プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2022-02-25_11h34_40
(画像は個人情報保護法ガイドラインQ12-3より)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日、個人情報保護法改正&プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「海外クラウド利用は外国にある第三者になるのか」ということです。

2022年4月に施行される改正個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、下記のいずれかの条件を満たすこととされます。

(1)提供先が、日本と同等の水準の個人情報保護法制が敷かれた国に存在する場合(具体的には十分性認定がなされたEUと英国)

(2)提供先が、個人データの取扱いについて日本の個人情報取扱事業者と同等の水準の措置を講じている場合(契約や提供先の内部規程などでそれが確認できること、またはAPECのCBPR認証を受けていること)

(3)本人に対して、外国にある第三者への提供に関する一定の情報提供を行い、本人からの同意が得られていること

しかも、この第24条は「委託」が例外とはされておらず、委託の場合も同様の条件を満たすこととされています。そうすると、海外クラウド利用の場合にはどうなるのかということが懸案になっていました。

例えば、こんなことが考えられました。

Google Workspaceを利用している場合で、安い契約では、サーバーの存在する地域(リージョン)を選べない場合があり、そうすると、知らない国に置かれることになるから、上記の(1)(2)を実施できず、本人同意が必要になる?いやしかし本人同意と言っても、メールを送ってくる人にいちいち同意なんか取れない!では高い契約に切り替えないといけないのか?

AWSを利用していて、今までは地域分散も考えて日本とシンガポールのデータセンターを利用していたが、全部日本に集約しなければならないのか?

日本では提供されていない専門的な内容の、米国の会社が提供する人事管理クラウドを利用しているが、この利用を継続するにあたり、社員全員から同意を取るのは煩雑だなあ。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ12-3に参考になる情報がありました。

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第 24 条第1項)に該当しません。
→例えば、AWS上に自社でサーバーを構築している場合、そこに含まれる個人データをAmazonに提供するわけではないから、それがどこのリージョンであったとしても外国にある第三者への提供にはならない。

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7−53 参照)。
これは「委託先」の定義に立ち返って理解する必要があります。委託先とは「個人データの取扱いの全部又は一部を委託する」相手のことであり、委託にはその個人データの内容を確認して、何らかの処理を行うことが含まれます。
クラウドサービスに個人情報を保存した場合に、その内容をクラウド事業者が内容を確認して、何らかの処理を行うのだとすれば、これは「委託」となり、その場合には上記の(1)(2)(3)のいずれかを満たす必要が出てきます。
しかし、クラウドサービスに個人データを保存したとしても、クラウド事業者がその内容を確認するのではなく、何らかの処理を行うのもなく、単にシステムの機能を用いて見やすく表示したり、集計したりするだけである場合には「委託」にはならないし、そもそも外国にある第三者への提供にもならない。クラウド事業者側が内容を見ないことが契約条項などにより明確にされていて、必要なアクセス制御も行われているのであれば、上記(1)(2)(3)に従う必要はない。

ということが分かりました!

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-3

(追加:2022年3月5日)
本記事に関連し、「プライバシーマーク制度では倉庫・データセンター系は委託先として管理しなければならないこととの整合性」について質問を受けましたので、下記を追記いたします。
JIS Q15001:2017の附属書B(解説)には、下記のような記述があります。
2022-03-05_14h15_05
この解説の内容は、依然として有効なものであり、今後もプライバシーマーク認定事業者としては、倉庫データセンター系の相手を委託先としてリストアップし、必要な覚書などを交わさなければならないと考えます。ただし、外国にある第三者への提供にはならないということです。

(私のコメント)
個人情報保護委員会の出すQ&A情報により、このような形でいろいろなことが明確に整理されていくのはうれしく思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Yahoo!ジャパンのプライバシーポリシー
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、4月からの個人情報保護法改正に対応するため、自社のプライバシーポリシーを改定すると発表しました。

今回の主な改訂点は以下の通りです。

(1)個人関連情報の取扱いに関する説明の追加
(2)安全管理措置の具体的な内容説明を追加
(3)口コミ等の公開情報の取扱いの明確化
(4)従来の規定の明確化
(5)お問い合わせ窓口に関する説明追加

