2022年03月25日

JIPDECがプライバシーマークの運営要領を改訂～4月1日から施行～

（画面はプライバシーマーク公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、プライバシーマークの実施要領を改訂し、4月1日より施行すると発表しました。

今回の改訂は、

　欠格事項及び判断基準（JIP-PMK510）
　個人情報の取扱いに係る重大な事故等についての対応手続き（JIP-PMK511）
を廃止し、
　プライバシーマーク付与適格性審査の実施基準（JIP-PMK220）
　プライバシーマーク付与に関する規約（JIP-PMK500）
の内容を変更するものです。

これにより、事業者に影響がある変更点は、下記の通りと思われます。

（１）事故等の報告義務の厳格化

従来、JIP-PMK500の文書の中で、個人情報の取り扱いに関する事故を起こした場合には、「可及的速やかに」審査機関に報告しなればならないとされていましたが、具体的な日数などは記載されていませんでした。今回の改訂後は、「原則として30日以内に」報告することが義務付けられました。

また、下記の条件にあたる場合には、「速報として概ね3～5日以内に」報告することとされました。
　①要配慮個人情報が含まれる事故（またはその恐れがある）
　②財産的被害が生じる恐れがある事故（または発生した恐れがある）
　③不正アクセスによる事故（またはその恐れがある）
　④個人データの本人の数が1000件を超える事故（またはその恐れがある）
　⑤その他、付与機関がPマーク審査基準における重大な違反がある（またはその恐れがある）と認める場合　

（２）本人通知の義務化

今回の法改正により、本人通知の義務化が行われましたが、プライバシーマークの実施要領の中でも同じ基準での本人通知の義務が記載されています。ここまでは法対応なので、特に記載されていてもいなくても事業者には実施義務が発生しますが、さらに新しいJIP-PMK500の文書では「正当な理由なく公表しない付与事業者に対して、当該事項の公表を要請することができ」るとしています。審査機関、付与機関としてもここに関してコミットしようということのようです。

（３）事故などによる欠格性の判断におけるレベル制の廃止

従来、JIP-PMK510の文書の中で、事故などによる欠格性を判断する際、0から10までの数字で表現された欠格レベルを使用していました。今回の改訂後は、この数字による欠格レベルは廃止され、様々な要因を総合的に判断して措置が決定されることになったようです。

改訂前

改訂後

（４）欠格事由の記載の変更（実質的な変更はないと思われます）

従来、JIP-PMK510の文書の中で、プライバシーマーク付与適格性を有しないものとして、「インターネット異性紹介事業者」という項目があり、詳細に条件が記載されていました。今回の改訂後は、JIP-PMK500の文書の中で「付与機関（JIPDEC）が指定する業種、業態、サービス等」という表記になり、具体的には「『性風俗関連特殊営業』『インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律に違反している者』」として、プライバシーマークのWebサイトに掲載することになったようです。

https://privacymark.jp/news/system/2022/0228_1.html

（コメント）
同じく4月1日に施行される改正個人情報保護法と歩調を合わせた変更です。皆様ご対応ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年03月05日

「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」の動画を公開しました。【プライバシーマーク取得事業者向け】

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年2月22日に開催した「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー(Pマーク担当者勉強会)」。

皆さんの関心にあったテーマということもあり、全国から350名を超えるプライバシーマークの実務担当者の皆様にリモート参加していただきました。

私プライバシーザムライが、
------------------------------------------------------------
4月に施行される改正個人情報保護法とPマーク新審査基準に対して、
プライバシーマーク取得事業者としてどのように対応するべきか
------------------------------------------------------------
について、いくつかの資料を使用しながら解説させていただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル：Pマーク担当者勉強会
「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」
講師：プライバシーザムライ・中康二
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_p_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2022年03月03日

改正個人情報保護法＞WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

（画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね？

・Facebookのいいね！ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社（Facebook運営会社）に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか？

