プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: ISMS認証

ISO27001:2022
(画像はISO27001:2022の表紙です)

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001が改訂され、「ISO27001:2022」として、10月25日に正式発表されました(まだ英語版だけです)。本記事では、これに関する最新情報をまとめて、皆様にお知らせします。

なお、正式名称は
------------------------------------------------------------
ISO/IEC 27001:2022
情報セキュリティ,サイバーセキュリティ,プライバシー保護−情報セキュリティマネジメントシステム−要求事項
Information security, cybersecurity and privacy protection - Information security management systems - Requirements
------------------------------------------------------------
となりました。今回から、「情報セキュリティ」「サイバーセキュリティ」「プライバシー保護」が目指すものの3本柱となるようです。

(1)今回の改訂は、附属書Aの全面書き換えです。

今回の改訂は、最近の動向を反映させて、附属書Aを全面的に書き換えることを目的として行われたようです。

管理策(セキュリティ対策の項目)が、「組織的」「人的」「物理的」「技術的」の4つに再構成されました。

また、それぞれの管理策も似たような内容のものが集約/統合され、「クラウドサービス」「データマスキング(匿名化/仮名化)」「ウェブフィルタリング」「セキュアコーディング」など、最新の情報セキュリティの動向や各国の個人情報保護法制などを反映したものが新たに追加されました。

結果として管理策の総数は114個から93個に減少しました。

(2)規格本文はほとんど変わりません。

まだよく精査できていませんが、ISO27001の規格本文はほとんど変更なしです。

というのも、現在のISO27001は、ISO9001(品質)やISO14001(環境)など、同様のマネジメントシステム規格と共通の構造をもつ「共通テキスト」が採用されているため、ISO27001単独で変更できなくなっているからです。

(3)猶予期間は3年間あります。急いで対応する必要はありません。
ISMS審査移行計画
(画像はISMS-ACの公式Webサイトより)

移行計画について、日本のISMS認証制度を運用しているISMS-ACから正式発表されました。

新しいISO27001:2022に基づく審査は、認証取得審査/移行審査の双方について、正式発表された10月25日から(制度上は)開始されているとのことです。

そして、古いISO27001:2013に基づく認証取得審査は10月25日の月末を起点として1年間続けられるとのことです(2023年10月31日が最後)。

認証取得済みの組織に対しては、3年間の移行期間が設けられ、10月25日の月末を起点として3年間のうちに移行審査を受ける必要があるとのことです(2025年10月31日が最後)。

日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ISO/IEC 27001:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27001%3A2022
(対訳版は11月中に出るそうです)

ISMS-ACによる移行計画の説明
https://isms.jp/topics/news/20221025.html

(私のコメント)
結論として、今回は、附属書Aが全面改訂されましたので、適用宣言書も全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ですから、すでにISMS取得済みの組織の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ISMS認証取得事業者数推移

皆さんこんにちは。
プライバシーザムライ中康二です。

ISO27001を基準とする認証制度「ISMS認証」を国内で運用している一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、国内での認証登録組織数が7000件を超えたと発表しました。

ISMS-ACによると、直近の2年9か月で約1,000件増加したとのことです。

https://isms.jp/topics/news/20220901.html

(私のコメント)
国内におけるISMS認証の登録件数は、情報セキュリティに対する社会的な関心の高まりを反映し、順調に増加し続けています。当社にも連日、数多くのお問い合わせをいただいており、誠にありがとうございます。

当社では、「ISMS認証とは何なのか」「スムーズに取得するにはどうすればいいのか」などをわかりやすく解説するWebセミナーを毎月定例で開催しております。詳しくは下記をご参照ください。

ISMS認証取得セミナーに参加する

また、ISMS認証取得済みの方を対象に、ISO27001:2022年版対応を開設するセミナーを開催いたします。どうぞご参加ください。

10月18日セミナー


この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

10月18日セミナー
ISMS担当者勉強会に参加する
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

先日も本Blogでご案内いたしましたが、ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。

今回の改訂ポイントは下記の3点です。
(1)改訂されるのは、ほぼ附属書Aのみ
(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」に再構成
(3)猶予期間は3年間