特に今回の個人情報保護法改正の目玉でもある「個人関連情報の提供」に関する内容が気になりますよね。

同社では
・Yahoo!広告を表示したWebサイトのURLとクッキーを取得することにより、アクセス履歴を取得
・Yahoo!広告のクリック履歴を取得
という2段階の方法を中心として、一般のWeb利用者の興味関心などを取得しているものと思われます。

そしてその情報をYahoo!アカウント(個人情報)と紐づけており、これが個人関連情報の提供を受ける事例になるものと思われます。

このことについて、同社では今後、必要に応じて同意取得の仕組みを用意して、本人同意が得られた場合のみ紐づけを行うとして、プライバシーポリシー上には下記のように記載しています。

本条に定める利用には、当社が取り扱うお客様等のYahoo! JAPAN ID、パートナーのID、広告ID(Advertising Identifier(IDFA)およびGoogle Advertising Identifier(AAID)を含みますがこれに限りません)、クッキーその他の各種識別子を紐づけて管理し、利用する場合を含みます。また、それに限らず、当社は、パートナーより受領するウェブページの閲覧履歴・検索履歴、パートナーが運営する店舗やショッピングサービス等での購買履歴、位置情報等の行動履歴、暗号化されたメールアドレス、クッキー、広告ID等の個人関連情報を、当社の保有するパーソナルデータと紐づけたうえで利用します。ただし、当該紐づけにあたり、個人情報の保護に関する法律(以下「個人情報保護法」といいます)によりお客様等の同意が必要な場合には、個人情報保護法および関連するガイドラインに従った態様で本プライバシーポリシーに同意いただいた場合にのみ紐づけを行います


またもう一点気になる海外移転の件については、下記のように国名を列記することで、明確にしようとしているようです。

提供・委託先の国または地域の例
パーソナルデータの提供・委託先には、以下の国または地域が含まれます。
・イギリスおよびEEA加盟国(例:フランス、ドイツ、スウェーデン、フィンランド、アイルランド)
・欧州委員会から十分性認定を受けた国または地域(例:スイス、イスラエル)
・APEC CBPR参加国(例:アメリカ、韓国、台湾、シンガポール、オーストラリア)


(「例」という表現が少し気になります。具体的に記載するべきプライバシーポリシーに「例示」は不適当だと考えています)

プライバシーポリシー改定のお知らせ
https://privacy.yahoo.co.jp/notice/202202.html

新しいプライバシーポリシー(2022年2月28日施行予定)
https://privacy.yahoo.co.jp/notice/202202_policy.html

海外パートナー企業へのデータ連携
https://privacy.yahoo.co.jp/connection/crossborder.html

(私のコメント)
私は、プライバシーポリシーは、簡潔に明確に記載するべきと考えています。特に昨年LINE事件が話題になった時には、LINEのプライバシーポリシーが長すぎてその割に不明確であることを指摘しました。

同社のプライバシーポリシーは、サービス内容が多岐にわたる巨大IT企業の割には従来からわかりやすい記載を実現しており、他社の皆さんにも参考にしていただけると思いますので、皆様も参考にしていただければと思います。

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす!
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

このエントリーをはてなブックマークに追加

2022-02-04_13h52_38

(画面は当社に実際に送られたemotetメールです)

皆さんこんにちは。
プライバシーザムライ中康二です。

2020年に大流行したエモテット(emotet)。
典型的なウイルスなのですが、拡散力が大きいために、
全世界で話題になりました。

2021年に欧州に散在していたエモテット発信の拠点が摘発され、
サーバーが停止されたことにより、一時的に被害は収まっていました。

しかし、また今年に入り、日本で流行が見られています。

特に今回は日本ならではの「パスワード付きZIP圧縮ファイル添付方式」
(いわゆるPPAP方式)の形状をしており、日本企業を狙い撃ちしている
内容となっています。

emotetに感染してしまうと、実在のメールアドレスや、
実際にやり取りされたメール本文が盗み取られ、
その内容やメールアドレスが次の攻撃に使用されます。

また、パソコンを乗っ取って、本人に成りすましてメールを発信することにより、
迷惑メールフィルターを通過する場合もあるようです。

いったん感染して、メールアドレスなどが持ち出されると、
理論上、そのアドレスを消去することはできず、
パソコンを初期化したとしても、
永遠にウイルスメールの送信に使用されることとなります。

