プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: ISMS認証

2023-09-22_09h38_31
(画像はJIS Q 27001:2023の表紙です)

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年10月にISMS認証の審査基準である国際規格ISO27001が改訂され「ISO27001:2022」となりました。これを受けて、日本産業規格のJIS Q 27001の改訂作業が行われてきましたが、ようやく作業が完了し、9月20日に「JIS Q 27001:2023」が正式に発表されました!

なお、JIS Q 27001:2023の正式名称は
------------------------------------------------------------
情報セキュリティ,サイバーセキュリティ及びプライバシー保護−
情報セキュリティマネジメントシステム−要求事項
JIS Q 27001:2023(ISO/IEC 27001:2022)
------------------------------------------------------------
となりました。今回から、「情報セキュリティ」「サイバーセキュリティ」「プライバシー保護」が目指すものの3本柱となるようです。

内容としては、理論上ISO27001:2022と同じものですので、既に発表されているISO27001:2022またはその対訳版と変わってはいません。主な改訂ポイントは

(1)規格本文は微調整のみです。

ISO27001は前回から「共通テキスト」と呼ばれる上位規格に合わせるものとなっており、今回もその見直しを反映して微調整されているだけです。

(2)附属書Aが全面的に書き換えされました。

最新の情報セキュリティの動向に対応するため、新たな管理策を11個盛り込みました。
既存の項目を再整理し、総数を114個→93個に絞り込みました。
管理策(セキュリティ対策の項目)が、「組織的」「人的」「物理的」「技術的」の4つに再構成されました。

となっています。

JIS Q 27001:2023は、JSA(日本規格協会)から有償で購入(冊子版、PDFダウンロード)できるほか、JISC(日本産業標準調査会)のWebサイト上で無償で閲覧できます。

JSA(JIS Q 27001:2023)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+27001%3A2023

JISC(JIS検索)
https://www.jisc.go.jp/app/jis/general/GnrJISSearch.html
(「Q27001」と検索してください。ユーザー登録が必要です)

(私のコメント)
待望のJIS Q 27001:2023が登場しました。これで日本語での表記も固まり、皆様の移行対応もさらに加速できるのではないかと思います。

※なお、本ページでご案内している「ISO27001:2022年版対応セミナー」見逃し配信は、3月に開催したものですが、今回のJIS改訂対応の内容も含むものとなっておりますので、どうぞ参考になさってください。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

注目の「ISO27001:2022年版対応セミナー」見逃し配信を実施中!

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2023年3月に開催した「ISO27001:2022年版対応セミナー(ISMS担当者勉強会)」。

当社のISO27001:2022年版対応コンサルの開始を契機として、最新情報をを共有する場として開催させていただきました。

皆さんの関心にあったテーマということもあり、全国から数多くのISMSの実務担当者の皆様にリモート参加していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また当日の説明に使用した資料のダウンロード提供も行いますので、参考にしていただきたいと思います。
(なんと2022年版に対応した適用宣言書のフォーマットエクセルファイルの提供も行います!)
2022年版に対応した適用宣言書のフォーマットエクセルファイル

--------------------------------------------------------
タイトル:「ISO27001:2022年版対応セミナー(ISMS担当者勉強会)」見逃し配信
講 師 : プライバシーザムライ・中康二、弊社コンサルタント・小田
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

ご視聴いただくには、お申し込みが必要です。
下記のボタンからお申し込みください。

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

ISO27701seminar


「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

昨年10月25日に、ISMS認証の規格であるISO27001が改訂され、
「ISO27001:2022年版」として登場してきました。

当社でも、すでに2022年版対応コンサルを開始しております。

そこで、これに関するISMS担当者勉強会を、
3月14日(火)にリモートにて開催いたします。

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

また、セミナーご説明資料に加えて、当社のISMS文書ひな形(抜粋版)や、
2022年版対応の適用宣言書など、他では入手できない資料も配布します。

なお、今回は講師からのレクチャーを聞いていただいて、
皆さんに時々実践課題をしていただいて、
気づいたことや質問をチャットに書き込んでいただく形式で進行します。’

