プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2018年09月

Security Days

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

10月3日(水)から5日(金)まで、東京駅前のJPタワー(KITTE)で「Security Days Fall 2018」が開催されます。当社(オプティマ・ソリューションズ)では、前回に引き続きブース出展を行い、また今回はセッションへの登壇も行います。

ブース番号は「18」。セッションは下記となります。

10月4日 13:20〜14:00 ルームD(セッション番号D2-06)
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜

プライバシーザムライ
オプティマ・ソリューションズ(株)
代表取締役 中 康二(プライバシーザムライ)
※セッションはすでに満員となっていますが、出席されたい方は下記のご来場予約画面URLから当社にご連絡ください。


三日間の会期中、会場に説明員を配置し、情報セキュリティのための体制づくり、ISMS、プライバシーマークなどに関して、気軽にご相談いただけるように対応いたします。ぜひ事前予約のうえ、お越しください。

「Security Days Fall 2018」参加登録
https://www.f2ff.jp/secd/2018/fall/ (登録無料)

当社ブースへのご来場予約画面URL
https://www.optima-solutions.co.jp/event

(私のコメント)
私も三日間、会場にいる予定です。ぜひ会場でお会いしたいと思いますが、会期中、結構ウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!



UBER
(画像は日経新聞社ニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

米国ライドシェア大手の「Uber」社は、2016年に発生した大規模な個人情報流出事件を1年間隠ぺいしていた事件に関して、全米50州と総額1億4800万ドル(約170億円)の和解金を払うことで合意したとのことです。情報流出に関連する和解金としては米国で過去最大規模とのこと。

Uber社に関しては、当時から不祥事が相次いでおり、本件は経営陣が交代した後に発覚したもののようです。

https://www.nikkei.com/article/DGXMZO35808780X20C18A9TJ2000/

(私のコメント)
個人情報の取り扱いにおける違法行為に関して、今回のように多額の制裁が課せられることは、すでに米国や欧州では当たり前のこととなっています。欧州でのGDPR全面施行も話題になりましたが、海外にもビジネス展開されている場合には、より一層、しっかりした個人情報保護対策が求められることを意識していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




IMG_7949

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

日本規格協会から出た書籍「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」を入手いたしました。これは「JIS Q 15001:2017」に対応した「JIPDECガイドライン」にあたり、審査での判断基準として重要な文書になりますので、内容をチェックし、皆様に共有しますね。

JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック
一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター 編
価格:4,860 円(税込)
発売年月日: 2018-09-14
ISBN:9784542305465
商品コード:330546


今回も、第一部でPDCAサイクルをどのように構築するかを記載し、第二部で規格本文、審査基準に解説を加えていくという構成は同じです。下記のように、第二部の記載順が少しだけ変わっています。

GL第二部の変更点

(今回のガイドライン第二部)
(1)JIS Q15001・附属書Aの内容(JISとして販売されているもの)
(2)審査基準と留意事項(PDFで無償公開されているもの)
(3)規格との関係(新旧対応表・対応箇所・法令等との関係)
(4)実施上のポイント(概要・注意事項)

なお、(1)は販売されており、(2)は無償配布されており、(3)はあまり意味のない内容になっています。すなわち、この書籍で最も意味があるのは(4)の「実施上のポイント」です。ここの内容が今回ほとんど新しく書き直されており、審査基準の解説になっています。

例をあげると、「実施上のポイント」には
・内部向けと外部向けの2種類の個人情報保護方針を作成しなければならないのか。
・プライバシーマークの取得・運用代行業者を使うことは、資源、役割、責任及び権限との関係においてどう判断されるか。
・従業者の採用後の健康診断書の取得に、本人の同意が必要かどうか。
・健保組合や年金基金、金融機関は委託先に含まれるのかどうか。
・定期教育に関して、全員同じ内容でなければいけないのかどうか。産休の社員に教育をしていないとプライバシーマークの更新ができないのかどうか。
というような情報が含まれており、これらの情報はこのガイドライン以外では入手できないものだからです。

なお、安全管理に関する内容は大幅に削減されています。物理的安全管理措置、技術的安全管理措置などの項目は全くなく、単にリスクに応じた対策をしっかりやるようにという内容になっています。

https://webdesk.jsa.or.jp/books/W11M0100/index/?syohin_cd=330546

(私のコメント)
というわけで、やはりプライバシーマークの仕事をされている人であれば購入して読んでおくに越したことはないなと思います。以前よりも高額の価格設定となっていますし、今後しかるべき時期に、無償PDF版が提供されるのではないかと思いますが、それでもまあ早めに購入して読むことをお勧めします。

