プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年01月

2014-01-27_0956
(画面はNHKニュースより)

政府は、1月23日に情報セキュリティ政策会議を開催し、そこにおいて今後毎年2月の第一稼動日を「サイバーセキュリティの日」と決めて、様々な啓発活動などを開催することを決定しました。

以前より、毎年2月は「情報セキュリティ月間」となっており、官民が力を合わせて情報セキュリティに関する集中的な取り組みを行っていますが、今回、その流れをさらに強化するべく、「サイバーセキュリティの日」を決めたもののようです。

同日には「情報セキュリティ月間・キックオフ・シンポジウム」も開催される予定です。

http://www.nisc.go.jp/conference/seisaku/pdf/CybersecurityDay.pdf

http://www.pmarknews.info/archives/51926842.html

(私のコメント)
私たちの地球文明が、どんどん情報化、サイバー化するにつれて、サイバー空間におけるセキュリティ管理、もっと言うと治安維持の重要性が高まっています。すでに米国、中国などはサイバー軍を創設しているようですし、先日からのNSA問題でもその重要性の認識が高まったと思います。これに対して、政府としても何とかしようという姿勢が出てきていることは良いことだと思います。実効的に、効果の上がる方向で取り組みを進めていって欲しいと思います。

2014-01-20_2157
(画面はJIPDECサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、1月14日付けで「(スマートフォン等のアプリケーション配信事業者対象)利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」という文書を公表しました。この中で、従来から個人情報の範疇には含まれていなかった端末IDなどを取扱う際にどのようにすればいいのかの指針が示されました。プライバシーマーク認定を受けているアプリケーション配信事業者は、今後はこの内容に従う必要があります。

今回の指針の内容は、なかなか分かりにくいのですが、まとめると下記のようになると思われます。(あくまでも私の理解によるものです)

(1)対象となるのは「アプリケーション配信」のみ

今回の対象となるのは、「アプリケーション配信事業を行う事業者」のみです。具体的には(1)マーケット運営事業者が提供するアプリ・マーケットから、利用者に対してアプリケーションを配信する事業者、(2)広告配信等のためにアプリケーションに組み込む情報収集モジュールを提供する事業者となっています。ブラウザ経由で情報配信する事業者は対象にはなっていません。

(2)新たに「個人情報と同等に取り扱う利用者情報」という概念を設定

スマートフォンで取り扱う情報と言っても、特定の個人が識別できる情報(氏名、住所、メールアドレス、購買履歴、閲覧履歴など個人に紐づくものは全て)は従来通り個人情報保護法やJIS Q 15001でいう個人情報ですので、何ら変更はありません。

従来、個人情報には含まれていないと考えられていた「(特定の個人が識別できない)契約者・端末固有ID、位置情報、通信履歴、アプリケーション利用履歴など」について、その後の他の情報との照合など利用方法によっては特定の個人が識別できる可能性がある情報でもあるので、新たに「個人情報と同等に取り扱う利用者情報」という概念を設定し、その他の個人情報と同等にリスクの認識、分析及び対策を実施することとされました。

具体的には、個人情報管理台帳に「アプリケーションの利用者情報」という一行を追加して、リスク分析を実施し、適切な安全対策を立てることが求められます。

※ここで誤解してはいけないのは、「端末固有ID」の全てが「個人情報と同等に取り扱う利用者情報」となるわけではないということです。あくまでも、端末固有IDが特定の個人と紐付けされていない場合に、従来は個人情報として取り扱われていなかったものを新たに「個人情報と同等に取り扱う利用者情報」という範疇に指定したのであり、端末固有IDが特定の個人とひも付けされている場合には、従来からそれは個人情報であり、今後もそれは変わらないということです。

(3)「アプリケーション・プライバシーポリシー」の公表を要求

「個人情報と同等に取り扱う利用者情報」に関しては、JIS Q 15001が求める事項の明示や本人の同意は要求されない代わりに、新たに設定された「アプリケーション・プライバシーポリシー」という文書を通知または公表することが求められるようになりました。