皆さんのカメラとマイクは使用しませんので、
お気軽にご参加ください。

ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
e750a67d-s
小田一茂
オプティマ・ソリューションズ株式会社・コンサルタント
広告代理店出身
ISMS専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「ISO27001:2022年版対応セミナー」(ISMS担当者勉強会)

日時:2023年3月14日(火)
  15:20〜17:30
場所:リモート(Zoomを利用します)
内容:ISMSの審査基準であるISO27001:2022年版対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者:
 ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方
参加費:無料

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する
(本セミナーはすでに終了しており、現在見逃し配信を行っています)

皆さんのご参加をお待ちしております!
プライバシーザムライ 中康二

(追記)2023年10月20日にJIS Q 27001:2023が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52176787.html

ISO27001:2022
(画像はISO27001:2022の表紙です)

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001が改訂され、「ISO27001:2022」として、10月25日に正式発表されました(まだ英語版だけです)。本記事では、これに関する最新情報をまとめて、皆様にお知らせします。

なお、正式名称は
------------------------------------------------------------
ISO/IEC 27001:2022
情報セキュリティ,サイバーセキュリティ,プライバシー保護−情報セキュリティマネジメントシステム−要求事項
Information security, cybersecurity and privacy protection - Information security management systems - Requirements
------------------------------------------------------------
となりました。今回から、「情報セキュリティ」「サイバーセキュリティ」「プライバシー保護」が目指すものの3本柱となるようです。

(1)今回の改訂は、附属書Aの全面書き換えです。

今回の改訂は、最近の動向を反映させて、附属書Aを全面的に書き換えることを目的として行われたようです。

管理策(セキュリティ対策の項目)が、「組織的」「人的」「物理的」「技術的」の4つに再構成されました。

また、それぞれの管理策も似たような内容のものが集約/統合され、「クラウドサービス」「データマスキング(匿名化/仮名化)」「ウェブフィルタリング」「セキュアコーディング」など、最新の情報セキュリティの動向や各国の個人情報保護法制などを反映したものが新たに追加されました。

結果として管理策の総数は114個から93個に減少しました。

(2)規格本文はほとんど変わりません。

まだよく精査できていませんが、ISO27001の規格本文はほとんど変更なしです。

というのも、現在のISO27001は、ISO9001(品質)やISO14001(環境)など、同様のマネジメントシステム規格と共通の構造をもつ「共通テキスト」が採用されているため、ISO27001単独で変更できなくなっているからです。

(3)猶予期間は3年間あります。急いで対応する必要はありません。
ISMS審査移行計画
(画像はISMS-ACの公式Webサイトより)

移行計画について、日本のISMS認証制度を運用しているISMS-ACから正式発表されました。

新しいISO27001:2022に基づく審査は、認証取得審査/移行審査の双方について、正式発表された10月25日から(制度上は)開始されているとのことです。

そして、古いISO27001:2013に基づく認証取得審査は10月25日の月末を起点として1年間続けられるとのことです(2023年10月31日が最後)。

認証取得済みの組織に対しては、3年間の移行期間が設けられ、10月25日の月末を起点として3年間のうちに移行審査を受ける必要があるとのことです(2025年10月31日が最後)。

日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ISO/IEC 27001:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27001%3A2022
(対訳版は11月中に出るそうです)

ISMS-ACによる移行計画の説明
https://isms.jp/topics/news/20221025.html

(私のコメント)
結論として、今回は、附属書Aが全面改訂されましたので、適用宣言書も全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ですから、すでにISMS取得済みの組織の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

ISMS認証取得事業者数推移

皆さんこんにちは。
プライバシーザムライ中康二です。

ISO27001を基準とする認証制度「ISMS認証」を国内で運用している一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、国内での認証登録組織数が7000件を超えたと発表しました。