また、何か情報が入りましたら、皆様にシェアいたしますね。




2018-09-13 12.59.46
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

以前から、何回も記事にしている「EUと日本の間の十分性認定」の件ですが、動きがあったようですので、情報共有しておきます。

(おさらい)
日本の新しい個人情報保護法、EUの新しいGDPRは、いずれも域外に個人情報を持ち出す際に厳しい制限を設けていますが、自国と同水準の保護法制を整備している場合には国単位で「十分性」を認定することで制限を緩和する規定を備えています。日本とEUは何年もかけて相互に十分性を認定するための作業を進めてきており、それが遂に実ることになります。


個人情報保護委員会は、9月6日付でプレスリリースを発表しました。その中で、欧州委員会が9月5日に日本に対する十分性認定手続きを開始すると閣議決定したこと、日本もEU側の十分性認定の決定に合わせて逆向きの十分性認定を行うこととしています。

また、これに先立ち、個人情報保護委員会は「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」 を発表しており、このルールを施行することがEUから十分性認定を受ける条件となっています。

※この補完的ルールは、もともと「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)」という名称で今年4月25日からパブリックコメントが募集されていたものでした。パブリックコメントの後、主にEU側からの要望に基づいてタイトルが変更されたものです。

個人情報保護委員会による報道発表
https://www.ppc.go.jp/news/press/2018/20180906/
個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

(関連記事)
GDPRに関して不安をお持ちの日本のビジネスマンの皆様へ
http://www.pmarknews.info/kojin_joho_hogo_ho/52077513.html
日本とEU、双方向で個人情報の取扱いに関する「十分性認定」を行うことで基本合意
http://www.pmarknews.info/kojin_joho_hogo_ho/52076413.html
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に。
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
この手のものは何段階にもステップを踏んで進んでいきますので、どこで決定と認識するか難しいのですが、もうここまでくれば、十分性認定は決定と考えてよいと思います。ただし、十分性認定されたからと言ってGDPR対応は何もしなくていいということでもありません。EU居住者の個人情報を取り扱う企業としては一定の対応が必要ですので、そこは勘違いされないようにしてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。






JIPDECからも正式発表出ました。
https://privacymark.jp/news/other/2018/0904.html
ただし、PDF無償ダウンロード提供の案内はありません。
前回と同様に、書籍の発売から少し期間をおいてから提供開始する可能性があります。
(前回の経緯)
http://www.pmarknews.info/archives/51576087.html
http://www.pmarknews.info/archives/51576421.html
http://www.pmarknews.info/archives/51588318.html


330546
(画面は日本規格協会Webサイトから)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

日本規格協会のWebサイト上で、「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」という書籍の発売がアナウンスされています。

JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック
一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター 編
価格:4,860 円(税込)
発売年月日: 2018-09-14
ISBN:9784542305465
商品コード:330546

2017年にJIS Q 15001が改正されたことに伴い、プライバシーマーク審査基準である改訂「プライバシーマーク付与適格性審査基準」が2018年に公開されました。本書は、この審査基準の改訂を受け、前版として2010年に発行した『JIS Q 15001:2006をベースにした 個人情報保護マネジメントシステム実施のためのガイドライン[第2版]』から内容を新たにし、JIS Q 15001:2017により個人情報保護マネジメントシステムを導入し実践するための手引き、及びプライバシーマーク審査の準備に資することを目的としています。


ということですので、これが、今回の新しい「JIS Q 15001:2017」に対応した「JIPDECガイドライン」ということになるようです。審査での判断基準として重要な文書になるものと思われます。

日本規格協会での案内
https://webdesk.jsa.or.jp/books/W11M0100/index/?syohin_cd=330546
Amazonでの販売ページ
http://amzn.asia/d/4Z63yCy

(私のコメント)
以前よりも高額の価格設定となっています。前回同様に、おそらく書籍発売日の前後に無償PDF版が提供されるのではないかと思います。書籍の形式で入手したい方には予約をお勧めしますが、そうでない場合はPDF版が出るのを待つのがいいのではないかと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。







↑このページのトップヘ