取引先のアドレスを流出させてしまったりすると、
その取引先に迷惑をかけることになります。

対策として
(1)怪しい暗号化ZIP圧縮ファイルは絶対に開かないことを徹底する
(2)MS Officeファイルの「コンテンツの有効化」は絶対に行わないことを徹底する(*)
(3)ウイルス対策ソフトを最新版にしておくこと
をお勧めします。

エモテットは標的型攻撃とは違って、ばらまき型ですので、
ウイルス対策ソフトで対応できる場合が多いようです。


* エモテットは、MS Officeファイルのマクロ機能を使用する場合が多いようです。
添付ファイルを開くと、下記のような画面が出てきて、
「コンテンツの有効化」をクリックするように促されます。
これをクリックするとゲームオーバー。お使いのパソコンがエモテットに感染します。
emotet3
(画面はJPCERT/CCより)

参考URL
被害を受けたライオン株式会社からの案内
https://www.lion.co.jp/ja/pdf/20220203.pdf
過去のエモテットの記事
https://www.pmarknews.info/Information_security/52133013.html
https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。
このエントリーをはてなブックマークに追加

Yahoo!Japanが欧州からのサービス利用を停止すると発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、同社が提供しているYahoo!ジャパンのWebサイトとしてのサービスを、2022年4月6日 (水)より欧州及び英国から利用できなくなると発表しました。

具体的な地域としては、
(1)欧州経済領域(EEA)=EU加盟28カ国+アイスランド/リヒテンシュタイン/ノルウェー
(2)イギリス
とのことで、まさにGDPRの適用対象地域(または同等の法規制を敷いている国)となります。

対象となるサービスは、Yahoo!ジャパンとしての全てのサービスのようで、Yahoo!メール/Yahoo!カード/ebookjapanだけは継続利用できるとしていますが、メールアドレスの新規作成はできないなど、縮小の方向のようです。

同社では、「利用いただける環境を継続的に提供することが困難になったため」としか説明していませんが、GDPRへの対応が負担になったことは間違いないと思います。

GDPRがスタートして4年。日本の大手ITの先頭を走る同社が、ここで欧州向けサービスをあっさりと割り切ったことは非常に興味深いです。インターネットに国境はなかったはずなのですが、どんどん国境が高くなっていっていますね。

https://privacy.yahoo.co.jp/notice/globalaccess.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

このエントリーをはてなブックマークに追加

2022年4月施行の改正個人情報保護法
(画像はe-Gov法令検索・Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月1日の改正個人情報保護法・施行に向けて様々な作業が進んでおりますので、このページで基本情報を整理したいと思います。

(1)改正個人情報保護法の施行日は正式に2022年4月1日に決まりました

今回は2回の法律改正を一気に施行するというある意味でアクロバティックなことをするのですが、2段階の改正を2022年4月1日に同日施行するとのことで、正式に決まったようです。(「デジタル社会の形成を図るための関係法律の整備に関する法律の一部の施行期日を定める政令」により決定)

https://www.ppc.go.jp/personalinfo/minaoshi/#overview

(2)2022年4月1日に施行される改正個人情報保護法の法律全文

4月1日に施行される法律の全文は、下記のURLでご確認いただけます。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20220401_503AC0000000037

PDF版はこちらです。
https://www.ppc.go.jp/files/pdf/hogohou_50joukaisei.pdf

※全180条まであるのが2022年4月施行版です。
現行法は88条、2023年4月施行版は185条になります。

(3)個人情報保護法ガイドラインも全面改訂

法律の大幅改正に伴い、個人情報保護法ガイドラインも全面的に改訂されています。今回の改訂により、今まで以上に詳細な内容が説明されるようになり、読み応えのあるものになっています。

通則編(まずはここから)
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

外国にある第三者への提供編
https://www.ppc.go.jp/files/pdf/211029_guidelines02.pdf

第三者提供時の確認・記録義務編
https://www.ppc.go.jp/files/pdf/211029_guidelines03.pdf

仮名加工情報・匿名加工情報編
https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

1月末現在、個人情報保護委員会としては、行政機関向けガイドラインの作成や、金融機関向けガイドラインの見直しなど、最後の作業に当たっているようです。それらが全て出そろって、4月1日の改正法施行を迎えることになると思います。