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか？

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました！

Ｑ８－10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の２（原文ママ、正しくは法第31条）第１項は適用されないと考えられます。
→Facebookのいいね！ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない！

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（私のコメント）
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年02月25日

改正個人情報保護法＞海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。

（画像は個人情報保護法ガイドラインQ12-3より）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「海外クラウド利用は外国にある第三者になるのか」ということです。

2022年4月に施行される改正個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、下記のいずれかの条件を満たすこととされます。

（１）提供先が、日本と同等の水準の個人情報保護法制が敷かれた国に存在する場合（具体的には十分性認定がなされたEUと英国）

（２）提供先が、個人データの取扱いについて日本の個人情報取扱事業者と同等の水準の措置を講じている場合（契約や提供先の内部規程などでそれが確認できること、またはAPECのCBPR認証を受けていること）

（３）本人に対して、外国にある第三者への提供に関する一定の情報提供を行い、本人からの同意が得られていること

しかも、この第24条は「委託」が例外とはされておらず、委託の場合も同様の条件を満たすこととされています。そうすると、海外クラウド利用の場合にはどうなるのかということが懸案になっていました。

例えば、こんなことが考えられました。

Google Workspaceを利用している場合で、安い契約では、サーバーの存在する地域（リージョン）を選べない場合があり、そうすると、知らない国に置かれることになるから、上記の（１）（２）を実施できず、本人同意が必要になる？いやしかし本人同意と言っても、メールを送ってくる人にいちいち同意なんか取れない！では高い契約に切り替えないといけないのか？

AWSを利用していて、今までは地域分散も考えて日本とシンガポールのデータセンターを利用していたが、全部日本に集約しなければならないのか？

日本では提供されていない専門的な内容の、米国の会社が提供する人事管理クラウドを利用しているが、この利用を継続するにあたり、社員全員から同意を取るのは煩雑だなあ。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ12-3に参考になる情報がありました。

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供（法第 24 条第１項）に該当しません。
→例えば、AWS上に自社でサーバーを構築している場合、そこに含まれる個人データをAmazonに提供するわけではないから、それがどこのリージョンであったとしても外国にある第三者への提供にはならない。

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供（法第 24 条第１項）に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます（Ｑ７－53 参照）。
→これは「委託先」の定義に立ち返って理解する必要があります。委託先とは「個人データの取扱いの全部又は一部を委託する」相手のことであり、委託にはその個人データの内容を確認して、何らかの処理を行うことが含まれます。
クラウドサービスに個人情報を保存した場合に、その内容をクラウド事業者が内容を確認して、何らかの処理を行うのだとすれば、これは「委託」となり、その場合には上記の（１）（２）（３）のいずれかを満たす必要が出てきます。
しかし、クラウドサービスに個人データを保存したとしても、クラウド事業者がその内容を確認するのではなく、何らかの処理を行うのもなく、単にシステムの機能を用いて見やすく表示したり、集計したりするだけである場合には「委託」にはならないし、そもそも外国にある第三者への提供にもならない。クラウド事業者側が内容を見ないことが契約条項などにより明確にされていて、必要なアクセス制御も行われているのであれば、上記（１）（２）（３）に従う必要はない。

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（追加：2022年3月5日）
本記事に関連し、「プライバシーマーク制度では倉庫・データセンター系は委託先として管理しなければならないこととの整合性」について質問を受けましたので、下記を追記いたします。
JIS Q15001：2017の附属書B（解説）には、下記のような記述があります。
2022-03-05_14h15_05

この解説の内容は、依然として有効なものであり、今後もプライバシーマーク認定事業者としては、倉庫データセンター系の相手を委託先としてリストアップし、必要な覚書などを交わさなければならないと考えます。ただし、外国にある第三者への提供にはならないということです。

（私のコメント）
個人情報保護委員会の出すQ&A情報により、このような形でいろいろなことが明確に整理されていくのはうれしく思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年02月18日

