言葉を使っていますが、実際には、e-GOV／eLTAXなどの政府関係サイトだけではなく、JCB／mixi／東京メトロ／大阪メトロなど政府関係ではないWebサイトにも攻撃を仕掛けているため、民間企業としても要注意です。

ただし、手法として用いられているのは、不必要な通信をサーバーに大量に送信することによりサーバーの正常動作を阻む「DDos攻撃」に留まっており、一定時間で攻撃が終了すると、サーバーは正常動作を取り戻しているようです。また、ネットワークへの侵入やサービス停止、情報流出などは確認されていないようです。

セキュリティネクストの関連記事
https://www.security-next.com/139562

piyologの解説記事
https://piyolog.hatenadiary.jp/entry/2022/09/07/025039

（私のコメント）
現代の戦争においては、正規軍によるサイバー攻撃だけではなく、今回発生しているような得体の知れないハッカー集団によるサイバー便乗攻撃が何度も発生しています。日本政府／日本企業としては、今後も警戒態勢を取っていただきたいと思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（追記）2022年10月25日にISO27001:2022が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52164620.html

（画像はISO27001：附属書A予想版より）

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001：2022年版として（10月にも）正式に発表される予定となっております。このことについて、皆様に情報をまとめてお知らせしたいと思います。

（１）改訂されるのは、ほぼ附属書Aのみです。

今回の改訂は、附属書AのもとになっているISO27002の改訂に基づくもので、ISO27002:2022は既に2月に正式発表されたものです。この改訂に合わせて、ISO27001の附属書Aが改訂されるということです。ですから、改訂されるのはほぼ附属書Aのみであり、既にほとんど内容は確定しています。

なお、規格本文は、ISO9001などと同じフォーマットになっており、勝手に変更することもできないようで、わずかな修正となるようです。

（２）附属書Aの管理策が「組織的」「人的」「物理的」「技術的」の区分に再構成されます。

詳細は、ISO27001：附属書A（予想版）を見ていただきたいのですが、今回の改訂では、附属書Aの管理策（セキュリティ対策の項目）が、おなじみの「組織的」「人的」「物理的」「技術的」の区分に再構成され、大変分かりやすく整理されました。

内容的には、前回の改訂時には盛り込まれていなかった「クラウドサービス」という言葉が盛り込まれたり、各国の個人情報保護法制に対応するべく「データマスキング（匿名化／仮名化）」という概念を含めたり、また「テレワーク」が「リモートワーク」になるなど、現在の情報セキュリティを取り巻く変化に対応するものとなっています。

また、以前からある管理策も、似たような内容のものは統合／集約されており、最終的に管理策の総数は114個から93個に減少しました。

（３）猶予期間は3年間あります。急いで対応する必要はありません。

ISO27001：2022の正式発表は、10月になる見込みで、（ISMSの前例に基づくと）理論上はその日から対応した審査が開始されることになると思われます。

いや、日本語版（JIS Q 27001:2022?）が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ただし、猶予期間が3年間設定されることになりそうです。つまり、2022年10月に新規格が出たとして、2025年10月の審査までに対応できればいいということになります。

また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ISO/IEC 27002:2022
https://www.iso.org/standard/75652.html

ISO/IEC 27002:2022（日本での販売サイト）
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27002%3A2022

（私のコメント）
最後にも書きましたが、すでにISMS取得済みの事業者の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像はフォーカス台湾より）

皆さんこんにちは。
プライバシーザムライ中康二です。

米国のペロシ下院議長の台湾訪問を受けて、中国政府は猛反発を見せていますが、その中で、サイバー攻撃を受けて、台湾の駅の大型モニタに反ペロシの内容のメッセージが表示されていたとのことです。

これを受けて、台湾政府としては、中国製通信機器の使用禁止の範囲を拡大する方針とのことです。

https://japan.focustaiwan.tw/politics/202208070003

（私のコメント）
中国政府のみならず、世界の各国がサイバー軍を創設し、様々なサイバー攻撃を行っていることは私もよく知っていたつもりです。そして、このような状況を背景に、米国政府は、ファーウェイなど中国企業の通信機器を国全体から排除し、同盟国にも同様の措置を呼びかけているということも知っていました。しかし、このような「目に見える形での被害」を知ったのは初めてのことなので、興味深く感じました。

私は個人的には中国とは仲良くするべきだと考えていますし、ことさら対立をあおるようなことはするべきではないと考えています。その一方で、中国という国が専制的な政治体制であり、ネット利用に対する規制も厳しく、今回のようなサイバー攻撃についても政府の関与がうかがわれることから、やはり中国製の機器の利用には一定の制限をかけざるを得ないと思いました。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会（PPC）は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります（刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます）

今回、適法性が問われているのは
個人情報保護法第19条（不適正な利用の禁止）
個人情報保護法第21条1項（取得に際しての利用目的の通知等）
個人情報保護法第21条1項（第三者提供の制限）
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

（不適正な利用の禁止）
第十九条　個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2）裁判所による公告等により散在的に公開されている個人情報（例：官報に掲載される破産者情報）を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

（私のコメント）
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者（数百万人程度と思われます）の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

（画像はYoutubeより）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

改正個人情報保護法に関して、影島弁護士による詳細解説動画が公開されています。

これは、7月1日に開催されたWebセミナーの記録動画であり、
8月1日までの期間限定公開とのことです。

タイトル：「抜け漏れ再チェック！全面施行直後、改正個人情報保護法の実務対応ポイント」
講師：牛島総合法律事務所　弁護士　影島広泰氏
主催：一般財団法人日本情報経済社会推進協会（JIPDEC）

https://www.youtube.com/watch?v=-IWyxzEAEdc

（私のコメント）
とてもクオリティの高い内容になっておりますので、本サイトでもご紹介させていただきました。なお、内容に関しては、あくまでも影島氏の見解・意見ですから、そのようなものとして取り扱ってください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

日本の個人情報保護の総元締めである個人情報保護委員会（PPC）が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

（私のコメント）
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

------------------------------------------------------------
（追記）プライバシーマーク新審査基準2022に関する
セミナー動画を公開しました。どうぞご覧ください。

------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターが出した「新・審査基準」に関するガイドブックが、早々に私の手元にも届きました。

タイトル：「個人情報保護マネジメントシステム導入・実践ガイドブック　第2版」
編著：一般財団法人日本情報経済社会推進協会　プライバシーマーク推進センター
定価：4,950円（税込）
発行：一般財団法人日本規格協会
ISBN：9784542305472
発売日：2022年6月10日（金）

今回のガイドブックにも、いろいろと興味深い内容が書かれています。

・個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題や、利害関係者の要求事項は、審査ではどのように確認されるのか？
・個人情報保護リスク対応計画／個人情報保護目的達成計画は、審査ではどのように確認されるのか？
・漏えい等の事故の場合の個人情報保護委員会への報告と、緊急事態の場合の審査機関への報告の対象は同じなのか？

などなど、プライバシーマーク担当者であれば、知っておかなければならない情報が沢山書かれています。少し高いですが、ぜひ会社の経費で購入されることをおススメします。

JIPDECからの案内
https://privacymark.jp/news/other/2022/0520.html

Amazonでの購入ページ
https://www.amazon.co.jp/dp/4542305473/

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。