プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2019年01月

2019-01-25 18.11.14
皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会が、昨年11月から全国の小学生を対象に募集していた「個人情報の大切さに関する標語」の優秀作品が決まり、1月25日に開催された個人情報保護法シンポジウムにおいて表彰式が行われました。

なんと全国の小学生883名から、2153作品の応募があったそうです。
この数は、個人情報保護委員会の呼びかけに、全国の小学校の先生が反応し、子供たちの関心も高かったことを示していると思います。

最優秀賞は「大切な ぼくの分身 個人情報」 というもので、確かに個人情報がなんであるのかを端的に表現した作品が選らばれました。

それ以外にも素晴らしい作品が選ばれてますので、下記に転記しておきます。(それぞれ作者のお名前も公表されていますが、あえてここでは記載省略させていただきます)

●最優秀賞

 大切な ぼくの分身 個人情報

●優秀賞

 かんたんに 何でもかんでも のせない教えない

 個人情報 しっかり守って 正しく使おう

 考えよう のせる写真や 文章も

 悔んでも アップしてからじゃ もうおそい

 個人情報 教えるまえに 一確認

 そのじょうほう のせるまえに かくにんを

●審査委員賞

 PPC みんなをまもる しんぱんだ
 (PPCとは個人情報保護委員会の略称です)

個人情報保護委員会キッズページ
https://www.ppc.go.jp/aboutus/kids/

標語募集結果
https://www.ppc.go.jp/files/pdf/190125_hyougo.pdf

(私のコメント)
小学生対象の個人情報保護に関する標語コンテストということで、当初私もピンと来てませんでしたが、これだけ多くの標語が集まったということで、個人情報保護に対する高い関心が感じられますね。

また、本日の個人情報保護法シンポジウムを聴講して感じたことですが、個人情報保護というテーマが、単に民間企業がどのように個人情報を活用するかという限定されたものではなく、SNSでの情報共有の問題や、特殊詐欺に使われる危険性など、どんどん領域が広がっていっていて、一人一人の生活に密接に関係するものになっている、だからこそ小学校の先生も今回の標語の呼び変えに敏感に反応したんだなという印象を受けました。

個人情報保護を仕事にしている私としても、認識を新たにする機会となり、ありがたく感じた次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




2019-01-24 18.02.44
(画面はプライバシーマーク・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

別の記事でご説明した通り、「EUと日本の間の十分性認定」が遂に発効し、EU−日本間の個人情報の国際移転の円滑化が実現しました。

これにあたって、プライバシーマーク制度を運用している(一財)日本情報経済社会推進協会(JIPDEC)・プライバシーマーク推進センターは、プライバシーマークの審査において、十分性認定の規定の適用を受ける事業者に対しては、個人情報保護委員会が定めた「補完ルール」に準じた内容で確認を行うと発表しました。

また申請書類も改訂し、「EU域内に拠点を有している事業者より移転された個人情報を取り扱う事業者様へのアンケート」という項目を追加しました。

これらの中で、特にご参照いただきたいのは「補完的ルールの対象となる事業者」についてという資料です。これはとても分かりやすく今回の対象となる事業者を説明しています。最後のページで、EU居住者から個人情報を直接取得する場合は、現地の法律に従うのが原則になるため、十分性認定は関係なく、したがって補完的ルールの対象にもならず、プライバシーマークの審査でも確認しないと明記しています。

十分性認定に関する補完的ルールへの対応について
https://privacymark.jp/system/operation/suppl_rules/index.html

「補完的ルールの対象となる事業者」について
https://privacymark.jp/system/operation/suppl_rules/pdf/supplrules_kaisetsu_add190124.pdf

個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(個人情報保護員会)
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

プライバシーマーク申請書類の様式の変更について
https://privacymark.jp/news/system/2019/0124.html

(私のコメント)
「補完的ルールの対象となる事業者」の情報は、当然のことを説明しているだけですが、間違いやすいポイントだと思います。実務的な対応として、適切な発表だと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



310122_houdou.pdf - Google Chrome 2019-01-23 13.53.52
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