「アプリケーション・プライバシーポリシー」とは、総務省が出した「スマートフォン プライバシー イニシアティブ」の中で提唱されたもので、下記の内容を含むものです。

(1) 情報を取得するアプリケーション提供者等の氏名又は名称
(2) 取得される情報の項目
(3) 取得方法(利用者の入力によるものか、自動取得するものなのか等)
(4) 利用目的の特定・明示(広告などに利用する場合はその旨明示)
(5) 通知・公表又は同意取得の方法、利用者関与の方法
(6) 外部送信・第三者提供・情報収集モジュールの有無
(7) 問合せ窓口(電話番号、メールアドレス等)
(8) プライバシーポリシーの変更を行う場合の手続

※ここでも誤解してほしくないのですが、この規定によらず、特定の個人が識別できる情報を取得する場合にはJIS Q 15001が求める事項を明示して同意を取ることが必要です。理論上、上記の「アプリケーション・プライバシーポリシー」を掲載する必要があるのは、「個人情報」を一切取得せず、「個人情報と同等に取り扱う利用者情報」だけを取得するアプリに限定されるのではないかと思います。単なる時計アプリだと思っていたら、バックグラウンドで端末IDやら位置情報を送ってターゲッティング広告配信していたというような例もあるようですので、そういう場合にはこの「アプリケーション・プライバシーポリシー」を通知または公表することになるかと思います。

http://privacymark.jp/news/2014/0114/index.html

(私のコメント)
プライバシーマークは、従来は「個人情報(特定の個人が識別できる情報=一人の人に紐付けできる情報)」のみを取り扱ってきました。しかし、社会全体のIT化やスマホ化が進む中で、従来の個人情報の概念の外側にある情報であっても、個人情報と同様に一定の基準の下で管理することが期待されるようになったという状況を考えて、今回の指針の発表があったのだと思います。しかしまあ、分かりにくいです。特に今回の指針の母体となった総務省の「スマートフォン プライバシー イニシアティブ」が個人情報とそうでない情報を一緒にして取り扱っているので、余計に分かりにくくなったのではないかという印象を受けます。当面の間は、このようなハイブリッドというか、いろんな考え方を取り込んで進むしかないのだろうと思います。




2014-01-16_0936
(出典:トレンドマイクロ社調査)

トレンドマイクロ株式会社(東京都渋谷区)が1月14日に発表した「Windows XPのセキュリティに関する企業ユーザ調査」の結果によりますと、企業のIT管理者の約25%が、マイクロソフト社の延長サポートが終了する4月以降も、WindowsXPの利用を継続する意向であることが分かりました。

調査によりますと、現在もWindowsXPを利用していると回答したIT管理者が54%であり、そのうち4月の延長サポート以降も一定期間利用を継続すると答えた比率が48%でした。すなわち、全体の約25%の企業において4月以降もWindowsXPが継続して利用されることになります。

WindowsXPを継続利用する主な理由としては「時間の関係で移行しきれない」「動作しない業務アプリがある」「コストがかかる」「支障がない」などとなっています。

また、利用を継続する場合に取られるセキュリティ対策としては「ウイルス対策ソフト」「USBメモリなど外部媒体の利用禁止」などが一般的となっており、「脆弱性対策製品の導入」「インターネットに接続しない」などの対策は少数派に留まっています。

詳しくは下記のURLをご参照ください。
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140109021807.html

(私のコメント)
WindowsXPの利用継続は、本当に頭が痛い問題ですね。4月以降、どんな問題が起こるか分かりません。とにかく予算があるかぎり、さっさと新しいOSに移行することをオススメします。






2014-01-14_1415

毎年2月は「情報セキュリティ月間」として指定されており、政府と民間が協力しあって情報セキュリティに関するイベントなどを開催し、広く国民に対して情報を提供し、啓蒙しています。

キックオフ・シンポジウムの日程が決まったようですので、お知らせいたします。

情報セキュリティ月間・キックオフ・シンポジウム
〜身近に潜む危険と対策を通じて“知る・守る・続ける”〜
日時:2014年2月3日(月)13時〜16時半
場所:一橋講堂
(東京都千代田区一ツ橋 2-1-2 学術総合センター2階)
参加費:無料(先着500名)
主催:内閣官房情報セキュリティセンター

詳しくは下記のURLをご参照ください。(PDFファイルが開きます)
http://www.nisc.go.jp/security-site/files/symposium_140203.pdf



↑このページのトップヘ