プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2017年10月

改正JIS Q15001は12月20日に正式発表される見通しです。
詳細は下記URLをご覧ください。
http://www.pmarknews.info/privacy_mark/52062422.html

本セミナーの内容の動画配信を始めました。
【JIS Q 15001改正】プライバシーマークの審査はどう変わる?
緊急解説セミナーの動画を配信します
http://www.pmarknews.info/privacy_mark/52062005.html


こんにちは。オプティマ・ソリューションズ広報担当の内野明子です。

みなさまお元気でお過ごしでしょうか?早いものでもう11月ですね。
だいぶ寒くなってきましたので、風邪などひかないよう体調管理していきたいですね。

さて、去る10月25日(水)に2017年10月25日・JIS Q 15001改正・緊急解説セミナー
(第8回Pマーク担当者勉強会)
をTKP新橋カンファレンスセンターで開催いたしました。

20171025_005

広い会場で席もゆったり。たくさんの方々にご参加いただきました!

20171025_007

講師はなんと!!!プライバシーザムライこと中康二(弊社代表)〜(*゚▽゚*)
今回からこのキャラで活動して参ります。よろしくお願いいたしますm(__)m

スライド2

現在検討中のJIS Q 15001の改正案に基づき、今後のプライバシーマークはどうなるのか、
プライバシーザムライが一刀両断!分かりやすくご説明いたしました。

プライバシーザムライ見参!

何枚か資料から抜粋してご紹介しますね。

JIS Q15001の主な改正点

今回の主な改正点はこの2点になるそうです。
(2)の個人情報保護法改正対応は想像通りだったわけですが、
想像を超えていたのが(1)のISOの標準テキスト準拠というものでした。

新しいJIS Q 15001の構成

JIS Q 15001の本文は構成が大きく変更されて、ISO9001、14001、27001などで採用されている標準テキストに沿ったものになり、従来のJISの本文を引き継ぐのは「附属書A」になるとのこと。

PマークがISMSみたいになる?

さあ、PマークがISMSみたいになるのか?
会場ではプライバシーザムライの大胆予測が発表され、参加者の皆様に披露されていました。

大胆予測>今後のタイムスケジュール
(クリックで拡大します)

今後のタイムスケジュール。これもプライバシーザムライの大胆予測です。

20171025_004

約1時間の説明の後、質疑応答にも時間をたっぷり取り、みなさまの疑問・質問を解消していきました。

20171025_009

最後にアンケートにお答えいただき、第一部を終了いたしました。

20171025_010

続いて、同じ建物の別会場にて第二部のスタートヾ(=^▽^=)ノ

20171025_011

みなさまと共に乾杯です

IMG_4335

ささやかですが、お料理もご用意させていただきました。

20171025_016

プライバシーザムライも楽しそうですね(笑)

20171025_015

何回かの勉強会で、すっかりみなさま顔なじみになってきました。
毎回ご参加いただき、ありがとうございます♪

20171025_014

お腹も空いてきましたよ。

20171025_018

そして、恒例の一言タイム。みなさまから日頃の取り組みや、自己紹介などして頂きました。

20171025_020

各社のみなさまの苦労話も教えていただいて、参考になります。

20171025_021

みなさま、快く一言語ってくださいました。

20171025_022

弊社に対するお褒めのことばもいただき、ただただ感謝です。
ありがとうございます。

20171025_017

ご家族、親戚のみなさん、東京で頑張ってますよ〜!

20171025_023

デザートもしっかりいただきました♪

20171025_019

日頃のお悩み、質問など、コンサルタントに気軽に質問。

20171025_024

遠くからもご参加いただき、本当に感謝いたします。

20171025_025

そして盛り上がったところで....めでたくお開きです。
今回は懇親会に参加された方々と記念写真を撮らせていただきました。
ありがとうございます♪

いかがでしたでしょうか?大人気のPマーク担当者勉強会ですが、
もう8回目となりました。みなさまから今後の勉強会に対するご意見、ご要望、
アイディアをたくさんいただきましたので、
今後の参考にさせていただきたいと思います。

不行き届きの点も多々あったかと思いますが...今後もみなさまのお役に立てる、
有意義な勉強会にしてまいりたいと思います。どうぞよろしくお願いいたします。

最後に参加者のみなさまからお答えいただいたアンケートの回答をご紹介いたします。

・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆



・いきなりのサムライでびっくりしました!