Yahoo!ジャパンが個人情報保護法改正を見据えてプライバシーポリシーを改定

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、4月からの個人情報保護法改正に対応するため、自社のプライバシーポリシーを改定すると発表しました。

今回の主な改訂点は以下の通りです。

（１）個人関連情報の取扱いに関する説明の追加
（２）安全管理措置の具体的な内容説明を追加
（３）口コミ等の公開情報の取扱いの明確化
（４）従来の規定の明確化
（５）お問い合わせ窓口に関する説明追加

特に今回の個人情報保護法改正の目玉でもある「個人関連情報の提供」に関する内容が気になりますよね。

同社では
・Yahoo!広告を表示したWebサイトのURLとクッキーを取得することにより、アクセス履歴を取得
・Yahoo!広告のクリック履歴を取得
という2段階の方法を中心として、一般のWeb利用者の興味関心などを取得しているものと思われます。

そしてその情報をYahoo!アカウント（個人情報）と紐づけており、これが個人関連情報の提供を受ける事例になるものと思われます。

このことについて、同社では今後、必要に応じて同意取得の仕組みを用意して、本人同意が得られた場合のみ紐づけを行うとして、プライバシーポリシー上には下記のように記載しています。

本条に定める利用には、当社が取り扱うお客様等のYahoo! JAPAN ID、パートナーのID、広告ID（Advertising Identifier(IDFA)およびGoogle Advertising Identifier(AAID)を含みますがこれに限りません）、クッキーその他の各種識別子を紐づけて管理し、利用する場合を含みます。また、それに限らず、当社は、パートナーより受領するウェブページの閲覧履歴・検索履歴、パートナーが運営する店舗やショッピングサービス等での購買履歴、位置情報等の行動履歴、暗号化されたメールアドレス、クッキー、広告ID等の個人関連情報を、当社の保有するパーソナルデータと紐づけたうえで利用します。ただし、当該紐づけにあたり、個人情報の保護に関する法律（以下「個人情報保護法」といいます）によりお客様等の同意が必要な場合には、個人情報保護法および関連するガイドラインに従った態様で本プライバシーポリシーに同意いただいた場合にのみ紐づけを行います

またもう一点気になる海外移転の件については、下記のように国名を列記することで、明確にしようとしているようです。

提供・委託先の国または地域の例
パーソナルデータの提供・委託先には、以下の国または地域が含まれます。
・イギリスおよびEEA加盟国（例：フランス、ドイツ、スウェーデン、フィンランド、アイルランド）
・欧州委員会から十分性認定を受けた国または地域（例：スイス、イスラエル）
・APEC CBPR参加国（例：アメリカ、韓国、台湾、シンガポール、オーストラリア）

（「例」という表現が少し気になります。具体的に記載するべきプライバシーポリシーに「例示」は不適当だと考えています）

プライバシーポリシー改定のお知らせ
https://privacy.yahoo.co.jp/notice/202202.html

新しいプライバシーポリシー（2022年2月28日施行予定）
https://privacy.yahoo.co.jp/notice/202202_policy.html

海外パートナー企業へのデータ連携
https://privacy.yahoo.co.jp/connection/crossborder.html

（私のコメント）
私は、プライバシーポリシーは、簡潔に明確に記載するべきと考えています。特に昨年LINE事件が話題になった時には、LINEのプライバシーポリシーが長すぎてその割に不明確であることを指摘しました。

同社のプライバシーポリシーは、サービス内容が多岐にわたる巨大IT企業の割には従来からわかりやすい記載を実現しており、他社の皆さんにも参考にしていただけると思いますので、皆様も参考にしていただければと思います。

