プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2018年04月

IMG_2690
(画像はプライバシーマーク公式ウェブサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。


プライバシーマーク公式ウェブサイト上の案内によりますと、2018年4月1日をもってプライバシーマーク制度が制度創設20周年を迎えたそうです。

いや〜、めでたい。めでたい。
本当におめでとうございます。

これも、ひとえにJIPDECの皆さん、事業者の皆さん、審査員の皆さん、コンサル各位、それ以外の関係者の皆さんそれぞれが、力を合わせ、切磋琢磨し、この制度の維持を通して、少しでも日本の個人情報保護の水準をアップさせようと努力してきた結果だと思います。

制度創設から20年で、取得事業者は15,000社を超えました。
この制度がここまで成長するとは、20年前にこの制度を作った方々も想像されてなかったのではないかと思います。

公式ウェブサイトには、プライバシーマーク20年の歴史を遡る統計データなども掲載されておりますので、是非ご覧いただければと思います。

https://privacymark.jp/news/other/2018/0426.html

(私のコメント)

私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、今後ともプライバシーマークならびにISMSが、より良い制度となり、より発展していくよう、皆様のお手伝いを続けていく所存です。どうぞよろしくお願いいたします。

また、何か情報が入りましたら、皆様にシェアいたしますね。





20180221-1
(写真は当日開催の様子です)

いつもお世話になります。
プライバシーザムライこと、オプティマ・ソリューションズの中康二です。

2月に、「JIS Q 15001改正」に際し、プライバシーマークの審査がどうなるのか?対応方法を解説するセミナーを開催し、大勢の皆様にお集まりいただきました。

大変好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
イベント名:JIS Q 15001改正対応セミナー
内 容 : JIS Q 15001の改正に際して、プライバシーマークの審査はどう変わるのか
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
参加費 : 無料
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※PDFダウンロードはこちら
https://drive.google.com/file/d/1nHpctgVEr0lWMPovJQ-Lvmx56lShKtI-/view

なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

また、何か情報が入りましたら、皆様にシェアいたしますね。



GDPRについて
(画面は個人情報保護委員会の資料より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける個人情報保護法制が新しくなり、5月25日から「GDPR(一般データ保護規則)」が施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることをご存知の方も多いと思います。

●どんな企業が何らかの対応を求められるのか?
●対象となる企業が取るべき対策は何なのか?

これらの気になる情報について、個人情報保護委員会が分かりやすく取りまとめたものをウェブサイト上で公開していますので、本Blogでも共有します。

https://www.ppc.go.jp/files/pdf/eukojindata.pdf

(私のコメント)
既に対策を完了している会社も多いと思いますが、もしかしてまだフォローしていないという方がおられるかもしれないと思いまして、記事にしておきます。

また、何か情報が入りましたら、皆様にシェアいたしますね。




46
(画像はプライバシーマーク公式Webサイトより)

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

昨年12月に改訂されたプライバシーマークの準拠規格「JIS Q15001:2017」の中には、個人情報台帳において、個人情報の「利用期限」と「保管期限」を記載するようにとされました。

しかし、「利用期限」と「保管期限」の定義がどこにも記載されていなかったので、少し混乱が発生していました。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月18日付で、Webサイト上に掲載したよくある質問を更新し、その中で下記のとおり定義を明確にしました。

------------------------------------------------------------
(よくある質問14)
【Q】個人情報の管理台帳に記載する「利用期限」と「保管期限」の違いは何ですか。

【A】「利用期限」は、個人情報の利用の期限、「保管期限」は、個人情報を保管する期限、となります。利用が終了すると同時に保管も終了し消去する場合には、利用期限と保管期限が同じとなります。一方、利用が終了した後、一定期間保管をした後に消去する場合には、利用期限と保管期限は異なります。
------------------------------------------------------------

上記の内容に基づいて、例を挙げてみます。
●プレゼントキャンペーンを実施していて、当選者を決定し、賞品を発送して不着の処理が終わった時点で廃棄する場合には、「利用期限」も「保管期限」も同じく「不着処理終了時」となります。
●プレゼントキャンペーンを実施していて、当選者を決定し、賞品を発送して不着の処理が終わったあと、念のために半年間保管して廃棄する場合には、「利用期限」は「不着処理終了時」となり、「保管期限」は「不着処理終了後6か月」となります。
●経理書類の利用自体は通常は次回の決算処理で終了しますが、税務のために10年間保管している場合が多いと思います。この場合には「利用期限」は「決算処理まで」となり、「保管期限」は「決算後10年」となります。