ISMS-ACによると、直近の2年9か月で約1,000件増加したとのことです。

https://isms.jp/topics/news/20220901.html

(私のコメント)
国内におけるISMS認証の登録件数は、情報セキュリティに対する社会的な関心の高まりを反映し、順調に増加し続けています。当社にも連日、数多くのお問い合わせをいただいており、誠にありがとうございます。

当社では、「ISMS認証とは何なのか」「スムーズに取得するにはどうすればいいのか」などをわかりやすく解説するWebセミナーを毎月定例で開催しております。詳しくは下記をご参照ください。

ISMS認証取得セミナーに参加する

また、ISMS認証取得済みの方を対象に、ISO27001:2022年版対応を開設するセミナーを開催いたします。どうぞご参加ください。

10月18日セミナー


この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

10月18日セミナー

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

先日も本Blogでご案内いたしましたが、ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。

今回の改訂ポイントは下記の3点です。
(1)改訂されるのは、ほぼ附属書Aのみ
(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」に再構成
(3)猶予期間は3年間

そこで、これに関するISMS担当者勉強会を、
10月18日(火)に新橋で開催したいと思います。

久しぶりのリアル開催です。
もちろん感染対策には十分に配慮して開催いたします。
(恐縮ですが有償セミナーとさせていただきます。
 当社サービスをご契約いただいているお客様は無償ご招待)

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答+ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消!
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、新旧対応表/新しい適用宣言書など、他では入手できない資料も配布します。

ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「ISO27001:2022年版対応セミナー」(ISMS担当者勉強会)

日時:2022年10月18日(火)
  14:20〜16:30 第一部 セミナー
  16:30〜17:30 第二部 質疑応答&ネットワーキングタイム
場所:TKP新橋カンファレンスセンター
  東京都千代田区内幸町1丁目3-1 幸ビルディング
内容:ISMSの審査基準であるISO27001:2022年版対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者:
 ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方
参加費:一社10,000円(1社2名様まで)
※当社サービスをご契約いただいているお客様は無償でご招待させていただきます。

※お申込みいただいた方にお振込み先をお知らせいたします。

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する
(本セミナーは終了しております。これは同じテーマのセミナーの見逃し配信です)

皆さんと会場でお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

(追記)2023年10月20日にJIS Q 27001:2023が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52176787.html

(追記)2022年10月25日にISO27001:2022が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52164620.html


「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

ISO27001:2022附属書A予想版
(画像はISO27001:附属書A予想版より)

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。このことについて、皆様に情報をまとめてお知らせしたいと思います。

(1)改訂されるのは、ほぼ附属書Aのみです。

今回の改訂は、附属書AのもとになっているISO27002の改訂に基づくもので、ISO27002:2022は既に2月に正式発表されたものです。この改訂に合わせて、ISO27001の附属書Aが改訂されるということです。ですから、改訂されるのはほぼ附属書Aのみであり、既にほとんど内容は確定しています。

なお、規格本文は、ISO9001などと同じフォーマットになっており、勝手に変更することもできないようで、わずかな修正となるようです。

(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」の区分に再構成されます。

詳細は、ISO27001:附属書A(予想版)を見ていただきたいのですが、今回の改訂では、附属書Aの管理策(セキュリティ対策の項目)が、おなじみの「組織的」「人的」「物理的」「技術的」の区分に再構成され、大変分かりやすく整理されました。

内容的には、前回の改訂時には盛り込まれていなかった「クラウドサービス」という言葉が盛り込まれたり、各国の個人情報保護法制に対応するべく「データマスキング(匿名化/仮名化)」という概念を含めたり、また「テレワーク」が「リモートワーク」になるなど、現在の情報セキュリティを取り巻く変化に対応するものとなっています。