そこで、これに関するISMS担当者勉強会を、
10月18日(火)に新橋で開催したいと思います。

久しぶりのリアル開催です。
もちろん感染対策には十分に配慮して開催いたします。
(恐縮ですが有償セミナーとさせていただきます。
 当社サービスをご契約いただいているお客様は無償ご招待)

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答+ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消!
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、新旧対応表/新しい適用宣言書など、他では入手できない資料も配布します。

ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「ISO27001:2022年版対応セミナー」(ISMS担当者勉強会)

日時:2022年10月18日(火)
  14:20〜16:30 第一部 セミナー
  16:30〜17:30 第二部 質疑応答&ネットワーキングタイム
場所:TKP新橋カンファレンスセンター
  東京都千代田区内幸町1丁目3-1 幸ビルディング
内容:ISMSの審査基準であるISO27001:2022年版対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者:
 ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方
参加費:一社10,000円(1社2名様まで)
※当社サービスをご契約いただいているお客様は無償でご招待させていただきます。

※お申込みいただいた方にお振込み先をお知らせいたします。

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
ISMS担当者勉強会に参加する

皆さんと会場でお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

(追記)2022年10月25日にISO27001:2022が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52164620.html

ISO27001:2022附属書A予想版
(画像はISO27001:附属書A予想版より)

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。このことについて、皆様に情報をまとめてお知らせしたいと思います。

(1)改訂されるのは、ほぼ附属書Aのみです。

今回の改訂は、附属書AのもとになっているISO27002の改訂に基づくもので、ISO27002:2022は既に2月に正式発表されたものです。この改訂に合わせて、ISO27001の附属書Aが改訂されるということです。ですから、改訂されるのはほぼ附属書Aのみであり、既にほとんど内容は確定しています。

なお、規格本文は、ISO9001などと同じフォーマットになっており、勝手に変更することもできないようで、わずかな修正となるようです。

(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」の区分に再構成されます。

詳細は、ISO27001:附属書A(予想版)を見ていただきたいのですが、今回の改訂では、附属書Aの管理策(セキュリティ対策の項目)が、おなじみの「組織的」「人的」「物理的」「技術的」の区分に再構成され、大変分かりやすく整理されました。

内容的には、前回の改訂時には盛り込まれていなかった「クラウドサービス」という言葉が盛り込まれたり、各国の個人情報保護法制に対応するべく「データマスキング(匿名化/仮名化)」という概念を含めたり、また「テレワーク」が「リモートワーク」になるなど、現在の情報セキュリティを取り巻く変化に対応するものとなっています。

また、以前からある管理策も、似たような内容のものは統合/集約されており、最終的に管理策の総数は114個から93個に減少しました。

(3)猶予期間は3年間あります。急いで対応する必要はありません。

ISO27001:2022の正式発表は、10月になる見込みで、(ISMSの前例に基づくと)理論上はその日から対応した審査が開始されることになると思われます。

いや、日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ただし、猶予期間が3年間設定されることになりそうです。つまり、2022年10月に新規格が出たとして、2025年10月の審査までに対応できればいいということになります。

また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ISO/IEC 27002:2022
https://www.iso.org/standard/75652.html

ISO/IEC 27002:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27002%3A2022

(私のコメント)
最後にも書きましたが、すでにISMS取得済みの事業者の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク/ISMS担当者の会

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日リモート開催しましたPマーク/ISMS担当者勉強会には、
200名を超える皆様にご参加いただき、
誠にありがとうございました。

また、第二部のリモート懇親会にも多くの方にご参加いただき、
Pマーク/ISMS担当者同士で意見を交換していただくことができました。

参加していただいた皆様には、それぞれ満足していただけたものと思います。

私としては、この集まりを今後も継続していきたいと思っております。
そのためにも日常的な交流の場が必要ではないかということで、
このたび、Pマーク/ISMS担当者のためのFacebookグループを開設いたしました。

参加資格としては、
・プライバシーマーク取得済み事業者のご担当者様、または役員の方
または
・ISMS認証取得事業者のご担当者様、または役員の方
とさせていただきます。

