プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2019年12月

マイナンバーカード電子証明書更新
(画面は役所から送られてきたパンフから)

皆さんこんにちは。
プライバシーザムライ中康二です。

政府が普及促進に躍起になっているマイナンバーカード(個人番号カード)。

一枚持っていると確かに便利です。コンビニで公的証明書が取れますし、マイナポータルにログインもできます。まだ使ってないけど確定申告のeTaxでも使えるんですよね。

あ〜、取得する時の手続きは面倒だったけど、やっぱり手続きしてよかったな〜。

と思っていたら、なんと!マイナンバーカードに入っている電子証明書の有効期限は5年間で、この更新のためにまた窓口に行かなければならないということが判明しました!

(カード自体の有効期限は10年です)

正確には電子証明書の有効期限は「発行日から5回目の誕生日まで」とのことです。

個人的なことになりますが、私はマイナンバーカードの受付が始まって一番最初に申し込んでおり、どうも2016年1月上旬が発行日になっているようです。そして私の誕生日は1月下旬なので、なんと運が悪いのか、2020年1月下旬の誕生日で電子証明書が切れてしまうようです。

区役所からお手紙が届いて、このことに気づいた次第です。

電子証明書が期限切れのまま放置していると、せっかく便利だと思っていたコンビニでの公的証明書取得や、マイナポータルへのログインも、eTaxの利用もできなくなってしまうのです。手続きには、また区役所の窓口に行かないといけないようですが、まあ行くしかないなということになります。

マイナンバーカードをお持ちの皆様も、そのうちこういうことになりますので、知っておいていただければと思います。

関連URL
https://www.kojinbango-card.go.jp/yukokigen/

また、新しい情報が入りましたら、皆様にシェアいたしますね。


個人情報保護法2020年改正・制度改正大綱

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、3年ごとに見直しを行うこととなっている個人情報保護法に関して、先日発表した制度改正大綱骨子に続き、さらに詳細な制度改正大綱を発表しました。正式には「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」という文書です。

今回の改正大綱では、下記のような法改正の内容が含まれています。

・6か月未満保有の場合も「保有個人データ」に含める
・オプトアウト規制の強化
・個人情報が漏洩した場合の「報告」と「本人通知」の義務化
・「仮名化情報」の新設
・提供先において本人が識別される場合は個人データの提供とする(提供元基準の採用)
・罰則規定の見直し
・域外適用の強化 など

同委員会としては、今回の大綱をもとに1月14日までパブリックコメントを募集し、その後、来年の通常国会への改正法案提出を目指すとしています。

国会の審議が絡みますので、見えない部分が多いですが、順調にいけば、3月〜4月頃に改正され、2021年春にも施行される可能性が高くなってきました。

個人情報保護委員会による発表
https://www.ppc.go.jp/news/press/2019/20191213/

また、何か情報が入りましたら、皆様にシェアいたしますね。


2019-12-12 14.38.53

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、3年ごとに見直しを行うこととなっている個人情報保護法に関して、その改正大綱骨子をまとめました。正式には「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」という文書です。

今回の改正大綱では、下記のような法改正の内容が含まれています。

・6か月未満保有の場合も「保有個人データ」に含める
・個人情報が漏洩した場合の「公表」と「本人通知」の義務化
・「仮名化情報」の新設
・提供先において個人データとなる場合の制限
・罰則規定の見直し
・域外適用の強化 など

同委員会としては、この骨子をもとに、年内に大綱を取りまとめ、パブリックコメントを経た上で、法改正による対応を行うものについては、来年の通常国会への改正法案提出を目指すとしています。

国会の審議が絡みますので、見えない部分が多いですが、順調にいけば、3月〜4月頃に改正され、2021年春にも施行される可能性が高くなっています。ご参考まで。

個人情報保護委員会による発表
https://www.ppc.go.jp/news/press/2019/20191129/

また、何か情報が入りましたら、皆様にシェアいたしますね。


リクルートキャリア社に対するプライバシーマーク取消の措置
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、就職希望者に対して同意を取ることなく推定内定辞退率の第三者提供を行っていた株式会社リクルートキャリアに対して、11月14日付で「プライバシーマークの付与取消し」の措置をとると発表しました。

https://privacymark.jp/news/system/2019/1114.html

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


2019-12-03 14.26.07
(画面は某銀行から届いたメール画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日から書いている記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜
フィッシング詐欺は見ただけでは見抜けない(2)〜やはり高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、
本物かどうかを知るためにはドメインを確認するしかない
ということをお書きしました。