また、以前からある管理策も、似たような内容のものは統合/集約されており、最終的に管理策の総数は114個から93個に減少しました。

(3)猶予期間は3年間あります。急いで対応する必要はありません。

ISO27001:2022の正式発表は、10月になる見込みで、(ISMSの前例に基づくと)理論上はその日から対応した審査が開始されることになると思われます。

いや、日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ただし、猶予期間が3年間設定されることになりそうです。つまり、2022年10月に新規格が出たとして、2025年10月の審査までに対応できればいいということになります。

また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ISO/IEC 27002:2022
https://www.iso.org/standard/75652.html

ISO/IEC 27002:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27002%3A2022

(私のコメント)
最後にも書きましたが、すでにISMS取得済みの事業者の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

Pマーク/ISMS担当者の会

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日リモート開催しましたPマーク/ISMS担当者勉強会には、
200名を超える皆様にご参加いただき、
誠にありがとうございました。

また、第二部のリモート懇親会にも多くの方にご参加いただき、
Pマーク/ISMS担当者同士で意見を交換していただくことができました。

参加していただいた皆様には、それぞれ満足していただけたものと思います。

私としては、この集まりを今後も継続していきたいと思っております。
そのためにも日常的な交流の場が必要ではないかということで、
このたび、Pマーク/ISMS担当者のためのFacebookグループを開設いたしました。

参加資格としては、
・プライバシーマーク取得済み事業者のご担当者様、または役員の方
または
・ISMS認証取得事業者のご担当者様、または役員の方
とさせていただきます。

グループのURLは下記のとおりです。

https://www.facebook.com/groups/pmarkisms

ぜひ、このグループをご活用いただくことで、
皆様同士の交流をさらに促進できればと思います。


この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

基礎からわかるISMS取得セミナー(ISO27001)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では「基礎からわかるISMSセミナー」を定期開催しております。
(もともとは東京国際フォーラムでリアル開催しておりましたが、新型コロナ以降、リモート開催に切り替えております)

開催時に収録した動画を公開しておりますが、内容が少し古くなってきましたので、最新版に差し替えて、公開いたしました。

--------------------------------------------------------
タイトル:
「基礎からわかるISMSセミナー」
〜Pマークとの違いから、最新のクラウドセキュリティ認証まで〜
講 師 : プライバシーザムライ・中康二
   セキュリティ博士・大塚晃司(当社コンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_isms_seminer2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

押印欄

皆さんこんにちは。
プライバシーザムライ中康二です。

リモートワークの活用が広がるにつれて、
プライバシーマークやISMSの運用記録についても、
紙を原本とするのではなく、電子ファイルを原本として
そのまま運用したいとお考えの方が多いと思います。

しかし、実際にはどのようにすればいのでしょうか?
担当者印、承認印などの「押印欄」はどうするべきなのでしょうか?
このあたり、お悩みの方が多いと思いますので、今回は当社で実践し、
お客様にもオススメしている簡便な方法をご紹介したいと思います。

答えとしては、下記のようになります。
(1)エクセルやワードなど、記録を作成するのに使用するファイル
そのものを原本とする。(別途PDFを作成したりしない)
(2)押印欄をそのまま残し、そこに氏名と日付を入力することで押印に代える。

※そうすると、上記のタイトル画像のようになります。

え?それだけでいいの?とお感じの方もおられると思いますが、
プライバシーマークやISMSの審査において、
この方法では不足すると指摘を受けたことは私の知る限りありません。
(もちろん審査員が何を言うかは分かりませんから保証はできませんけどね)

この方式の場合、押印の場合と異なり、
代理で入力することも容易になりますから、
確かに運用が形骸化するという危険性はあります。

しかし、PMS/ISMS文書は、やはり会社の公式文書ですから、
野放図な運用は許されません。
しっかりとその人にキーボード操作していただいて、
名前と日付を入力していただくことを徹底していただきたいと思います。

