プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年02月

2014-02-28_1547
(画面はJIPDECのWebサイトより)

一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、1月28日に開催した「JIPDECプライバシーマークフォーラム2014」の講演内容の動画配信を開始しました。

http://privacymark.jp/forum/2014_report/index.html

(私のコメント)
今回のフォーラムにおいては、特に来年1月の通常国会提出に向けて個人情報保護法改正プロセスが始まったことの説明が多く登場しておりますので注目です。特に特定個人情報保護委員会・委員長の堀部 政男氏の講演は必見かと思います(個人情報保護法改正については、チャート16枚目の「世界最先端IT国家創造宣言」くらいから登場します)。





2014-02-25_1903
(画像は日本規格協会の発表文書より)

ISO27001の日本語版となる「JIS Q 27001:2014」が3月20日に発行されることとなり、一般財団法人 日本規格協会で予約受付を開始しています。

今回発表される文書は下記の三種類です。

(1)JIS Q 27000:2014
情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語
1,800円

(2)JIS Q 27001:2014
情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項
2,200円

(3)JIS Q 27002:2014
情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範
3,900円

http://www.jsa.or.jp/aboutus/jyouhou.asp
http://www.jsa.or.jp/aboutus/pdf/H2603JIS_list.pdf
http://www.webstore.jsa.or.jp/webstore/Top/html/jp/ad/jisq27001isms1402.pdf

(私のコメント)
上記のうち、もっとも中心となる文書は(2)です。まず(2)から購入してください。なお、PDF版のダウンロード販売も同日から始まると思いますので、電子データで欲しい方はそちらを選んでください。




2014-02-17_1817
(「パーソナルデータの利活用に関する制度見直し方針(案)」より引用)

先月28日に開催された「JIPDECプライバシーマークフォーラム2014」の基調講演の中で、特定個人情報保護委員会委員長の堀部政男氏が個人情報保護法の改正について説明しました。

これは、昨年12月10日の「パーソナルデータに関する検討会」で決定された「パーソナルデータの利活用に関する制度見直し方針」に基づいて説明されたものですが、その内容によりますと、今後下記のステップで個人情報保護法の改正が進むとのことです。

●制度見直し方針決定(2013年12月)
   ↓
●大綱決定・公表(2014年6月)
   ↓
●パブリックコメント
   ↓
●通常国会に法案を提出(2015年1月)


また、改正のポイントとしては、下記があげられているようです。

1)第三者機関(プライバシー・コミッショナー)の設置
2)一定の匿名化を施した個人情報に関して第三者提供などの条件を柔軟化
3)諸外国の制度との調和(EUの規制強化に対応)
4)現在個人情報に含められていないパーソナルデータに対する取り扱いの明確化

パーソナルデータの利活用に関する制度見直し方針(案)
http://www.kantei.go.jp/jp/singi/it2/pd/dai5/siryou3-1.pdf

(私のコメント)
今回の改正の動きはなかなか分かりづらいです。堀部先生がフォーラムで分かりやすく説明していただいたので、はじめて事態の重要性に気付いたような次第です。

どうして分かりづらいのかというと、従来の個人情報保護法は、あくまでも厳格な「個人情報」の枠の中に閉じこもっていたわけですが、今回はその外側にある「パーソナルデータ」の存在や「プライバシー」の考え方も含めた法制度を検討しようということになっているからです。ですから、個人情報保護法という名前も変わるかもしれないという可能性も含めて広範囲な検討をすることになるんだろうと思います。

最終的には国会での決議が必要なわけですから、上記の通り法改正が進むかどうかは未知数ですが、最短で来年にも法律が改正される可能性があるということは知っておいたほうがいいと思います。

また、必ずしも今回の改正のプロセスが広く知らされておらず、国民的な規模で議論が広がっているようには見えません。このBlog記事が少しでも寄与できればと思います。


2014-02-10_1713
(画面はJIPDECサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、1月20日付けで「顧客から預かる情報の取扱いについて(解説)」という文書を公表しました。この中で、倉庫業、データセンター等の事業で「個人情報に該当するかどうかを認識することなく預かっている場合」について、新たに「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定し、個人情報に準じた取扱いを行うこととしています。プライバシーマーク認定を受けている倉庫業、データセンター(ハウジング、ホスティング)等の事業を営む事業者は、今後はこの内容に従う必要があります。