今回はその手前、本物そっくりの詐欺メールが送られてきた場合に、
本物かどうかを知るためにはドメインを確認するしかないという話です。

昨日、私の会社のメールアドレスに、某銀行から発信されたと思われるメールが届きました。
(トップ画像がそれです)


当社では、その某銀行とお取引があります。
いただいているメールアドレスは確かにその銀行に登録してあるアドレス
と思われます。ですから、少しは心当たりはありました。
しかし、送信者アドレスは「noreply@qemailserver.com」というものでしたし、
リンク先アドレスも某銀行とは全く関係のないドメインのURLでした。

お問い合わせ先の電話番号がありましたが、
それもその銀行の正式な番号かどうか確認できませんでしたし、
お問い合わせメールアドレスのドメインも
その銀行のWebサイトとは異なるドメインでした。

もしかすると、これは不特定多数のユーザーに無差別に送信している
詐欺メールの可能性があると不審に思いました。


※もちろんこの時点で、どうせその銀行がアンケート業者のシステムを
使ってメールを送信しているんだろうという考えはありました。
しかし、確証がもてなかったので、このメールが本物なのか、
詐欺メールなのか、最後まで確認しようと思いました。

まず、送信者メールアドレスの
qemailserver.com
を検索してみました。

なんだかいろんな会社のアンケート情報みたいなサイトがヒットしました。
でもよく分からないなと思いました。

次に、リンク先アドレスのドメインである
qualtrics.com
を検索してみました。

やはりアンケートシステムを提供している会社のようです。
しかし、個人的には見たことも聞いたこともない会社です。
もしかしたらこのサイト自体が詐欺サイトの可能性があります。

もう仕方ないと思って問い合わせ先電話番号として記載されている
03-6838-****
という電話番号を検索してみました。

よくある電話番号検索サイトの情報で、
どうやらその銀行らしいということは分かりました。
しかし、そうは言っても、公式サイトでもないし、
それだけの情報で信頼することもできないですよね。

その番号に電話しようと思ったのですが、
たとえ電話して「はい。●●銀行です」と言われたとしても、
その相手が本物かどうか確認する手段もありません。

もうこの辺りで、私はかなりイライラしています。
最後にお問い合わせメールアドレスに記載されている
******-bk.co.jp
をブラウザに打ち込んだところ、何も出てきません!!!!

なんだこりゃ!
(この銀行はなぜか複数の「co.jp」ドメインを使い分けていて、
公式Webサイトと社員用アドレスのドメインが異なっていたようです)

お手上げになった私は、いつもお取引の窓口をしていただいている
その銀行の担当者に電話して聞いてみましたところ
「私たちの知らないところでアンケート調査をしているようですよ」
とのこと。

最終的に、何も確認できず、終わってしまいました。

このまま終わっては悲しいので、最後の最後に
お問い合わせ電話番号に記載されていた番号に電話し、
お名前が記載されていた担当者の方とお話ししてみました。

まあそれでも実際のところ、本物の銀行の方なのか、
偽物の詐欺集団の方なのかは分からないのですが、
しばらくお話ししてみて、総合的に本物と判断しました。

ちなみにその方がおっしゃったことには
1万社に送付して200社程度から既に回答を受け取った
詐欺メールではないかとのお問い合わせは私が2人目である
ということでした。(あくまで参考情報として)

さてさて、
何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


送信者メールアドレスやリンク先URLが、Webサイトと同じ
******bank.co.jp
であれば、まだ少しは安心して画面を開くことができたでしょう。

qemailserver.com
qualtrics.com
というような、その銀行と関係がなく、またなじみもない
ドメインでは安心して画面を開けないのです。

ということで、やはり今後は、
送信者メールアドレスやリンク先URLには自社ドメインを使う
外部のアンケートシステムなどの利用により自社ドメインが使えない場合には、
そういうメールが届くことを事前に案内しておく
などがセキュリティ的にも今まで以上に重要になってきていると思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