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年02月10日

【注意喚起】エモテットが国内で再度流行中です！～怪しい暗号化ZIPファイルを開かないで～

（画面は当社に実際に送られたemotetメールです）

皆さんこんにちは。
プライバシーザムライ中康二です。

2020年に大流行したエモテット（emotet）。
典型的なウイルスなのですが、拡散力が大きいために、
全世界で話題になりました。

2021年に欧州に散在していたエモテット発信の拠点が摘発され、
サーバーが停止されたことにより、一時的に被害は収まっていました。

しかし、また今年に入り、日本で流行が見られています。

特に今回は日本ならではの「パスワード付きZIP圧縮ファイル添付方式」
（いわゆるPPAP方式）の形状をしており、日本企業を狙い撃ちしている
内容となっています。

emotetに感染してしまうと、実在のメールアドレスや、
実際にやり取りされたメール本文が盗み取られ、
その内容やメールアドレスが次の攻撃に使用されます。

また、パソコンを乗っ取って、本人に成りすましてメールを発信することにより、
迷惑メールフィルターを通過する場合もあるようです。

いったん感染して、メールアドレスなどが持ち出されると、
理論上、そのアドレスを消去することはできず、
パソコンを初期化したとしても、
永遠にウイルスメールの送信に使用されることとなります。

取引先のアドレスを流出させてしまったりすると、
その取引先に迷惑をかけることになります。

対策として
（１）怪しい暗号化ZIP圧縮ファイルは絶対に開かないことを徹底する
（２）MS Officeファイルの「コンテンツの有効化」は絶対に行わないことを徹底する（*）
（３）ウイルス対策ソフトを最新版にしておくこと
をお勧めします。

エモテットは標的型攻撃とは違って、ばらまき型ですので、
ウイルス対策ソフトで対応できる場合が多いようです。

* エモテットは、MS Officeファイルのマクロ機能を使用する場合が多いようです。
添付ファイルを開くと、下記のような画面が出てきて、
「コンテンツの有効化」をクリックするように促されます。
これをクリックするとゲームオーバー。お使いのパソコンがエモテットに感染します。
emotet3

（画面はJPCERT/CCより）

参考URL
被害を受けたライオン株式会社からの案内
https://www.lion.co.jp/ja/pdf/20220203.pdf
過去のエモテットの記事
https://www.pmarknews.info/Information_security/52133013.html
https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年02月03日

Yahoo！Japanが欧州からのサービス利用を停止すると発表～GDPR対応が負担に～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、同社が提供しているYahoo！ジャパンのWebサイトとしてのサービスを、2022年4月6日 (水)より欧州及び英国から利用できなくなると発表しました。

具体的な地域としては、
（１）欧州経済領域（EEA）＝EU加盟28カ国＋アイスランド／リヒテンシュタイン／ノルウェー
（２）イギリス
とのことで、まさにGDPRの適用対象地域（または同等の法規制を敷いている国）となります。

対象となるサービスは、Yahoo！ジャパンとしての全てのサービスのようで、Yahoo!メール／Yahoo!カード／ebookjapanだけは継続利用できるとしていますが、メールアドレスの新規作成はできないなど、縮小の方向のようです。

同社では、「利用いただける環境を継続的に提供することが困難になったため」としか説明していませんが、GDPRへの対応が負担になったことは間違いないと思います。

GDPRがスタートして4年。日本の大手ITの先頭を走る同社が、ここで欧州向けサービスをあっさりと割り切ったことは非常に興味深いです。インターネットに国境はなかったはずなのですが、どんどん国境が高くなっていっていますね。

https://privacy.yahoo.co.jp/notice/globalaccess.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年01月27日

2022年4月1日の改正個人情報保護法施行に向けた基本情報を整理します

（画像はe-Gov法令検索・Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年4月1日の改正個人情報保護法・施行に向けて様々な作業が進んでおりますので、このページで基本情報を整理したいと思います。

