プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年11月

Macafee_remote

ウイルス対策ソフト大手のマカフィー株式会社(東京都渋谷区)は、従来より提供中のウイルスリモート駆除サービス「マカフィー ウイルス駆除サービス」を、11月29日より新たに全国の店頭で発売すると発表しました。

これは、マカフィーの専門スタッフが、顧客の使用しているパソコンにリモートでログインして、ウイルスの駆除を行うというサービスです。一回の料金は6,980円(税込)とのことで、マカフィーのウイルス対策ソフトを使用していない人でも利用できるそうです。

http://www.mcafee.com/japan/home/vrs/default.asp

(私のコメント)
私、こういったサービスのことを知りませんでしたが、同社でも従来からやっていたようですし、他社でも事例があるようですね。万が一の時にはお世話になれると思いますので、皆さんにもご紹介いたします。

20111114
「JIPDECプライバシーマークフォーラム2011」の東京の部は終了しました。

午後の部の各社の事例紹介が、各社の特徴がよく出ていて、おもしろかったです。
大阪で参加される方には事例紹介にも参加されることをおすすめします。

なお、会場でのアナウンスによりますと、本日の内容は後日、動画配信されるそうです。また講演録も提供されるそうです。興味を持たれた方はそれらの公開をお待ちください。

(本日の記事)
本日はプライバシーマークフォーラム2011に来ています。
http://www.pmarknews.info/archives/51800795.html
JIPDEC牧野会長「個人情報の利活用が制度の趣旨」
http://www.pmarknews.info/archives/51800809.html
堀部政男氏「社会保障・税番号大綱の影響は大きい」
http://www.pmarknews.info/archives/51800816.html
大木氏「クラウド提供者のガバナンスが重要」
http://www.pmarknews.info/archives/51800821.html
日立・玉樹氏「2015年までにグループ100社取得目指す」
http://www.pmarknews.info/archives/51800858.html
テンプスタッフ・村岡さん「情報漏洩を二度と起こさない!」
http://www.pmarknews.info/archives/51800873.html

20111114
「JIPDECプライバシーマークフォーラム2011」のPマーク取得事業者による事例紹介の最後は、テンプスタッフ株式会社の情報統括室の村岡さんが講演しました。

(要旨)
・1998年に派遣社員9万人分の個人情報漏洩事件が発生。マスコミで大々的に報道され、大騒ぎになった。電話が鳴り続け、二ヶ月間、営業活動ができなくなり、会社存亡の危機に立たされた。
・その後、二度とこのような事態を繰り返さないために、グループ全社でのプライバシーマーク取得を含む個人情報保護の取り組みを始めた。

◎具体的な取り組み
・個人情報保護に関するメールマガジンを社内で配信
・業務用鞄の導入(業務用の鞄と私用の鞄を分離)
・全社員に集合研修を実施(Eラーニングでは一方通行なので、今でも年に1回は集合研修をして、社員相互に話をさせるようにしている)
・社内監査において、写真を使って「この写真には4つのよくない点がありますが、何がありますか?」と質問したり、携帯電話をかけさせてロックの有無を確認するなど、実態に沿うものにしている。

◎今後の取り組み
・単に個人情報保護のルールを徹底するのではなく、企業倫理としてその必要性を教育していきたい。
・スマートフォン、タブレット端末については、トレーニングの受講などで一定レベルの知識があるもののみに限定する。
・クラウドサービスについては、一定の基準で選定し、利用者アニュアルなども整備する。
・ソーシャルメディアの利用についても、社員教育、ルールの明確化などを行っていく。

(私のコメント)
村岡さんのお話は、個人情報漏洩事件の生々しい実態と、そこから立ち上がったストーリーで構成されていて、とてもいいものでした。

20111114
「JIPDECプライバシーマークフォーラム2011」の午後の部は、Pマーク取得事業者による事例紹介です。まずは国内でも最大規模と思われる日立グループでの取り組みについて、株式会社日立製作所のIT統括本部IT戦略本部長の玉樹氏が講演しました。

(要旨)
・日立グループは国内351社の体制であるが、緩やかなグループ運営をしており、トップダウンということではない。
・グループで取り扱っている個人情報は総計10億件であり、その97%は受託している情報である。
・個人情報に関する品質保証と、お客様から選んでいただけることを目的として、グループ全体でのプライバシーマーク取得を進め、現在のプライバシーマーク取得数は72社になっている。(企業立病院でも積極的に取得している)
・2015年までにグループ内で100社を目指し、グローバルでのブランドイメージの向上を実現し、ビジネスに貢献したい。