・大変勉強になりました!!サムライのつかみがおもしろかったです。

・今回も分かりやすい解説ありがとうございました。

・勉強になりました。

・端的に改正点をまとめて頂いている点がわかりやすくてとても参考になります。

・頭の整理ができましたので大変役に立ちました。

・丁寧で分かり易かったです。

・本日は不安に思っていたことが解消されました。分かりやすいお話ありがとうございました。

・今回も参考になりました。改正JISQ15001が出たら、またセミナー開催してください。

・会場が広くなりゆったり聞けて良かった。審査基準が発表されたあとのセミナーを
期待しています。

・改正JIS&審査基準が発表されたら、また同じ様な勉強会をしていただけると嬉しいです。

・正式改正が入る前のこの時期に、改正セミナー開催は貴重な情報源でした。

・まだ改正JIS Q 15001が発表される前ですが、全体的なイメージがつかめたのでよかったです。
ISMSとPMSをできるだけ結合させてシンプルにできればと考えております。

・JISが改正され、JIPDECの審査方針が公表されたら、またセミナーに参加したいと思います。

・まだ改正JIS,JIPDECの要件がはっきりしていないので、今後とも情報を発信していただければ助かります。

・前置きが親切で分かりやすかった。質疑応答が多く、有用な情報が得られた。

・みなさんの質問が大変参考になった。同じ様な事で悩んでいるようです。

・新JIS対応のPマークの導入スケジュールについて全体像が把握できました。
ありがとうございます。

・11月に更新審査なので、次は改定JISに対応することになります。
まだ何も見えて来ないので不安ですが、情報共有しつつ頑張って対応していきたいです。

・1月に更新審査を控えており、その後に改正JISへの対応に着手と考えていますが、
多くのヒントを頂きました。ありがとうございます。

・来春更新なので早めに申請したほうがよいか...と改めて思いました。

・スケジュールとして改正JISでの審査となるのでまた更新時にサポートをお願いします。

・有償でも構いませんので、プライバシーマークに関するセミナーを
定期的に実施いただければと思います。

・JIPDECの審査基準が発表されたら「対策」のための集団型勉強会
(有料で中身の濃い内容)を開いてください。

・今後またセミナーに参加したいと思います。

・とても勉強会ためになっていますので、これからもよろしくお願い申し上げます。

・機会があれば、また参加させて頂ければと存じます。

・ひき続き、近日中の勉強会の企画をお待ちしています。よろしくお願い致します。

・お話に出たe-learningサービスについて利用検討したいと思います。



・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆・‥…━━━☆


次回開催は2018年1月〜2月ごろ開催の予定です。予定が決まりましたらまたお知らせいたします!

みなさま本当にありがとうございました!




04
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

各種の報道によりますと、無線LANの暗号化技術として現在最も多く利用されているWPA2のプロトコルそのものに脆弱性が発見され、無線での通信内容を傍受される危険性があるとのことです。センセーショナルな記事が多く、実際の対策が分かりにくくなっていますので、下記に概要をまとめます。

(1)今回の脆弱性はプロトコルレベルで見つかっているため、すべての無線LAN端末(子機)で対応が必要です。Windowsは対応済み、iOS、Android、その他全てのプラットフォームでも順次修正版が出ると思われますので、アップデートが必要です。

(2)今回の問題は子機側の対応で原則として修正されるようですが、プロトコルレベルで見つかった脆弱性のため、アクセスポイント(親機)側でも順次アップデートが行われるものと思われます。各社からの情報を待って対応してください。(ただし、中継器として使用している場合は子機と同じですので、急ぎアップデート必要です)

(3)今回危険性があるのは「無線での通信内容の傍受」ですから、実際に無線機器の付近に近寄って、その電波を受信して解読した場合に限られます。
カフェでの無線LANの通信内容を傍受するとか、企業や家庭での無線LANの電波を窓越しに道路からキャッチするというようなイメージです。地球の裏側からでも攻撃されるようなものではありません。

・今回の問題は、ブラウザやメールソフトの通信内容がSSLやVPNなどで暗号化されている場合には発生しません。ネットワークレベルで傍受されても、その上のレベルで暗号化されるからです。

Windowsについては、10月10日のセキュリティアップデートで対応済みとのことです。(CVE-2017-13080)
http://www.security-next.com/086689