（１）改正個人情報保護法の施行日は正式に2022年4月1日に決まりました

今回は2回の法律改正を一気に施行するというある意味でアクロバティックなことをするのですが、2段階の改正を2022年4月1日に同日施行するとのことで、正式に決まったようです。（「デジタル社会の形成を図るための関係法律の整備に関する法律の一部の施行期日を定める政令」により決定）

https://www.ppc.go.jp/personalinfo/minaoshi/#overview

（２）2022年4月1日に施行される改正個人情報保護法の法律全文

4月1日に施行される法律の全文は、下記のURLでご確認いただけます。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20220401_503AC0000000037

PDF版はこちらです。
https://www.ppc.go.jp/files/pdf/hogohou_50joukaisei.pdf

※全180条まであるのが2022年4月施行版です。
現行法は88条、2023年4月施行版は185条になります。

（３）個人情報保護法ガイドラインも全面改訂

法律の大幅改正に伴い、個人情報保護法ガイドラインも全面的に改訂されています。今回の改訂により、今まで以上に詳細な内容が説明されるようになり、読み応えのあるものになっています。

通則編（まずはここから）
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

外国にある第三者への提供編
https://www.ppc.go.jp/files/pdf/211029_guidelines02.pdf

第三者提供時の確認・記録義務編
https://www.ppc.go.jp/files/pdf/211029_guidelines03.pdf

仮名加工情報・匿名加工情報編
https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

1月末現在、個人情報保護委員会としては、行政機関向けガイドラインの作成や、金融機関向けガイドラインの見直しなど、最後の作業に当たっているようです。それらが全て出そろって、4月1日の改正法施行を迎えることになると思います。

（私のコメント）
個人情報保護委員会のWebサイトでは情報があちこちに散逸していて、少しわかりにくいかなと思いましたので、このページに集約してみました。とにかく、個人情報保護法の実務担当者の方には是非ガイドラインを熟読していただきたいです。そうすれば多くの疑問が解消されるはずです。（私も今、読み込んでいるところです）

なお、個人情報保護法改正とプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を2月22日（火）にリモート開催いたします。どうぞご参加ください。（恐縮ですがプライバシーマークのご担当者様限定になります）

https://www.pmarknews.info/privacy_mark/52153707.html

皆様とリモートでお会いできるのを楽しみにしております。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年01月20日

JIPDECが4月から適用するPマーク新審査基準を正式発表～個人情報保護法改正対応を含む最終確定版～

（画面はJIPDECによるPMS構築・運用指針）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、この4月から適用される新しい審査基準について、予定通り個人情報保護法改正の内容を反映させた最終版を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

今回の「PMS構築・運用指針」は、従来の審査基準から構成自体が大きく変更されています。JIS Q 15001「附属書A」の内容に加えて、これまで全く審査に使用されてこなかったJIS Q 15001「規格書本文」の内容も審査での確認事項とすることになりました。

そのため、今回の変更はとても規模が大きくなっています。独自に「J」で始まる項番の体系を用意し、その中に規格書本文と附属書Aの内容をきれいに並べています。「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。そして個人情報保護法の改正点も網羅されています。

（これが新審査基準の目次です。クリックすると拡大します）

昨年8月末に発表されたものは個人情報保護法改正の対応が含まれていない暫定版でした。今回、法改正の対応も含めた最終版が発行され、これで4月以降の審査が行われることになります。

（画像はJIPDEC公式Webサイトから）

なお、この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
遂に4月以降の審査で使用する最終版が出てきましたね。

個人情報保護法改正とプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を2月22日（火）にリモート開催いたします。ぜひご参加ください。

2022年01月13日

【決定版】個人情報保護法改正と新審査基準に関するPマーク担当者勉強会のご案内(2月22日リモート開催)

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

今年4月の個人情報保護法改正にタイミングを合わせて、プライバシーマークの審査基準も大幅に見直しされることは既報の通りかと思います。

昨年には、
７月　個人情報保護法改正に関する勉強会
10月　Pマーク新審査基準に関する勉強会
と2回の勉強会を開催しました。

ただし、10月時点でも最終版の新・審査基準は出ておらず、暫定的な内容でのご説明に留まっておりました。

1月中に、JIPDECさんから4月以降の審査で使用される審査基準の最終版が正式公表されることになっておりますので、それを見据えて、もう一度決定版ともいえるPマーク担当者勉強会を2022年2月22日に開催したいと思います。