まあ、書きようによっていろいろなことがあると思いますが、要は事実が明確になればいいのだと思います。また、法改正により、保管期限が終わった個人情報については、廃棄の努力義務が発生していますので、しっかりと廃棄するようにしていただきたいと思います。

https://privacymark.jp/system/operation/jis_kaisei/faq.html

(私のコメント)
これでスッキリしましたね。よかったよかった。

また、何か情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022セミナーを視聴する




FullSizeRender

(画像はギズモードより)


皆さんこんにちは。

プライバシーザムライことオプティマ・ソリューションズの中です。


シンガポールは、市内に11万本ある街灯に全て監視カメラを装備する計画を進めるとしていて、当然のことながらこの監視カメラには顔認識機能が含まれるのだそうです。


すでに中国ではこの手のシステムが大量に導入されており、治安維持などに使われているそうですが、シンガポールもそのあとを追うということのようです。


英国も監視カメラ大国と言われています。日本でも同様のシステムが導入される可能性がないとは言えません(自動車については、Nシステムで幹線道路の通行車両が記録されています)。


ネット技術を活用して、世界が監視社会になっていくことは止められない流れのようです。社会全体としてはこの動きをどのようにコントロールするか、個人としてはこれらのシステムを前提としてどのように対処するかが課題となるかなと思います。


https://www.gizmodo.jp/2018/04/singapore-face-recognition-cameras.html


また、新しい情報が入りましたら、皆さんにシェアしますね。




プレミアム・アウトレット
(画像は同社Webサイトトップ画面)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

また、個人情報流出の知らせが入ってきました。
今回のは危ない事件です。


三菱地所グループの三菱地所・サイモン株式会社は、自社が運営するアウトレットモール「プレミアム・アウトレット」の顧客の個人情報27万件が流出したと、4月14日に発表しました。

流出したのは、顧客向けメールマガジン登録者の情報で
・メールアドレスとパスワードの組み合わせ 24万件
・メールアドレスのみ 3万件
が現在も有効な内容であったとのことです。

日経XTECHの記事によりますと、今年2月に様々なWebサイトから流出したと思われる個人情報がインターネット上で公開されており、その中に同社の情報が含まれていたとのことです。

同社のWebサイト(どこで告知されているか分かりますか?)
http://www.premiumoutlets.co.jp/

プレスリリース
http://www.premiumoutlets.co.jp/pressroom/pdf/180414.pdf

日経XTECHの記事
http://tech.nikkeibp.co.jp/atcl/nxt/news/18/00777/

(私のコメント)
これは結構ヤバい事件です。メールアドレスとパスワードの組み合わせが実際に外部に流出していますので、パスワードリスト攻撃にすぐ利用できます。このリストを入手した人が、メールアドレスとパスワードを著名なクラウドサービスに流し込めば、かなりの高確率でログインできるはずです。

今回の被害者で、同社に登録していたパスワードを他のサービスでも使い回ししていた方は、その他のサービス側のパスワードを変更するべきです。今すぐにです。


一方で、同社の動きはあまりよくありません。Webサイト上での案内も正式なプレスリリースではなく、分かりにくいところに置いてあります(上記画像の右の赤枠です。いい場所ではありますがデザインになじみすぎていて緊急性が伝わりません)。流出した43万件のうち24万件が現在も有効であったと情報開示したのも得策とは思えません。残念ながら、同社は緊急性の認識が低いのではないかと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。







11
(画像はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

先日、「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜という記事を掲載しました。

米国NISTのガイドライン見直しを受けて、日本のNISCや総務省も正式に方針を転換し、長らく続いてきた「パスワードの定期的変更は必要なのか」という議論に終止符が打たれたという内容でした。

この流れを受けて、プライバシーマークの審査基準にも早速見直しが入りました。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月10日付で、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」を改訂すると発表しました。

従来、「望ましい手法の例示」に含まれていた「パスワードの有効期限を設定している」という項目を削除しました。

(改訂前)※赤枠内は削除された項目
09

(改訂後)※赤枠内は追加された項目
18

https://privacymark.jp/news/system/2018/0410.html

(私のコメント)
JIPDECの素早い動きは評価できるものと思います。次は2017年版JISに対応したガイドライン第3版がどうなるのかです。情報セキュリティの常識はどんどん変わっていきますから、安全管理の内容がどの程度アップデートされるか、注目したいです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