プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2023年01月

JIPDEC、メタップスペイメントに対するプライバシーマーク取消しを発表
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。

同社では、2022年1月に不正アクセスによる個人情報(クレジットカード情報含む)の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。

この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。

JIPDECからの発表
https://privacymark.jp/news/system/0127.html

メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html

(私のコメント)
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。

欠格性の判断及び措置の決定の手順
プライバシーマーク付与に関する規約
(別紙)欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

#サイバーセキュリティは全員参加
(画面はNISCのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

政府は、サイバーセキュリティ基本法が施行された2015年から、毎年2月の第一稼動日を「サイバーセキュリティの日」、2月を「サイバーセキュリティ月間」と決めて、様々な啓発活動などを開催しています。

今年も、官民の様々なサイバーセキュリティに関するイベントをこの時期に集中的に開催し、政府からも情報発信することで、国民のサイバーセキュリティに対する関心を高めようとしています。

告知サイトに「サイバーセキュリティ対策9か条」として、日常生活で注意する点を分かりやすく解説して掲載しています。

https://security-portal.nisc.go.jp/cybersecuritymonth/2023/

(私のコメント)
情報化社会の進展により、サイバーセキュリティの重要性は、日々ますます高まっています。このよういな形で政府もサイバーセキュリティの啓発を行うことの意味は大きいと思います。全国で様々なイベントが開催されるようです。皆さんも参加してみてはいかがでしょうか?

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ISO27701seminar


「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

昨年10月25日に、ISMS認証の規格であるISO27001が改訂され、
「ISO27001:2022年版」として登場してきました。

当社でも、すでに2022年版対応コンサルを開始しております。

そこで、これに関するISMS担当者勉強会を、
3月14日(火)にリモートにて開催いたします。

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

また、セミナーご説明資料に加えて、当社のISMS文書ひな形(抜粋版)や、
2022年版対応の適用宣言書など、他では入手できない資料も配布します。

なお、今回は講師からのレクチャーを聞いていただいて、
皆さんに時々実践課題をしていただいて、
気づいたことや質問をチャットに書き込んでいただく形式で進行します。’

皆さんのカメラとマイクは使用しませんので、
お気軽にご参加ください。

ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
e750a67d-s
小田一茂
オプティマ・ソリューションズ株式会社・コンサルタント
広告代理店出身
ISMS専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「ISO27001:2022年版対応セミナー」(ISMS担当者勉強会)

日時:2023年3月14日(火)
  15:20〜17:30
場所:リモート(Zoomを利用します)
内容:ISMSの審査基準であるISO27001:2022年版対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者:
 ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方
参加費:無料

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する
(本セミナーはすでに終了しており、現在見逃し配信を行っています)

皆さんのご参加をお待ちしております!
プライバシーザムライ 中康二

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

新幹線の車窓から見えた富士山
(写真は東海道新幹線の車窓から見えた富士山です)

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
 


(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
 


(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
 


(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
 


(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
 


(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
 


(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
 


(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
 


(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
 


(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
 


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