講師は、私プライバシーザムライが担当いたします。

なお、セミナーの途中で、Zoomのブレイクアウトルーム機能を使用し、皆さん同士で意見交換をしていただく時間も取りたいと思っております。（チャットだけでも参加できますのでお気軽に！）

プライバシーマーク担当者の皆様、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ中康二(なかこうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：Pマーク担当者勉強会「【決定版】個人情報保護法改正とPマーク新審査基準対応について」

日時：2022年2月22日（火）10時から12時
場所：リモートで開催（Zoomを利用します）
講師：プライバシーザムライ中康二
参加費：無料（1社2名様まで）
参加対象者：
　プライバシーマーク取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓

皆さんとオンラインにてお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

2021年12月01日

【2020年国勢調査】一年がかりで集計結果が出ました～ダウンサイジング・ジャパンの傾向が明確に～

（画像は総務省統計局のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年実施された、100年目の国勢調査で皆様が回答した内容に基づいて、
一年がかりの作業が行われ、集計結果が出てきたようです。

予想されていたことではありますが、少子高齢化／人口減少の傾向が明確です。

残念ながらダウンサイジング・ジャパンということです。
秋田県などではこの5年間で人口が6％も減少しています。

自治体単位でも様々な対策は取られているんだと思いますが、
残念ながら結果には現れていないという実態が明らかになりました。

現実を表す統計数字。
大事なことだなあと思います。

令和2年国勢調査　調査の結果
https://www.stat.go.jp/data/kokusei/2020/kekka.html

（過去の記事）
国勢調査サポーターとしての活動に対して、総務大臣様より特別な感謝状をいただきました！
https://www.pmarknews.info/event/52135371.html

そういえば、私は総務省統計局さんのメールニュースを購読しています。
雇用統計、消費者物価指数、消費支出の変動など、
最新の統計情報が日々共有されるので、意外と楽しく、オススメします。
https://www.stat.go.jp/info/mail/index.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2021年11月28日

つるぎ町立半田病院でランサムウェア被害が発生～2億円かけて電子カルテ再構築～

（画像は同病院のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

徳島県のつるぎ町立半田病院でランサムウェア（身代金要求型ウイルス）の被害が発生し、病院の心臓部ともいえる電子カルテシステムのデータを全く読みだせなくなり、機能停止の状態に陥っています。報道によると、同病院では身代金を支払わず、約2億円をかけて電子カルテシステムを再構築する方針とのことです。

事件が発生したのは10月31日、電子カルテシステムにランサムウェアが感染。プリンターが勝手に動き出して「データを暗号化した。複号するためには身代金を払え」との内容が印刷されたとのことです。病院では、外部の専門会社にデータ復旧を依頼したがうまくいかず、そのまま病院としての機能が停止したようです。

同病院では、フォーティネット社のVPN機器を使用していたとのことですが、同社製品には以前から脆弱性が報告されており、ログインするためのアカウント情報のリストが公開されるという危機的な状態が続いていました。しかし、同病院はその対応を取っていなかったために狙われたのでないかと推測されます。

同病院では新規の患者受け入れを停止し、患者から情報を聞き取って紙のカルテを作成するという対応を取っており、今後の方針としては身代金は支払わず、約2億円をかけて新しい電子カルテシステムを再構築する方針とのことです。

つるぎ町立半田病院
http://www.handa-hospital.jp

VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起（Security NEXT）
https://www.security-next.com/129771

（私のコメント）
今回の事態で明らかになったように、フォーティネット社のVPN機器の脆弱性をそのままにしておくことは組織崩壊の危機を招きます。同システムを使用されている会社の方は、今すぐ対応することを強く推奨いたします。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

↑このページのトップヘ