◎グループ全体での取り組みは、下記のように進めた。
・日立本社での取得にあたり、それまでに存在した情報セキュリティ委員会と個人情報保護委員会を、一つの「情報セキュリティ委員会」に統合した。情報セキュリティマネジメントシステム(ISMS)と個人情報保護マネジメントシステム(PMS)も統合して、ISMSの中にPMSを位置づけた。
・12個の規定を整理統合して7個に集約した。
・各事業所、各部署での管理責任者もISMS、PMS統合して一本化した。
・本社レベルの情報セキュリティ委員会、事業所単位の情報セキュリティ責任者、部署単位の情報資産管理者という体制を日立本社だけでなく、グループでも同様の体制を取るようにした。これにより、人材の流動化、規程や教育プログラムの共有が可能になった。

◎主なセキュリティ対策は下記の通り。
・ハードディスクを持たないセキュリティPCをグループ全体で9万台導入している。
・データの持ち出し対策については「秘文」を導入している。
・文書の閲覧制御についてはPDFに変換して制御できる「活文」を導入している。
・メールの誤送信防止のため、送信フィルターを導入している。
・アクセス権限の管理については全社統一していて、大規模な人事異動についても即日対応が可能な体制を取っている。

(私のコメント)
玉樹さんのプレゼンテーションは、フレームワークからディティールに順番に切り込んでいくように構成されていて、かつ実際の事例に基づいている内容でしたので、とても分かりやすいものでした。

20111114
「JIPDECプライバシーマークフォーラム2011」で、大木栄二朗氏(工学院大学教授)が講演しました。

その中で、特に注目されたのは、クラウドサービスの利用に関しては、クラウド事業者にガバナンスを要求することが重要だとする考え方でした。

・「Data-Free Architecture」と「Hot Operation」という考え方
 通常のオペレーションでは、データの中身を見ることができないようにし、データの中身を見る必要がある操作は健全な運用を証明できるように、透明化して記録を残す。
・情報セキュリティの維持に関して、クラウド事業者の経営陣のコミットメント(言明書)を要求する。

(私のコメント)
今後、クラウドサービスの利用を促進するに当たっては、確かに上記のような取り組みは重要と考えます。



20111114
「JIPDECプライバシーマークフォーラム2011」で、プライバシーマーク制度委員会の委員長の堀部政男氏(一橋大学名誉教授)が講演しました。

(要旨)
・プライバシーマーク制度ができるまでの経緯と、堀部氏がどのように関与してきたかの紹介。
・一年目の平成10年度の取得事業者数は58であったが、その後、15,000社を超える規模にまで成長。
・今年6月にまとめられた「社会保障・税番号大綱」では、法人に法人番号、個人に個人の番号を割り振るとしているので、これがプライバシーマーク制度に与える影響は大きい。

(私のコメント)
社会保障・税番号の件は、まだまだよく分かりませんが、今後注目が必要なようです。


20111114
「JIPDECプライバシーマークフォーラム2011」の冒頭、JIPDECの牧野会長が挨拶しました。

(要旨)
・プライバシーマークは、民間が自発的に取り組む制度であり、いわゆるデファクトスタンダード。政府がやると硬直的になりかねないし、完全な民間では第三者機関としての信頼性確保が困難である。そこで私たちのような団体がその役割を担ってきた。
・のべ取得事業者数が15,000社を突破したというのは、公共的に意味があると認められた結果ではないかと認識している。
・プライバシーマーク制度は、あくまでも個人情報の利活用と健全な保護をバランスを取って進める制度であり、一方的に消費者の権利を守るものではない。JIPDECにも年間400件の苦情が来て対応しているが、あくまでも仲介役として汗をかいていきたい。
・マンパワーなどに制約のある中小企業の取得も進んでいる。あくまでも基準を緩くすると言うことはできないが、商工会議所などと協力しながら、ハンディキャップをバックアップしていきたい。
・審査が遅いなどの苦情もアンケートでいただいているが、鋭意取り組んでいきたい。
・今後の課題としては(1)SNSの流行など、技術的な環境の変化への対応が必要であり、専門家の皆さんに集まっていただいて技術部会を開催して手を打っていきたい。(2)東日本大震災のような緊急事態に際して、プライバシーマーク取得事業者の取得した個人情報を活用できないか、考えていきたい。