この情報が皆様にとって何かの参考になればと思います。

また、役立つ情報があれば、皆様にシェアいたしますね。


virus_corona
皆様、あけましておめでとうございます。
プライバシーザムライ中康二です。

新年早々、この話題をしたくなかったのですが、
新型コロナの流行に伴う緊急事態宣言が首都圏1都3県を対象に
政府から出されました。

また大阪や愛知などにも対象地域は広がっていくことが予想されます。

今回の緊急事態宣言では、飲食の場面や大規模イベントへの対応が中心であり、

一般的な生活の場面においては
・不要不急の移動の自粛
・夜8時以降の外出の自粛

ビジネスの場面においては
・テレワークの推進
・20時以降の勤務抑制

といった、比較的緩やかな制限となっています。

さて、プライバシーマーク/ISMSの審査機関の対応はどうなるのか、
気になりますね。

昨年春の緊急事態宣言の際には、
プライバシーマークの現地審査/ISMSの審査は
「3つの密」に当たる可能性が高いとされ、ほぼ全面的な停止に追い込まれました。

そこで、各審査機関では、3つの密を避けるための対策として
・審査員の健康管理
・手洗い、マスクの着用、ソーシャルディスタンスの確保
・会議室の換気、出席者の制限
・リモート審査の対応
などを実施し、審査業務の再開にこぎつけたという経緯があります。

中でも、リモート審査については、審査機関により対応は様々ですが、
・審査の一部をリモートに切り替える
・来社してほしくないと希望する事業者の審査をリモートに切り替える
・更新/継続の審査をリモートに切り替える
・全ての審査をリモートに切り替える
などの順番で少しずつ対象範囲を拡大してきているところです。

ISMSは、新型コロナが流行する前から、リモート審査の制度があり、それの適用例を増やすことで対応しました。

一方、プライバシーマークにはリモート審査の制度がありませんでしたが、今回を機会に新たに制度を作って対応しているところのようです。(新規取得のフルリモート審査は、まだやっていないようです)

これまでのところは、ISMSの審査機関の方がリモート審査に柔軟に取り組んでいて、プライバシーマークが後から追いかけるような形で対応が進んできたかなと思います。

さて、今回の対応です。

(1)プライバシーマーク審査機関の対応

プライバシーマーク制度を運営しているJIPDECは、1月7日付でFAQを更新しました。

https://privacymark.jp/system/operation/covid-19/index.html
緊急事態宣言に対するJIPDECの対応
これによると、「審査の中断はしない」「感染防止策を徹底して審査を実施する」
とのことです。感染防止策の中には当然リモート審査も含まれます。

また、コロナ対応のために申請が遅れた場合の対応について、
昨年は「審査期限を有効期限まで延長する」との対応を取っていましがが、
今回はそのような一律の対応は行わず、審査機関に個別に申し出るようにとされています。

(2)ISMS審査機関の対応

ISMS審査機関としても、今回の緊急事態宣言に対応して審査を停止するのではなく、過去半年間の経験を元に、リモートワークを含む感染防止策をしっかりと実施した上で、審査を継続するということのようです。

あまり具体的な話ができず、恐縮ですが、今のところ分かった情報を元に、まとめてみました。

自社がどういう対応を受けるのか知りたい、または困ったことがあるので対応してほしいなどについては、皆様が審査を頼んでいる審査機関に個別に確認してみることをオススメします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


新しい添付ファイル送信方式
皆さんこんにちは。
プライバシーザムライ中康二です。

先日、「当社は暗号化ZIPファイル添付/パスワード別送(PPAP)をやめることにしました」という記事を掲載したばかりですが、そのPPAP方式が政治の世界で取り上げられて話題になっています。

・平井デジタル相が「デジタル改革アイデアボックス」を開設(10月9日)
・「PPAP(暗号化zipの添付廃止)」というアイデアが掲載される(10月10日)
・そのアイデアが最も高い評価を維持する
平井デジタル相が「政府としてのPPAP全廃」を発表(11月16日)

この流れは政府だけではなく、民間にも当然流れてくるわけです。
平井大臣の発表の直後に、こんな事がありました。

・JIPDEC/Pマーク推進センターが、PPAPについて「従来から推奨していない」と発表(11月18日)