以前から、何回も記事にしてきた「EUと日本の間の十分性認定」が遂に有効化され、個人情報の移転の円滑化が実現したようです。

(おさらい)
日本の新しい個人情報保護法、EUの新しいGDPRは、いずれも域外に個人情報を持ち出す際に厳しい制限を設けていますが、自国と同水準の保護法制を整備している場合には国単位で「十分性」を認定することで制限を緩和する規定を備えています。今回、日本とEUは相互に十分性を認定しました。


個人情報保護委員会は、1月22日付でプレスリリースを発表し、その中で、日本の個人情報保護員会と欧州委員会は1月23日に会合を開き、相互に十分性認定を行うとしました。

これに先立ち、個人情報保護委員会は1月18日に第85回の委員会を開催し、その中でEUが日本の個人情報保護法と同水準の個人情報保護法制を有していることを確認し、個人情報保護法24条に基づいて下記の各国を指定しました。

アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク

個人情報保護委員会のプレスリリース
https://www.ppc.go.jp/files/pdf/310122_houdou.pdf

第85回 個人情報保護委員会
https://www.ppc.go.jp/enforcement/minutes/2018/20190118/

(私のコメント)
長年時間をかけてこの日を迎えることができました。人生をかけてこの問題に取り組んでこられた個人情報保護委員長の堀部委員長もようやく肩の荷が下りた思いなのではないかと思います。ただし、十分性認定されたからと言って、GDPRへの対応を何もしなくていいということでもありません。EU居住者の個人情報を取り扱う企業としては一定の対応が必要ですので、そこは勘違いされないようにしてください。

(関連記事)
GDPRに関して不安をお持ちの日本のビジネスマンの皆様へ
http://www.pmarknews.info/kojin_joho_hogo_ho/52077513.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



69c35f13
皆さんこんにちは。
プライバシーザムライ中康二です。

ご好評をいただいている「JIS Q 15001改正セミナー」を1月29日に東京で追加開催いたします。(昨年11月に、東京と大阪で開催したのと同内容となります)

昨年8月から、プライバシーマークの新しい審査基準「JIS Q 15001:2017」(2017年版JIS)に基づいた審査が始まり、その動向が当社にも戻ってきているところです。また9月には新しいガイドラインの書籍も発売されました。

さあ、プライバシーマーク担当者としては、新方式の審査の進め方が気になることろですよね。
・実際のところ、2017年版JISに基づく審査はどのようなものなのか?
・2006年版のまま審査を受けると何が起こるのか?
・最新のガイドラインには何が書いてあるのか?ポイントを知りたい。
・JIPDECの方が2月ごろの説明会で話した内容はどのように実行されているのか?
などなど、気になる内容を皆さんと共有したいと思います。

いつも通り、プライバシーザムライが一刀両断にばっさり分かりやすく解説します。
どうぞ内容にはご期待ください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後に軽食とお飲み物をご用意してのネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、
個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

DSC_9353
(セミナー)

DSC_9353
(グループワーク)

20180621_009
(ネットワーキングタイム)

皆様、どうぞお集まりください。

************************************

タイトル:「新方式の審査を徹底解説!JIS Q 15001改正対応セミナー」
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2019年1月29日(火)16時から18時25分まで
 (ネットワーキングタイム含む)
参加費:5,000円(税込・一名様あたり・事前にお振込みいただきます)
場所:TKP新橋カンファレンスセンター
  東京都港区西新橋1丁目15-1
  大手町建物田村町ビル
●都営三田線 内幸町駅 A3出口 徒歩1分
●東京メトロ銀座線 新橋駅 8番出口 徒歩3分
https://www.kashikaigishitsu.net/facilitys/cc-shimbashi/access/ 
 
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓

btn_semlp2


皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

30

皆様、新年あけましておめでとうございます。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

2019年を迎えるにあたり、私なりの考えをまとめてお伝えしたいと思います。

(1)変革を迎えたプライバシーマーク・ISMS

プライバシーマークの準拠規格JIS Q 15001が改正されて、ちょうど一年が経過しました。
昨年8月から改正された規格に基づいた審査が始まりましたが、文書審査が25項目だけになるなど、
審査の方式自体が大きく変わり、重箱の隅をつつく審査から、お客様の状況に合わせたリスク対策が
本当に行われているのかをしっかり確認する審査への方向転換が行われました。


