プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年12月

弊社(オプティマ・ソリューションズ株式会社)では、東京国際フォーラムにおいてプライバシーマーク短期取得セミナーを定期開催しており、これまでに2000名以上の方にご参加いただいております。受講者の皆さんからの平均満足度が90%を超えており、満足度100%を達成する回も多数出ています。

2014年12月17日の開催時に撮影した画像をアップいたします。(今回も満足度100%を達成しました)

DSC02266
いつもお世話になっている東京国際フォーラム。冬になるにつれ、太陽が低くなり、ガラス棟は少し眩しくなります。

DSC02263
東京国際フォーラムは、扉が重厚なのです!

DSC02274
今回も満員御礼となりました!多くの皆様のご来場に感謝いたします。

DSC02159
全体の司会進行と第一部の講師を私(中 康二)が担当いたします。

DSC02408
皆さんに熱心にお聞きいただいています。

DSC02218
第二部の講師はシニアコンサルタントの遠藤が担当いたします。

DSC02424
資料も豊富にお配りいたします。

DSC02417
実践課題の際には、私も皆様のお席を回って対応いたします。

今後の開催予定は下記のとおりとなっております。

2015年1月15日(木)14:20〜16:30
2015年1月27日(火)14:20〜16:30
いずれも東京国際フォーラム・ガラス棟会議室で開催

皆様のご参加をお待ちしております。

お申し込みはこちらをクリックしてください。


47
(画面は検討会で説明された資料より「個人情報の定義の拡充」)

12月19日に「第13回 パーソナルデータに関する検討会」が開催され、その中で個人情報保護法の改正案が出ています。首相官邸Webサイト上で当日使用された資料がダウンロード提供されています。かなり気になる内容が沢山入っていますが、まだ十分に読み込めません。取り急ぎ共有します。

http://www.kantei.go.jp/jp/singi/it2/pd/dai13/gijisidai.html

a0002_010858
MMD研究所(モバイルマーケティングデータ研究所)が実施した「スマートフォンのセキュリティに対する意識調査」の結果によりますと、スマホユーザーの約半数が紛失を恐れているにもかかわらず、同じく約半数のユーザーはパスワードや指紋認証による画面ロックを設定していないことが分かりました。

しかも、対策を施さない理由として最も多かった回答は「方法が分からない」という最もリテラシーの低いものとなっており、先が思いやられる次第です。

https://mmdlabo.jp/investigation/detail_1376.html

(私のコメント)
ところで、スマホの紛失対策ですが、iPhoneの最近のモデルでは、様々なパーツが揃ってきており、下記のようにすることで万が一の紛失の際の問題をかなり防げるのではないかと思います。

(1)パスワードは数字4文字ではなく、英数字8文字以上の長いものにする。
(2)指紋認証を使用することで日常的な利便性を確保する。
(3)「iPhoneを探す」の設定をすることで、万が一の紛失の際でも発見できる。
(4)パスワードを一定回数以上間違えた場合の全データ削除の設定をすることで、
  悪意のある人に拾われた場合のデータ流出を抑えることができる。

一方のAndroid陣営ですが、まだまだ上記のパーツのすべてが揃ったものは少ないのではないかと思います。今後に期待したいです。

2014-12-12-18-51-00
(画面はガイドラインの表紙)

経済産業省は、12月12日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂版を発表しました。

経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂のポイントを簡単にまとめておきます。

1)委託先の監督の拡充
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨

2)安全管理の強化
望まれる手法の例示に下記を追加。
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマホ、PC等の記録機能を有する機器の接続制限と機器の更新への対応
・入退館(室)の記録の保管
・私物媒体/機器の持ち込み禁止又は検査の実施
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・管理者権限の分割
・アクセスログについて、速やかに外部に移動する、また管理者でも変更できないようにするなどの対策
・管理者によるアクセス状況を特に注意して監視すること
・許可していないソフトウェアの導入を防止する対策
・監視システムの設定の確認と定期的な動作確認

3)適正取得のための措置の追加
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨

4)新たな脅威に備えたセキュリティ対策手法の例示の追加
・ワンタイムパスワードの採用
・システムへのアクセス制御に加えて、データベースへのアクセス制御も行うこと

5)共同利用制度の趣旨の明確化など
・共同利用は「本人から見て当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある」場合のみ適用されるとの考え方を明記

6)消費者に対する分かりやすい説明のための参考事項追記
・利用目的の明示にとどまらず、さらに消費者に対して分かりやすく個人情報の取扱いについて説明するための記載項目を例示

7)その他
・「雇用管理分野における個人情報保護に関するガイドライン」に対応して、雇用管理情報の定義の明確化と、機微な情報が含まれることに配慮した取り扱いの徹底
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

(私のコメント)
ベネッセ事件を受けての見直しになっており、大変時機を得た、内容的にも適切なものと思います。このガイドラインを更新し続けている経済産業省の努力には頭が下がります。



22
(画面は特設サイトより)

経済産業省は、まもなく改正される「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に関して、全国8箇所で説明会を開催すると発表し、申し込み受付を開始しています。

●開催日時・場所
2014年12月19日(金) 東京ビッグサイト会議場(申し込み締切り済み)
2015年1月8日(木) 名古屋国際会議場
2015年1月23日(金) 高松商工会議所会館
2015年1月27日(火) 難波御堂筋ホール(大阪)
2015年2月3日(火) RCC文化センター(広島)
2015年2月16日(月) 福岡センタービル
2015年2月19日(木) フォレスト仙台
2015年2月23日(月) 北海道自治労会館

●説明会内容
経済産業分野における個人情報保護ガイドライン
企業の内部不正防止ガイドライン

http://kojinjohohogo-guideline.jp/

(私のコメント)
東京会場はすでに500名の定員がいっぱいになり締め切られてしまいました。ご案内するのが少し遅くなり申し訳ありません。しかし、この案内サイトでは「ガイドラインを改正致しました」となっていますが、まだ正式には発表されておりません。正式発表が待たれますね。

36
(画像は同社Webサイトより)

GMOインターネット株式会社(東京都渋谷区)は、12月4日付で、同社のドメイン取得サービス「お名前.com」の利用者にメールで案内を送付した際に、間違って他の利用者の名前や契約ドメイン名を表記して配信したと発表しました。

・対象者は、「お名前.com」の利用者16万4,650人
(法人ユーザーも含まれるようです)
・間違って配信した情報は 「法人名または名字(姓)」「ドメイン名」「会員ID」
とのことです。

http://www.onamae.com/news/domain/141204_1.html

(私のコメント)
まさかエクセルでソートした時に操作ミスしたとかいうことではないと思いますが、かなり大規模な事態になっております。間違えメールを受信した人は削除されることをおススメします。

↑このページのトップヘ