(私のコメント)
個人情報保護委員会のWebサイトでは情報があちこちに散逸していて、少しわかりにくいかなと思いましたので、このページに集約してみました。とにかく、個人情報保護法の実務担当者の方には是非ガイドラインを熟読していただきたいです。そうすれば多くの疑問が解消されるはずです。(私も今、読み込んでいるところです)

なお、個人情報保護法改正とプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を2月22日(火)にリモート開催いたします。どうぞご参加ください。(恐縮ですがプライバシーマークのご担当者様限定になります)

プライバシーザムライ
https://www.pmarknews.info/privacy_mark/52153707.html

皆様とリモートでお会いできるのを楽しみにしております。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

タグ :
#個人情報保護法
#個人情報保護委員会
#2022年4月施行改正個人情報保護法
このエントリーをはてなブックマークに追加

2022-01-20_12h56_24
(画面はJIPDECによるPMS構築・運用指針)

------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
セミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、この4月から適用される新しい審査基準について、予定通り個人情報保護法改正の内容を反映させた最終版を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

今回の「PMS構築・運用指針」は、従来の審査基準から構成自体が大きく変更されています。JIS Q 15001「附属書A」の内容に加えて、これまで全く審査に使用されてこなかったJIS Q 15001「規格書本文」の内容も審査での確認事項とすることになりました。

そのため、今回の変更はとても規模が大きくなっています。独自に「J」で始まる項番の体系を用意し、その中に規格書本文と附属書Aの内容をきれいに並べています。「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。そして個人情報保護法の改正点も網羅されています。
pm_shishin2021_ページ_02
(これが新審査基準の目次です。クリックすると拡大します)

昨年8月末に発表されたものは個人情報保護法改正の対応が含まれていない暫定版でした。今回、法改正の対応も含めた最終版が発行され、これで4月以降の審査が行われることになります。

なお、この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

(コメント)
遂に4月以降の審査で使用する最終版が出てきましたね。

また、新しい情報が入りましたら、皆様にシェアいたしますね。
このエントリーをはてなブックマークに追加

プライバシーザムライ


------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
最新のセミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

今年4月の個人情報保護法改正にタイミングを合わせて、プライバシーマークの審査基準も大幅に見直しされることは既報の通りかと思います。

昨年には、
7月 個人情報保護法改正に関する勉強会
10月 Pマーク新審査基準に関する勉強会
と2回の勉強会を開催しました。

ただし、10月時点でも最終版の新・審査基準は出ておらず、暫定的な内容でのご説明に留まっておりました。

1月中に、JIPDECさんから4月以降の審査で使用される審査基準の最終版が正式公表されることになっておりますので、それを見据えて、もう一度決定版ともいえるPマーク担当者勉強会を2022年2月22日に開催したいと思います。

講師は、私プライバシーザムライが担当いたします。

なお、セミナーの途中で、Zoomのブレイクアウトルーム機能を使用し、皆さん同士で意見交換をしていただく時間も取りたいと思っております。(チャットだけでも参加できますのでお気軽に!)

プライバシーマーク担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:Pマーク担当者勉強会「【決定版】個人情報保護法改正とPマーク新審査基準対応について」

日時:2022年2月22日(火)10時から12時
場所:リモートで開催(Zoomを利用します)
講師:プライバシーザムライ 中 康二
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。


皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
最新のセミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------
タグ :
#勉強会
#プライバシーマーク
#Pマーク
このエントリーをはてなブックマークに追加

国勢調査結果
(画像は総務省統計局のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年実施された、100年目の国勢調査で皆様が回答した内容に基づいて、
一年がかりの作業が行われ、集計結果が出てきたようです。

予想されていたことではありますが、少子高齢化/人口減少の傾向が明確です。

残念ながらダウンサイジング・ジャパンということです。
秋田県などではこの5年間で人口が6%も減少しています。

自治体単位でも様々な対策は取られているんだと思いますが、
残念ながら結果には現れていないという実態が明らかになりました。

現実を表す統計数字。
大事なことだなあと思います。

令和2年国勢調査 調査の結果
https://www.stat.go.jp/data/kokusei/2020/kekka.html

(過去の記事)
国勢調査サポーターとしての活動に対して、総務大臣様より特別な感謝状をいただきました!
https://www.pmarknews.info/event/52135371.html

