プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年08月

20100827b

Pマークの審査基準の一部を構成する「JIPDECガイドライン」が改訂された件を、昨日、速報しましたが、先ほど日本規格協会から書籍が届きました。まだ全ては読めていませんが、全体的に見た内容をご報告いたします。

20100827

これがその内容の一部です(これは著作権法に基づく引用です)。

「審査の着眼点」と題して、文書審査と現地審査におけるチェックポイントがかなり詳細に記されています。

これらの内容はこれまで文書化されていなかったので、
・審査員によって言うことが違う。
・コンサルタントが独自の判断で本来は不要な助言をする。
などの混乱が生じていました。今回、それらの内容がかなりのレベルまで文書化されましたので、混乱を収める効果が大きいものと考えます。そういう意味では、とても意義深いと考えます。

しかし、いまだにJIPDECからは正式なアナウンスはないですね。Webサイトにもこのガイドラインの改訂の話は全く出ていません。PDFなどの形式でのダウンロード提供も行われていません。

もしかすると、今後はJISと同じように、このガイドラインもお金を出さないと入手できないようにしたいと考えているのかも知れません。いずれにせよ、JIPDECからの正式なアナウンスを待ちたいと思います。

<書籍の購入は下記からどうぞ>

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]
財団法人日本情報処理開発協会 プライバシーマーク推進センター 編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも買えます。
http://www.amazon.co.jp/dp/4542305376/

※追記>
記事を書いた後、JIPDECのPマーク事務局にお電話して聞いてみたところ、下記の情報が分かりました。
・このガイドラインは正式なものである。
・当面はPDFなどの形式で無料提供は行わない。
・このガイドラインが出たことで、審査基準が変わるわけではない。
とのことでした。やはりPマークで仕事をしている人は、素直にこの書籍を購入した方がよさそうです。


jis10_05


JIS Q 15001:2006と並んで、プライバシーマークの審査基準の一部を構成しているのが、JIPDECのプライバシーマーク推進センターが発行しているガイドライン(通称:JIPDECガイドライン)です。

現在まで、2006年8月に発行された第1版が有効なものとして流通しており、JIPDECのWebサイトから無料でダウンロードできています。

JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―
財団法人日本情報処理開発協会 プライバシーマーク推進センター 編
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

JIPDECからの正式な発表はないのですが、
なんと、これが改訂されたらしいのです。
しかも書籍として販売されているのです。

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]
財団法人日本情報処理開発協会 プライバシーマーク推進センター 編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも販売開始されるようです。
http://www.amazon.co.jp/dp/4542305376/

一方で、Webサイトでの無料公開が行われていないのです。

おそらく、近いうちにWebでのダウンロード提供も行われるものと思いますが、プライバシーマーク関係のお仕事をされている皆様には、有料でもいち早く入手されることをお勧めします。

※未確認情報ですが、重要なので記事として掲載します。続報が入り次第、再度記事にします。

BSI

BSI グループジャパン株式会社は、8月10日付で「『メールアドレスの流出』に関するお詫びとお知らせ」と題した文書を公表しました。既存顧客(763名)に対して一斉メールを送信した際に、メールアドレスが他の受信者にも見える形で送信したとのことです。

よくあることです。複数のメールアドレスを「Bcc:」に入れて送ろうとしたところ、間違えて「To:」または「Cc:」に入れてしまうということです。こういうことは、過去に何回も何回も起こっています。つい先日も総務省で同様の事件が起こり、私は今回と同様の記事を掲載しました。

どうしたらいいのか。私はメール一斉配信用のソフトを使用することをお勧めします。たとえば、下記にリストされているものです。無料のものでもいくつかあります。

窓の杜「同報メール」カテゴリー
http://www.forest.impress.co.jp/lib/inet/mail/packmailer/

「不特定多数にメールを送信する場合には、メール配信専用のソフトを使用する」

これをルール化して、社内で徹底することをお勧めします。

なお、使い慣れないソフトになりますので、最初、同じ部署の全員に送るなど実験を繰り返して、ソフトの動作に慣れるようにしてください。そして、本番で使用するようにしてください。

somusho

総務省は、7月29日付で「電気通信事業における個人情報保護に関するガイドライン」ならびに「電気通信事業における個人情報保護に関するガイドラインの解説」を改正しました。

※対象となるのは、電気通信事業法で定められた「電気通信事業者」です。

今回の改正事項は下記の通りです。

1)利用目的の特定について(第5条の解説)
特定の個人を識別できないようにする加工(いわゆる匿名化)を行うことは、個人情報の利用に当たらず、利用目的として特定する必要はないことを明記。

2)モバイルPC等による個人情報の持出時に求められる安全管理措置(第11条の解説)
モバイルPC等による個人情報の持出時の漏えいリスクに対する安全管理措置の在り方及び個人情報の持出時の留意点について明記。

3)個人情報の漏えい等発生時の手続の緩和(ガイドライン第22条及び同条の解説)
モバイルPC等の紛失等に際して、漏えい等が発生した個人情報に対し適切な技術的保護措置が講じられていた場合には、事業者に求められる手続(本人への通知、事実の公表及び監督官庁への報告)の一部を緩和することを明記。

(私のコメント)
今回、改めて電気通信事業ガイドラインを読み直したのですが「解説」の中に本文も含まれていますので、「解説」だけを呼んでいればいいのだと分かりました。ノートパソコンの紛失時の対応に関しては、二次被害が生じないような対策が取られている場合には対応を簡略化してよいとのことで、合理的な改正だと思います。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html

neobeat
ネットスーパーのシステムを開発して各社に提供している株式会社ネオビート(大阪市中央区)は、8月4日付で、自社のウェブサイトに国内外からの不正アクセスがあり、ネットスーパーの利用者のクレジットカード情報約1万2千件が流出した可能性があると発表しました。

流出したのは
ユニー「アピタネットスーパー」
イズミヤ「楽楽マーケット」
大近「Lucky&Pantry.net」
マルエツ「マルエツネットスーパー」
琉球ジャスコ「琉ジャスネットスーパー」
不二商事「生鮮TOP便ネットスーパー」
フジ「フジネットスーパー『おまかせくん』」
のサービスの利用者のカード情報12,191件で、カード番号、有効期限、名義が含まれているといいます。

同社によると、現在、情報セキュリティの専門会社である株式会社ラックの協力を受けながら、被害の把握ならびに対策を講じているとのことです。

http://www.neobeat.co.jp/news/

(私のコメント)
推測ですが、、、、SQLインジェクション攻撃でしょうね。
2年前のサウンドハウス事件から同じことが繰り返されています。「Webサイトに中国から攻撃」「クレジットカード情報が盗まれる」「ラックの119番に助けてもらう」全部同じです。
SQLインジェクション攻撃への対策は、下記のURLなどにまとめられています。もういい加減、こんな馬鹿な事件で騒ぎを起こすのはやめにしませんか?

http://www.ipa.go.jp/security/vuln/websecurity.html
IPA「安全なウェブサイトの作り方」

↑このページのトップヘ