今回の内容をまとめると、下記のようになると思われます。(あくまでも私の理解によるものです)

(1)対象となるのは「倉庫業、データセンター(ハウジング、ホスティング)等の事業」

今回の対象となるのは「倉庫業、データセンター(ハウジング、ホスティング)等の事業」であって、「当該情報が個人情報に該当するかどうかを認識することなく預かっている」情報については、それを事業の用に供する個人情報としなくてよいとされていたものです。

(2)新たに「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定

上記(1)に含まれる情報に関しては、「事業の用に供する個人情報と同等に取り扱う情報」という新たな概念を設定し、そこに含めることととされました。また、これらの情報に関しては、個人情報管理台帳に「事業の用に供する個人情報と同等に取り扱う情報」という一行を追加して、リスク分析を実施し、適切な安全対策を立てることが求められます。

2014-02-10_1719
(画面は「顧客から預かる情報の取扱いについて(解説)」より)

(3)「個人情報が含まれるかどうか」を顧客に確認することを要求

また、今回の文書においては「顧客が個人情報が含まれていることを明示しない場合」に「個人情報が含まれるか否かを顧客に確認する」ことを求めています。これは新たな内容だと思います。その上で、個人情報が含まれるかどうかが確認できない場合に「事業の用に供する個人情報と同等に取り扱う情報」にするとされています。

(4)明らかに個人情報であると分かる場合には、従来どおり個人情報として取り扱うこと

当然のことですが、明らかに個人情報であると分かる場合には従来通り個人情報として個人情報管理台帳に明記し、リスク評価をして、適切な安全管理策を実施するとされています。これは個人情報の取扱を委託する事業者側としては当然のことですが、「顧客情報管理ASP」や「医療カルテ保管業」のように明らかに個人情報であることを認識して情報を預かるような受託者が含まれます。

http://privacymark.jp/news/2014/0120/index.html

(私のコメント)
今回の発表はどうしても先日の「(スマートフォン等のアプリケーション配信事業者対象)利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」と比較してしまいますね。厳密な意味での個人情報に当たらない情報に対して、個人情報に準ずる取扱いを求めるという点では同様です。そこで求めてられている要求もほぼ同様です。しかし、名称が微妙に異なるのです。

 委託される情報=「事業の用に供する個人情報と同等に取り扱う情報」(今回の記事)
 スマホでの情報=「個人情報と同等に取り扱う利用者情報」(前回の記事)

ただ、名称が違うからややこしいから何とかしろというつもりはありません。これも、移行期における混乱の一つと受け止めるべきかと思います。何の移行期かということについては、別途「個人情報保護法の改正作業始まる」というタイトルで記事を書きますので、少々お待ちください。




2014-02-10_1618
(画面はマイクロソフト社Webサイトより)

米国マイクロソフト社は、同社のセキュリティに関する公式Blogにおいて、4月8日のWindowsXPの公式サポート終了後も、Microsoft Security EssentialsのWindowsXP用定義ファイルの配布を継続すると発表しているようです。期間は2015年7月14日までです。

http://blogs.technet.com/b/mmpc/archive/2014/01/15/microsoft-antimalware-support-for-windows-xp.aspx

http://windows.microsoft.com/ja-jp/windows/security-essentials-download

(私のコメント)
4月8日のWindows XPの公式サポート終了は、コンピュータが登場して以来の史上最大規模のものになると思います。その日以降、脆弱性が発見されてもマイクロソフト社としては一切のサポートをしないのです。これは沈んでいく船のようなものですから、通常は利用は継続しないのが大原則です。ただし、いろいろな事情で利用を継続するケースもあるでしょう。それに対して、多くのウイルス対策ソフトベンダーが継続サポートを表明する中で、マイクロソフト社が出しているMicrosoft Security Essentialsも継続サポートを表明しました。決して利用継続は推奨しませんが、できれば危機的状況を起こしたくないという観点から、このサポートの延長はありがたいことだと思います。ただし、日本のマイクロソフト社からは公式な発表はないで、少し心配なところではあります。

(2014年2月25日追記)
日本のマイクロソフト社からも公式発表ありました。
http://blogs.technet.com/b/jpsecurity/archive/2014/01/16/3620688.aspx




↑このページのトップヘ