グループのURLは下記のとおりです。

https://www.facebook.com/groups/pmarkisms

ぜひ、このグループをご活用いただくことで、
皆様同士の交流をさらに促進できればと思います。


この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

基礎からわかるISMS取得セミナー(ISO27001)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では「基礎からわかるISMSセミナー」を定期開催しております。
(もともとは東京国際フォーラムでリアル開催しておりましたが、新型コロナ以降、リモート開催に切り替えております)

開催時に収録した動画を公開しておりますが、内容が少し古くなってきましたので、最新版に差し替えて、公開いたしました。

--------------------------------------------------------
タイトル:
「基礎からわかるISMSセミナー」
〜Pマークとの違いから、最新のクラウドセキュリティ認証まで〜
講 師 : プライバシーザムライ・中康二
   セキュリティ博士・大塚晃司(当社コンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_isms_seminer2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

押印欄

皆さんこんにちは。
プライバシーザムライ中康二です。

リモートワークの活用が広がるにつれて、
プライバシーマークやISMSの運用記録についても、
紙を原本とするのではなく、電子ファイルを原本として
そのまま運用したいとお考えの方が多いと思います。

しかし、実際にはどのようにすればいのでしょうか?
担当者印、承認印などの「押印欄」はどうするべきなのでしょうか?
このあたり、お悩みの方が多いと思いますので、今回は当社で実践し、
お客様にもオススメしている簡便な方法をご紹介したいと思います。

答えとしては、下記のようになります。
(1)エクセルやワードなど、記録を作成するのに使用するファイル
そのものを原本とする。(別途PDFを作成したりしない)
(2)押印欄をそのまま残し、そこに氏名と日付を入力することで押印に代える。

※そうすると、上記のタイトル画像のようになります。

え?それだけでいいの?とお感じの方もおられると思いますが、
プライバシーマークやISMSの審査において、
この方法では不足すると指摘を受けたことは私の知る限りありません。
(もちろん審査員が何を言うかは分かりませんから保証はできませんけどね)

この方式の場合、押印の場合と異なり、
代理で入力することも容易になりますから、
確かに運用が形骸化するという危険性はあります。

しかし、PMS/ISMS文書は、やはり会社の公式文書ですから、
野放図な運用は許されません。
しっかりとその人にキーボード操作していただいて、
名前と日付を入力していただくことを徹底していただきたいと思います。

この情報が皆様にとって何かの参考になればと思います。

また、役立つ情報があれば、皆様にシェアいたしますね。


virus_corona
皆様、あけましておめでとうございます。
プライバシーザムライ中康二です。

新年早々、この話題をしたくなかったのですが、
新型コロナの流行に伴う緊急事態宣言が首都圏1都3県を対象に
政府から出されました。

また大阪や愛知などにも対象地域は広がっていくことが予想されます。

今回の緊急事態宣言では、飲食の場面や大規模イベントへの対応が中心であり、

一般的な生活の場面においては
・不要不急の移動の自粛
・夜8時以降の外出の自粛

ビジネスの場面においては
・テレワークの推進
・20時以降の勤務抑制

といった、比較的緩やかな制限となっています。

さて、プライバシーマーク/ISMSの審査機関の対応はどうなるのか、
気になりますね。

昨年春の緊急事態宣言の際には、
プライバシーマークの現地審査/ISMSの審査は
「3つの密」に当たる可能性が高いとされ、ほぼ全面的な停止に追い込まれました。

そこで、各審査機関では、3つの密を避けるための対策として
・審査員の健康管理
・手洗い、マスクの着用、ソーシャルディスタンスの確保
・会議室の換気、出席者の制限
・リモート審査の対応
などを実施し、審査業務の再開にこぎつけたという経緯があります。

中でも、リモート審査については、審査機関により対応は様々ですが、
・審査の一部をリモートに切り替える
・来社してほしくないと希望する事業者の審査をリモートに切り替える
・更新/継続の審査をリモートに切り替える
・全ての審査をリモートに切り替える
などの順番で少しずつ対象範囲を拡大してきているところです。

ISMSは、新型コロナが流行する前から、リモート審査の制度があり、それの適用例を増やすことで対応しました。

一方、プライバシーマークにはリモート審査の制度がありませんでしたが、今回を機会に新たに制度を作って対応しているところのようです。(新規取得のフルリモート審査は、まだやっていないようです)