ISMSは、以前からそのような考え方で運用されてきていますが、2013年に規格が改正されて、
より一層その色が濃くなっています。単純に情報ごとのリスクを見積もって対策を打つだけではなく、
事業全体として、会社全体としてのリスクは何なのかを深く掘り下げて、リスク対策を実施することが
求められるようになってきています。


プライバシーマーク・ISMSについては、国内で大変普及し、
情報セキュリティ関係の認証のデファクトスタンダードとなっていますが、
一方で制度が形骸化しているとの指摘も受け続けてきました。
最近のプライバシーマーク・ISMSの動きは、これに対して制度側から
積極的に変革を起こそうという流れなのではないかと私は受け止めています。


(2)認証コンサル業界の動向

一方で、プライバシーマーク・ISMSのコンサル業界側にも動きがあります。
個人情報保護法制定当時のような高価な値付けは遠い昔の話となり、
大手コンサル会社が撤退し、当社のような小規模なコンサル会社にも
大手企業からの支援要請が相次ぐようになっています。

その中で、お客様側の工数をゼロにするという代行業者や、
助成金を使って割安に取得できることをうたうコンサルなど、
粗悪なコンサル会社がネット上で集客しています。

ただし、代行業者という存在自体がプライバシーマーク・ISMSという制度と
矛盾していることは明らかであり、審査機関としては、この存在を全面的に否定しています。
また、書類を紙やPDFファイルでのみ渡すようにして継続契約を解除できないようにするなど、
お客様の立場にから見ても非常に困った、まさに粗悪なサービスとなっています。


一方、助成金についても、各自治体の認証助成金は当社でもご紹介していますが、
雇用関係助成金を認証コンサルに適用することは制度の趣旨からいって正しいとは思えません。
商談時には助成金の獲得を約束しておきながら、実際にはそれが実行されず、
大きなトラブルになっているケースもあるようです。


認証コンサルという業界は参入が容易なのは事実ですが、
なかなか甘いものでもなく、ダークサイドに堕ちてしまう場合も多いのだと思います。

(3)当社はどこに向かうのか

さて、そのような状況の中で、私たちオプティマ・ソリューションズは、
どこに向かうのか。ここに記したいと思います。

従来、私たちは「審査に通すためのコンサル」を主に提供してきました。
「審査ではここが指摘されますよ」「審査員にはこのように対応してください」
などといったやり方です。

もちろんそれは重要なことです。今後も当社はそれを継続します。


しかし、そこには一つ欠けていたものがあります。
「お客様の情報セキュリティ水準をアップする」という考え方です。

もともと、プライバシーマーク・ISMSは、
企業・団体としての情報セキュリティ水準をアップさせるための制度です。
審査員が言うからやらなくてはいけないのではなく、
自社の情報セキュリティ水準のアップに必要かどうかという視点で意思決定するべきです。

上記の通り、審査の動向は変わってきました。
審査員も重箱の隅をつつくよりは、お客様企業にとって本当にそれが必要なのかどうかという視点で、
審査を行うようになってきます。

プライバシーマーク・ISMSともに、
・指揮命令系統の確立と体制づくり
・規程の作成
・重要情報の洗い出し
・リスク評価
・リスク対策の立案
・社員教育、社内への徹底
・内部監査でチェック
・マネジメントレビューで社長のコメントをもらう
・外部の審査機関による審査を受ける
というPDCAサイクルを回し、自社の情報セキュリティ水準をアップする制度です。

これにお客様とコンサルがタッグを組んで真剣に取り組み、
お客様が企業・団体として、より高い情報セキュリティ水準を実現する。
そしてそれを審査員が厳しい目でチェックする。

それが「本気のPマーク」「本気のISMS」です。
これが当社が2019年にやっていきたいことです。


それがお客様の求めていることであり、審査員の求めているものであり、
またコンサルとしても社会的意義のある仕事になるのだと思います。

当たり前のことを当たり前に行っていきます。
これこそが粗悪コンサルにはできないことなんだと思います。

元号も変わります。当社も変わります。
どうぞ今年もよろしくお願いいたします。


2019年1月
オプティマ・ソリューションズ株式会社・代表取締役
プライバシーザムライ中康二

12






↑このページのトップヘ