そういえば、私は総務省統計局さんのメールニュースを購読しています。
雇用統計、消費者物価指数、消費支出の変動など、
最新の統計情報が日々共有されるので、意外と楽しく、オススメします。
https://www.stat.go.jp/info/mail/index.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

このエントリーをはてなブックマークに追加

つるぎ町立半田病院
(画像は同病院のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

徳島県のつるぎ町立半田病院でランサムウェア(身代金要求型ウイルス)の被害が発生し、病院の心臓部ともいえる電子カルテシステムのデータを全く読みだせなくなり、機能停止の状態に陥っています。報道によると、同病院では身代金を支払わず、約2億円をかけて電子カルテシステムを再構築する方針とのことです。

事件が発生したのは10月31日、電子カルテシステムにランサムウェアが感染。プリンターが勝手に動き出して「データを暗号化した。複号するためには身代金を払え」との内容が印刷されたとのことです。病院では、外部の専門会社にデータ復旧を依頼したがうまくいかず、そのまま病院としての機能が停止したようです。

同病院では、フォーティネット社のVPN機器を使用していたとのことですが、同社製品には以前から脆弱性が報告されており、ログインするためのアカウント情報のリストが公開されるという危機的な状態が続いていました。しかし、同病院はその対応を取っていなかったために狙われたのでないかと推測されます。

同病院では新規の患者受け入れを停止し、患者から情報を聞き取って紙のカルテを作成するという対応を取っており、今後の方針としては身代金は支払わず、約2億円をかけて新しい電子カルテシステムを再構築する方針とのことです。

つるぎ町立半田病院
http://www.handa-hospital.jp

VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起(Security NEXT)
https://www.security-next.com/129771

(私のコメント)
今回の事態で明らかになったように、フォーティネット社のVPN機器の脆弱性をそのままにしておくことは組織崩壊の危機を招きます。同システムを使用されている会社の方は、今すぐ対応することを強く推奨いたします。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。
このエントリーをはてなブックマークに追加

ニップン社不正アクセスのプレスリリース
(画像は同社のリリース文より)

皆さんこんにちは。
プライバシーザムライ中康二です。

製粉大手の株式会社ニップン(東証一部上場)は、2021年7月に、何者かによる大規模なサイバー攻撃を受けたことにより、社内の業務システムの多くのデータが暗号化されて読みだせなくなり、バックアップサーバも同様の被害を受けたとのことです。これにより同社は上場企業に義務付けられている四半期報告書を通常のスケジュールで作成できなくなり、8月から10月まで公表を遅らせる事態となりました。

この事件については、詳細が明らかにされておらず、原因などが不明なのですが、同社のリリースからは
・社内のサーバーと端末の多くで一斉にデータが暗号化されて読みだせなくなった。
・バックアップシステムも同様にデータを暗号化されて読みだせなくなった。
・オンラインバックアップも同様にデータを暗号化されて読みだせなくなった。
・全ての社内ネットワークを停止したために一時的に全業務(生産管理除く)が停止した。
・生産管理システムには影響はなかった。
・会計報告については、伝票を手入力することにより集計し、作成する。
ということが分かっています。

同社のリリース文
https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/08/16/20210816-1.pdf

(私のコメント)
一部上場企業を攻撃対象にしたとんでもない規模の事件です。犯人はどのようにしてこれを実行したのでしょうか?ネットワークに侵入し、少しずつサーバーを乗っ取っていき、準備を万端に整えたうえで、一気に実行に移ったように見えます。同社としても一定のセキュリティ対策は取っていたと思われますが、悪意を持った人たちに狙われるとこうなるという貴重な事例として、日本のビジネスパーソンには認識を新たにしていただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。
このエントリーをはてなブックマークに追加

optimasolutions (2)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

早くも年末の足音が聞こえてまいりました。
コロナコロナで明け暮れた2021年という印象がありますが、
皆様はいかがでしょうか?