「プライバシーマークの審査にはPPAP方式が必須」と考えていた多くの人々に、驚きを持って受け止められたようです。

ただし、全廃後どうするんだという話に関しては、平井大臣も「当面はパスワードを電話などで伝える」「アイデアボックスで募集する」などとしており、答えが出ていません。民間企業の皆さんの中でも、今後どうするべきかお困りの方が多いことと思います。

そこで、私プライバシーザムライが、現在考えられるPPAPの代替案を大胆に提案いたします。機密性の低いものからレベルを分けて説明しますので、是非ご覧になってください。
(0)添付ファイルは使わず、本文に必要事項を記載して送る

これ実は大事な話です。そもそもその添付ファイル必要ですか?ということです。

ミーティングの開催案内とか、面会記録とか、テキストで表現できるものは添付ファイルとせずに、本文に内容を記載して送信すればいいのです。
(1)機密性の低い場合はZIP暗号化せず、そのまま添付ファイルとして送る

次も大事な話です。そもそも電子メールに暗号化必要ですか?ということです。

電子メールはバケツリレー方式で送信されるからどんな管理者の元を通過するかわからない(メールの内容はハガキの裏面と同じで、配達員に見られるもの)と言われてきました。しかし、それは古い常識です。今やほとんどの電子メールは自社のメールサーバーから相手のメールサーバーに直送され、その間の通信はTLSで暗号化されています。また電気通信事業者には通信の秘密の義務もあります。本文も含めて電子メールの内容が漏れるようなことがあれば、大きなニュースになっていることでしょう。

自社のサービス案内、公開講座のプレゼン資料など、機密性が低いものについては、暗号化など行わずにそのまま添付ファイルとして送りましょう。
(暫定2)どうしても暗号化ZIPファイルを添付したい場合は、パスワードをメール以外の方法で送る

従来どおり暗号化ZIPファイルを作成して添付ファイルとして送信したい場合には、パスワードを、SNSのチャット機能/携帯のショートメッセージなど、メール以外の全く別の方法で送信する。パスワードはあらかじめ二者間で決めておけば、毎回変更しなくてもOK。

※これが暫定2となっている理由は、そもそも暗号化ZIPがウイルスフィルターを通過し、emotetなどで悪用されているため、世界的に見直されようとしているからです。
(2)機密性が中くらいのファイルは、旧宅ふぁいる便のような仕組みで送付する

ファイルサイズが大きいものや、社外秘の資料などについては、使い捨てURL/使い捨てパスワードのストレージサービス(旧宅ふぁいる便みたいなサービス)を使って送信する。URLもパスワードも同一メールで送信してよい。一定期間が過ぎるとサーバー上のファイルは削除する。
(3)機密性の高いファイルは、しっかりとした認証機能のついたストレージサービスなどで二者間共有する

個人データベースになるようなファイルとか、技術ノウハウ、未発表のリリース文など、機密性の高いものについては、しっかりとした認証機能付きのストレージサービス(例:Googleドライブ、Dropbox、Boxなど)上に置き、送付先にアクセス権を付与することでダウンロードしてもらうようにする。ただしこの方法では、先方がそのサービスのアカウントを持っているかなど、事前に合意と調整が必要となる。

いろいろ考えてみましたが、代替案としては、このようになるかなと思います。

これらを企業内で実践する際には、(2)(3)について、無料/有料いずれを利用するにせよ、社員に勝手に選ばせるのではなく、システム管理者が一定の指針を出して、どのサービスを利用するのか選定する必要があると思います(そうでないと新たなシャドーITを作り出してしまいます)。

参考までに当社では
(2)として「HENNGE Secure Transfer」(HENNGE Oneのライセンスに含まれているもの。本記事のタイトル画像がそれです)
(3)として「Googleドライブ」(Google Workspaceのライセンスに含まれているもの)
を利用する方針です。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