これまでのところは、ISMSの審査機関の方がリモート審査に柔軟に取り組んでいて、プライバシーマークが後から追いかけるような形で対応が進んできたかなと思います。

さて、今回の対応です。

(1)プライバシーマーク審査機関の対応

プライバシーマーク制度を運営しているJIPDECは、1月7日付でFAQを更新しました。

https://privacymark.jp/system/operation/covid-19/index.html
緊急事態宣言に対するJIPDECの対応
これによると、「審査の中断はしない」「感染防止策を徹底して審査を実施する」
とのことです。感染防止策の中には当然リモート審査も含まれます。

また、コロナ対応のために申請が遅れた場合の対応について、
昨年は「審査期限を有効期限まで延長する」との対応を取っていましがが、
今回はそのような一律の対応は行わず、審査機関に個別に申し出るようにとされています。

(2)ISMS審査機関の対応

ISMS審査機関としても、今回の緊急事態宣言に対応して審査を停止するのではなく、過去半年間の経験を元に、リモートワークを含む感染防止策をしっかりと実施した上で、審査を継続するということのようです。

あまり具体的な話ができず、恐縮ですが、今のところ分かった情報を元に、まとめてみました。

自社がどういう対応を受けるのか知りたい、または困ったことがあるので対応してほしいなどについては、皆様が審査を頼んでいる審査機関に個別に確認してみることをオススメします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


新しい添付ファイル送信方式
皆さんこんにちは。
プライバシーザムライ中康二です。

先日、「当社は暗号化ZIPファイル添付/パスワード別送(PPAP)をやめることにしました」という記事を掲載したばかりですが、そのPPAP方式が政治の世界で取り上げられて話題になっています。

・平井デジタル相が「デジタル改革アイデアボックス」を開設(10月9日)
・「PPAP(暗号化zipの添付廃止)」というアイデアが掲載される(10月10日)
・そのアイデアが最も高い評価を維持する
平井デジタル相が「政府としてのPPAP全廃」を発表(11月16日)

この流れは政府だけではなく、民間にも当然流れてくるわけです。
平井大臣の発表の直後に、こんな事がありました。

・JIPDEC/Pマーク推進センターが、PPAPについて「従来から推奨していない」と発表(11月18日)

「プライバシーマークの審査にはPPAP方式が必須」と考えていた多くの人々に、驚きを持って受け止められたようです。

ただし、全廃後どうするんだという話に関しては、平井大臣も「当面はパスワードを電話などで伝える」「アイデアボックスで募集する」などとしており、答えが出ていません。民間企業の皆さんの中でも、今後どうするべきかお困りの方が多いことと思います。

そこで、私プライバシーザムライが、現在考えられるPPAPの代替案を大胆に提案いたします。機密性の低いものからレベルを分けて説明しますので、是非ご覧になってください。
(0)添付ファイルは使わず、本文に必要事項を記載して送る

これ実は大事な話です。そもそもその添付ファイル必要ですか?ということです。

ミーティングの開催案内とか、面会記録とか、テキストで表現できるものは添付ファイルとせずに、本文に内容を記載して送信すればいいのです。
(1)機密性の低い場合はZIP暗号化せず、そのまま添付ファイルとして送る

次も大事な話です。そもそも電子メールに暗号化必要ですか?ということです。

電子メールはバケツリレー方式で送信されるからどんな管理者の元を通過するかわからない(メールの内容はハガキの裏面と同じで、配達員に見られるもの)と言われてきました。しかし、それは古い常識です。今やほとんどの電子メールは自社のメールサーバーから相手のメールサーバーに直送され、その間の通信はTLSで暗号化されています。また電気通信事業者には通信の秘密の義務もあります。本文も含めて電子メールの内容が漏れるようなことがあれば、大きなニュースになっていることでしょう。

自社のサービス案内、公開講座のプレゼン資料など、機密性が低いものについては、暗号化など行わずにそのまま添付ファイルとして送りましょう。
(暫定2)どうしても暗号化ZIPファイルを添付したい場合は、パスワードをメール以外の方法で送る