さて、この一年も、プライバシー/セキュリティの領域では
様々な出来事が起こりました。

・世界標準のプライバシー認証ISO27701(PIMS)がスタート
・個人情報保護法の官民一元化改正が成立
・JIPDECがプライバシーマークの新審査基準を発表
・LINEに対して個人情報保護委員会が立ち入り検査と指導を実施
・Omiaiから大量の本人確認書類が流出

などなど、目まぐるしかったですね。

さて、今回、初めての試みとして、
私プライバシーザムライと、セキュリティ博士(当社コンサルタント・大塚)
の二人によるクリスマス特別対談を開催いたします。

プライバシーマーク、ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登壇者紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家

DSC_3045
セキュリティ博士 大塚晃司(おおつか こうじ)
オプティマ・ソリューションズ株式会社・コンサルタント
会計事務所出身
ISMS/情報セキュリティで数多くのお客様を支援してきた、腕利きコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「2021年を振り返る」プライバシーザムライ/セキュリティ博士 クリスマス特別対談
日時:2021年12月23日(木)10時から11時半
場所:リモートで開催(Zoomを利用します)
登壇者:プライバシーザムライ 中 康二×セキュリティ博士 大塚晃司
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク、ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
botan



皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二
タグ :
#プライバシーマーク
#Pマーク
#情報セキュリティ
#オンライン対談
このエントリーをはてなブックマークに追加

マイナンバーカードが健康保険証として利用できます
(画面はマイナポータルから)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

政府が普及促進に躍起になっているマイナンバーカード。

ついに本命の使い方と言えるのではないかと思われる「健康保険証」としての利用が始まりました。厚生労働省がYouTubeに分かりやすい動画を載せてますので、これを使って簡単にご紹介しておきます。

(1)マイナンバーカードの健康保険証利用の概要について

マイナンバーカードが健康保険証として利用できるようになり、全国の医療機関や薬局で利用できるようになります。


(動画の最後に令和3年3月からとありますが、10月に延期されていました)

(2)健康保険証としての利用には事前の申し込みが必要

マイナンバーカードを健康保険証として利用するには、事前の申し込みが必要です。
この手続きには「4桁の暗証番号」が必要で、下記の方法でできるようです。

・パソコンにICカードリーダーを接続して申し込む
・マイナンバーカードの読み取りに対応したスマホで申し込む
 (対応スマホはこちらから)
・セブン銀行ATMから申し込む
・医療機関や薬局の端末から申し込む

ここでのポイントはどうして「事前に」なのかということですが、申し込みをしたあと、裏側で健康保険組合に情報が送られて「情報連携」の手続きが行われるからのようです。完全オンライン処理ではないのでご注意ください。

また「4桁の暗証番号」は、3回連続で間違えるとロックがかかり、役所の窓口まで行かないと解除できないことになっていますので、くれぐれも要注意です。特にスマホで申し込む場合には、読み取りミスが発生しやすく、読み取りミスによりロックがかかってしまうことも多いようです。それが嫌な場合には保守的に考えて、わざわざセブン銀行ATMに行くくらいでいいかもしれません。



(3)医療機関、薬局での利用時には顔認証も利用

今回、医療機関や薬局には、大量にマイナンバー対応の顔認証付きカードリーダーが導入されたようです。マイナンバーカードに収録されている顔写真データと照合するようですね。(入出国時のパスポートに収録された顔写真データと照合するのと同様の方式と思われます)顔認証の際には、マスクをしていても対応できるとしています。

なお、顔認証を希望しない場合には「4桁の暗証番号」での認証を選択することができるようです。



(4)今後は薬剤情報や健康診断の情報が蓄積されていく

あくまでも今後のデータのみになるようですが、医療費の情報、処方された薬剤情報、40歳以上の人に実施されている特定健康診査のデータが蓄積されていくようになり、「お薬手帳」の代わりになるほか、確定申告の際にも医療費の情報が自動的に連携するようになるそうです。




マイナンバーカードの健康保険証利用について(厚生労働省)
https://www.mhlw.go.jp/stf/newpage_08277.html

(私のコメント)
みんなが大好きな医療機関や薬局で使えるとなれば、マイナンバーカードの使い方としてはかなりの本命となるのではないかと私は勝手に思っています😉

医療機関や薬局から健康保険組合への医療費を請求し、それを健康保険組合が処理するという作業は、とてつもない手作業の集積となっていると思われます。今回のマイナンバーカードの導入により、それらの処理がオンライン化されていくのであれば、このカードの意味も出てくると言えるのではないかと思います。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。
このエントリーをはてなブックマークに追加

↑このページのトップヘ