その他の最新情報については、下記IPAのWebページを参照してください。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

(私のコメント)
従来から無線LANについては常に危険性が警告されています。今回の問題によらず、無線LANで機密情報や個人情報を通信する場合には、通信内容をSSLやVPNで暗号化することを徹底することをおススメします。(Gmail、Facebook、Twitter、Dropbox、Salesforceなど、主要なクラウドサービスはSSLによる暗号化を実現済みです)

また、何か情報が入りましたら、皆様にシェアいたしますね。

(10月19日追記)IPAの公式スタンスが、親機側も含めて全ての機器のアップデートが必要と変わりましたので、それに合わせて内容を修正しました。


(画面はクーリエジャポンのウェブサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中 康二です。

ロシア政府による情報収集との関連が噂され、米国政府が政府機関での使用中止命令を出したカスペルスキー製品について、新しい情報が入ってきました。

なんと米国のスパイ組織であるNSAの職員の私物パソコンから機密情報が漏洩した際に、ロシアのスパイ組織によってカスペルスキーのソフトが悪用されていたというのです。

米国NSAが、世界中のWindowsパソコンやSNS、クラウドサービスなどから大規模な情報収集をしていたことがスノーデン氏の告発により明らかになりましたが、同様のことをロシアのスパイ組織はカスペルスキーのソフトを使って行っていた疑いが出てきているのです。

もちろん、カスペルスキー社はこの疑いを全面的に否定しています。しかし、同社の製品に対する信頼性が大きく揺らいでいるのは間違いないと言えると思います。


(私のコメント)
カスペルスキー製品については、私自身も信頼していて、むしろ使用を推奨してきていました。つい最近も、下記のような記事を書いたところです。


ですから、今回のニュースには少なからず衝撃を受けました。

上記にも書きました通り、アメリカもロシアも日常的にサイバー攻撃を仕掛け、情報を盗みあっています。もちろん中国もこれに参戦しています。今やこのソフトなら安心ですと言えるものが少ないのが実際のところです。

そういうことなので、カスペルスキー製品についても、今回のような記事が出たからといって過剰に反応する必要はないでしょう。ただし、国家機密を取り扱う政府関係者や、高度な企業秘密を取り扱う多国籍企業の社員などは、カスペルスキー製品の利用は避けたほうがよさそうです。同社製品の信頼性が揺らいでいます。

また、新しい情報が入りましたら、皆様にシェアしますね。
よろしくお願いいたします。







00_m
(画面はGigazineのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

Gigazineの記事によりますと、iPhoneを使ってる時に急に表示される「パスワードを入力してください」の画面が、不正アクセスによるものである可能性があるとのこと。

個人的にも「どうしてこのタイミングでパスワードを聞いてくるんだろう?」と不思議に思いながら、そのまま入力していたことが何回かありますので、もしかしたらパスワードを盗まれているかも知れませんね。

同じような心当たりのある方は、AppleIDのパスワードを変更することをお勧めします。

http://gigazine.net/news/20171011-ios-steal-password/

また、何か情報が入りましたら、皆様にシェアいたしますね。




49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




16
(画像はラック社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

セキュリティの専門会社「ラック」社では、24時間365日眠らないネットワークセキュリティ監視センター「JSOC」を運営していますが、このJSOCでは毎月1回だけ、15名限定の見学ツアーを開催しているそうです。

今後の開催予定は
●2017年12月13日
●2018年1月10日
●2018年2月14日
●2018年3月14日
となっております。

ネットワークセキュリティの現場を実際の目で見るチャンスです。興味のある方はどうぞお申し込みください。

https://www.lac.co.jp/corporate/tour/jsoc_tour.html

また、何か情報が入りましたら、皆様にシェアいたしますね。




23
(画像は個人情報保護委員会のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

個人情報保護委員会がWebサイトで公表した注意喚起によりますと、仮想通貨の取引に関連してマイナンバーの提供を求める事例が発生しているそうです。

株式や債券の取引を行う証券会社では税務処理のためにマイナンバーの提供を求めています。そこから連想すると、仮想通貨の取引においてもなんとなくマイナンバーが必要かのように思えますが、2017年10月現在、仮想通貨の取引にマイナンバーは必要ありませんし、使えません。

皆様も騙されないようにご注意ください。

https://www.ppc.go.jp/news/careful_information/

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