従来どおり暗号化ZIPファイルを作成して添付ファイルとして送信したい場合には、パスワードを、SNSのチャット機能/携帯のショートメッセージなど、メール以外の全く別の方法で送信する。パスワードはあらかじめ二者間で決めておけば、毎回変更しなくてもOK。

※これが暫定2となっている理由は、そもそも暗号化ZIPがウイルスフィルターを通過し、emotetなどで悪用されているため、世界的に見直されようとしているからです。
(2)機密性が中くらいのファイルは、旧宅ふぁいる便のような仕組みで送付する

ファイルサイズが大きいものや、社外秘の資料などについては、使い捨てURL/使い捨てパスワードのストレージサービス(旧宅ふぁいる便みたいなサービス)を使って送信する。URLもパスワードも同一メールで送信してよい。一定期間が過ぎるとサーバー上のファイルは削除する。
(3)機密性の高いファイルは、しっかりとした認証機能のついたストレージサービスなどで二者間共有する

個人データベースになるようなファイルとか、技術ノウハウ、未発表のリリース文など、機密性の高いものについては、しっかりとした認証機能付きのストレージサービス(例:Googleドライブ、Dropbox、Boxなど)上に置き、送付先にアクセス権を付与することでダウンロードしてもらうようにする。ただしこの方法では、先方がそのサービスのアカウントを持っているかなど、事前に合意と調整が必要となる。

いろいろ考えてみましたが、代替案としては、このようになるかなと思います。

これらを企業内で実践する際には、(2)(3)について、無料/有料いずれを利用するにせよ、社員に勝手に選ばせるのではなく、システム管理者が一定の指針を出して、どのサービスを利用するのか選定する必要があると思います(そうでないと新たなシャドーITを作り出してしまいます)。

参考までに当社では
(2)として「HENNGE Secure Transfer」(HENNGE Oneのライセンスに含まれているもの。本記事のタイトル画像がそれです)
(3)として「Googleドライブ」(Google Workspaceのライセンスに含まれているもの)
を利用する方針です。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

暗号化ZIPファイル添付_パスワード別送(PPAP)方式
皆さんこんにちは。
プライバシーザムライ中康二です。

ここ10年間くらい、個人データや機密情報を社外に電子メールで送付する際に、暗号化ZIPファイルを作ってメールに添付し、別のメールでパスワードを送信する方法がよく利用されています。

そして、それを手処理で行うのではなく、自動的に全ての添付ファイルをそのように処理してくれるシステムがあり、多くの企業で採用されています。

ただし、この方法については「情報セキュリティ的に意味がなく、むしろ逆効果である」との指摘が多く寄せられています。

その指摘の趣旨を列記すると、
●直後にメールで自動的にパスワードを送るため、メールの内容が盗み見されている場合には解読できてしまう
●暗号化ZIP圧縮すると解読できなくなり、ウイルス対策フィルターを通過してしまう。この方法が当たり前になることで、逆にウイルスが送り付けられるリスクが高まる。
●電子メールの伝達方法は、インターネット発足当初のような平文のバケツリレー方式ではなく、現在はメールサーバー間が直結かつ暗号化通信をしている場合がほとんどであり、伝達経路上での漏洩リスクはほとんどない。(もしそのリスクがあるのなら、添付ファイルだけでなく本文も暗号化しないとおかしい)
●解読が面倒であり、生産性を落としている。(日本だけの習慣という指摘も)
などがあげられます。

この方式に対する「もうやめようよ」の声は日増しに大きくなってきており、「PPAP方式」というおかしな名前まで付けられて、日本のなんちゃってセキュリティの象徴のように語られるようになってきました。
PPAP
(提唱者:大泰司さんのプレゼン資料より)

話が長くなりました。

実は当社(オプティマ・ソリューションズ)でも、この暗号化ZIPファイル添付/パスワード別送方式(PPAP方式)を自動的に行うシステムを2013年から利用していたのですが、この度やめることにしました

当社は「個人情報/機密情報を取り扱う企業の模範となる」ことを会社全体の目標にしています。そのために日々活動し、社内でもISMS/PMSを運用しています。

7年前には、よかれと思って導入したシステムですが、情報セキュリティの世界の常識はどんどん変わっていきます。まさにこのPPAP方式は、今、見直すべき時だと考えました