(私のコメント)
事前配布のプログラムでは5分のご挨拶のはずでしたが、かなり網羅的なお話になりました。




本日は、一般財団法人日本情報経済社会推進協会(JIPDEC)が主催する「プライバシーマークフォーラム2011」に来ています。会場は、ANAインターコンチネンタルホテル東京です。

http://privacymark.jp/forum/2011/index.html

今日一日、会場からレポートします。

※なんと、会場内は撮影禁止だそうです。

(本日の記事)
JIPDEC牧野会長「個人情報の利活用が制度の趣旨」
http://www.pmarknews.info/archives/51800809.html
堀部政男氏「社会保障・税番号大綱の影響は大きい」
http://www.pmarknews.info/archives/51800816.html
大木氏「クラウド提供者のガバナンスが重要」
http://www.pmarknews.info/archives/51800821.html
日立・玉樹氏「2015年までにグループ100社取得目指す」
http://www.pmarknews.info/archives/51800858.html
テンプスタッフ・村岡さん「情報漏洩を二度と起こさない!」
http://www.pmarknews.info/archives/51800873.html
Pマークフォーラム in 東京は、終了しました!
http://www.pmarknews.info/archives/51800879.html

20110516_column_img

情報セキュリティの専門会社である株式会社ラック(東京都港区)の最高技術責任者の西本氏は、昨今の標的型メール攻撃に代表されるサイバー攻撃に関する意見をコラム「『企業の情報が次々に窃取され続ける今』への提言」にまとめ、10月31日付で同社Webサイト上にて公開しました。

ぜひ、本文をお読みください。

http://www.lac.co.jp/column/20111031.html

(私のコメント)
いろいろなことを考えさせられる文章です。「情報筒抜け基盤」が日本の各組織に入り込んでいるのだとすれば、本当に重要な情報は物理的に隔離されたネットワークで利用するなど、企業としては、今以上のレベルのセキュリティ対策が求められるのではないかと思います。



somusho

本日の一部報道で「警察庁が、携帯電話のGPSの機能を使用して犯罪捜査の容疑者の居場所を特定できるようになる」との内容があったとのことですが、これは、総務省が実施する「電気通信事業における個人情報保護に関するガイドライン」の改正を受けて実施されるもののようです。

これについては、総務省でガイドラインの見直し作業が行われ、今年の8月2日〜31日までパブリックコメントの募集が行われていました。その結果が10月17日にまとめて発表され、正式な改正となるとの事です。

改正の内容は下記の通りです。

電気通信事業における個人情報保護に関するガイドラインの改正内容
http://www.soumu.go.jp/main_content/000123923.pdf
ガイドラインの解説の改正内容
http://www.soumu.go.jp/main_content/000123924.pdf

今回の改正により、警察は
1)裁判所の令状を取る
2)携帯電話の画面上で位置を探索していることを通知する
の2つの条件を満たすことにより、携帯電話のGPSの機能を使用して犯罪捜査の容疑者の居場所を特定できることとなるとのことです。

(私のコメント)
これについて、総務省の公式発表と報道だけではよく分かりませんでしたので、総務省の担当部署の方にお電話してお聞きしました。担当の方のお話によりますと、ガイドラインの改正自体はすでに組織内の承認を経ているので決定事項ではあるものの、今回の改正の内容が官報に掲載された日が改正日となるそうで、今の段階ではいつが正式な改正日になるかは分からないそうです。


JPCERT_CC

国内の情報セキュリティ事件・事故に関する情報を取りまとめて発信している一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は、10月28日付で「標的型メール攻撃に関する注意喚起」という文書を発行しました。

この文書は、被害が相次いでいる「標的型メール攻撃」に関して、広く国内の各層に対して注意を喚起するもので、
1)攻撃の概要
2)検知の方法
3)現在打てる対策
4)万が一の事件発生の際のJPCERT/CCへの相談方法
5)ITセキュリティ予防接種の紹介
の内容で構成されています。

http://www.jpcert.or.jp/at/2011/at110028.html

(私のコメント)
特に最後の「IT セキュリティ予防接種」ですが、広く一般の社員に標的型メール攻撃の存在を知らしめ、意識を高めるのに大いに役立つ教育手法だと思います。JPCERT/CCでは、この「ITセキュリティ予防接種」を自社内で実施するためのマニュアルとツールを無償で提供しているそうです。ぜひ、御社でも取り組んでみてはいかがでしょうか?





↑このページのトップヘ