今後はどうするかということについて、当社の場合は意外と簡単に答えが見つかりました。
●個人データ/機密情報を含まない場合はそのままファイル添付の機能を使用して送信する
●個人データ/機密情報を含む場合は、専用のファイル転送システムを利用して送信する
ということです。

ちなみに、当社が代替策として使用することにした「専用のファイル転送システム」というのは、
HENNGE Secure Transfer
というもので、従来から当社が契約していたシステムの中に入っていたのでした。

個人データ/機密情報を含むファイルを社外に送信する場合には、このシステムにアップロードし、そこで発行されるURLとパスワードをメールで送ることで、受信者はそのファイルをダウンロードできるという仕組みです。(昔懐かしい「宅ふぁいる便」みたいなイメージです)

新しい添付ファイル送信方式
というわけで、当社としては今後はこういう方法で添付ファイルを送ることにしますというご報告になります。

(追記)より高い機密性が求められるファイルを送信する場合には、パスワードをメールではない全く別の方法で送る/受信側にもしっかりとした認証機能があるストレージサービスを使用するなど、もっと上の対策を取る必要があります。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

全国のISMS担当者の皆さま、お待たせいたしました!

昨年11月に初開催し、ご好評いただいた「ISMS担当者勉強会」の第二回目を7月30日にリモート開催することにいたしました。(パチパチ)

※第一回目の様子はこちらをご覧ください。
http://www.pmarknews.info/isms/52112824.html

今回のタイトルは
「セキュリティ博士が語る・ISMSの運用が楽になる
情報資産洗出しとリスクアセスメントの手法とは?」
です。

講師は前回に引き続き、当社の「セキュリティ博士・大塚晃司」が担当いたします。
DSC_3045

「本気のISMS」を実現するためには
・本質的に意味がある情報資産の洗い出し
が重要ですし、さらに
・セキュリティ水準アップにつながるリスクアセスメント
が必要なことは言うまでもありません。

ISMS担当者の皆さまがまさに知りたいこのポイントについて、
今回の勉強会でセキュリティ博士が切り込みます。
どうぞご期待ください。

また、一方的にお聞きいただくだけでなく、
セミナーの途中で皆さん同士で意見交換をしていただく
ブレークアウトセッションも予定しております。
ISMSの実務担当者様同士で、ぜひ懇親を深めていただきたいと思います。

リモート開催ですので、全国どこからでもお気軽にご参加いただけます。
もちろん、第一回目に参加していなくても全く問題ございません。
皆様、どうぞお越しください。

------------------------------------------------------------
講師プロフィール
セキュリティ博士・大塚晃司
セキュリティ博士(ISMSコンサルタント・大塚晃司)
会計事務所にてコンサルティング業務に従事していた際に、「同じコンサルでもこれからはセキュリティの時代だろう!と一念発起。情報セキュリティ業界に転身。その後、数多くのお客様でのSMS取得を支援しており、分かりやすい説明には定評があります。
------------------------------------------------------------

タイトル:第二回ISMS担当者勉強会「セキュリティ博士が語る・ISMSの運用が楽になる情報資産洗出しとリスクアセスメントの手法とは?」
日時:2020年7月30日(木)16時から18時まで
講師:セキュリティ博士(ISMSコンサルタント・大塚晃司)
参加対象者:ISMS・プライバシーマーク認定事業者の役員、担当者の方
(これからの取得をご検討中の方、プライバシーマーク担当者も歓迎します)
参加費:無料(1社2名様まで)
場所:リモート開催(Zoomを使用します)

主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。


参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も参加します。
皆さんとお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

2020-05-27 12.13.04
(画面はJQAのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内におけるISMSの審査機関である一般財団法人日本品質保証機構(JQA)は、今回の新型コロナウイルスに関する緊急事態宣言の解除を受け、全ての業務を通常通りに戻すと発表しました。

審査について、どのようにするかは明記されていませんが、原則として3つの密を避けながらの対面審査を原則とするようです。また、リモート審査についても順次進めていく模様です。

JQAのリリース
https://www.jqa.jp/topics/all/topics_all_80.html
https://www.jqa.jp/service_list/management/topics/topics_ms_304.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