プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: ISMS認証

暗号化ZIPファイル添付_パスワード別送(PPAP)方式
皆さんこんにちは。
プライバシーザムライ中康二です。

ここ10年間くらい、個人データや機密情報を社外に電子メールで送付する際に、暗号化ZIPファイルを作ってメールに添付し、別のメールでパスワードを送信する方法がよく利用されています。

そして、それを手処理で行うのではなく、自動的に全ての添付ファイルをそのように処理してくれるシステムがあり、多くの企業で採用されています。

ただし、この方法については「情報セキュリティ的に意味がなく、むしろ逆効果である」との指摘が多く寄せられています。

その指摘の趣旨を列記すると、
●直後にメールで自動的にパスワードを送るため、メールの内容が盗み見されている場合には解読できてしまう
●暗号化ZIP圧縮すると解読できなくなり、ウイルス対策フィルターを通過してしまう。この方法が当たり前になることで、逆にウイルスが送り付けられるリスクが高まる。
●電子メールの伝達方法は、インターネット発足当初のような平文のバケツリレー方式ではなく、現在はメールサーバー間が直結かつ暗号化通信をしている場合がほとんどであり、伝達経路上での漏洩リスクはほとんどない。(もしそのリスクがあるのなら、添付ファイルだけでなく本文も暗号化しないとおかしい)
●解読が面倒であり、生産性を落としている。(日本だけの習慣という指摘も)
などがあげられます。

この方式に対する「もうやめようよ」の声は日増しに大きくなってきており、「PPAP方式」というおかしな名前まで付けられて、日本のなんちゃってセキュリティの象徴のように語られるようになってきました。
PPAP
(提唱者:大泰司さんのプレゼン資料より)

話が長くなりました。

実は当社(オプティマ・ソリューションズ)でも、この暗号化ZIPファイル添付/パスワード別送方式(PPAP方式)を自動的に行うシステムを2013年から利用していたのですが、この度やめることにしました

当社は「個人情報/機密情報を取り扱う企業の模範となる」ことを会社全体の目標にしています。そのために日々活動し、社内でもISMS/PMSを運用しています。

7年前には、よかれと思って導入したシステムですが、情報セキュリティの世界の常識はどんどん変わっていきます。まさにこのPPAP方式は、今、見直すべき時だと考えました

今後はどうするかということについて、当社の場合は意外と簡単に答えが見つかりました。
●個人データ/機密情報を含まない場合はそのままファイル添付の機能を使用して送信する
●個人データ/機密情報を含む場合は、専用のファイル転送システムを利用して送信する
ということです。

ちなみに、当社が代替策として使用することにした「専用のファイル転送システム」というのは、
HENNGE Secure Transfer
というもので、従来から当社が契約していたシステムの中に入っていたのでした。

個人データ/機密情報を含むファイルを社外に送信する場合には、このシステムにアップロードし、そこで発行されるURLとパスワードをメールで送ることで、受信者はそのファイルをダウンロードできるという仕組みです。(昔懐かしい「宅ふぁいる便」みたいなイメージです)

新しい添付ファイル送信方式
というわけで、当社としては今後はこういう方法で添付ファイルを送ることにしますというご報告になります。

(追記)より高い機密性が求められるファイルを送信する場合には、パスワードをメールではない全く別の方法で送る/受信側にもしっかりとした認証機能があるストレージサービスを使用するなど、もっと上の対策を取る必要があります。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

全国のISMS担当者の皆さま、お待たせいたしました!

昨年11月に初開催し、ご好評いただいた「ISMS担当者勉強会」の第二回目を7月30日にリモート開催することにいたしました。(パチパチ)

※第一回目の様子はこちらをご覧ください。
http://www.pmarknews.info/isms/52112824.html

今回のタイトルは
「セキュリティ博士が語る・ISMSの運用が楽になる
情報資産洗出しとリスクアセスメントの手法とは?」
です。

講師は前回に引き続き、当社の「セキュリティ博士・大塚晃司」が担当いたします。
DSC_3045

「本気のISMS」を実現するためには
・本質的に意味がある情報資産の洗い出し
が重要ですし、さらに
・セキュリティ水準アップにつながるリスクアセスメント
が必要なことは言うまでもありません。

ISMS担当者の皆さまがまさに知りたいこのポイントについて、
今回の勉強会でセキュリティ博士が切り込みます。
どうぞご期待ください。

また、一方的にお聞きいただくだけでなく、
セミナーの途中で皆さん同士で意見交換をしていただく
ブレークアウトセッションも予定しております。
ISMSの実務担当者様同士で、ぜひ懇親を深めていただきたいと思います。

リモート開催ですので、全国どこからでもお気軽にご参加いただけます。
もちろん、第一回目に参加していなくても全く問題ございません。
皆様、どうぞお越しください。

------------------------------------------------------------
講師プロフィール
セキュリティ博士・大塚晃司
セキュリティ博士(ISMSコンサルタント・大塚晃司)
会計事務所にてコンサルティング業務に従事していた際に、「同じコンサルでもこれからはセキュリティの時代だろう!と一念発起。情報セキュリティ業界に転身。その後、数多くのお客様でのSMS取得を支援しており、分かりやすい説明には定評があります。
------------------------------------------------------------

タイトル:第二回ISMS担当者勉強会「セキュリティ博士が語る・ISMSの運用が楽になる情報資産洗出しとリスクアセスメントの手法とは?」
日時:2020年7月30日(木)16時から18時まで
講師:セキュリティ博士(ISMSコンサルタント・大塚晃司)
参加対象者:ISMS・プライバシーマーク認定事業者の役員、担当者の方
(これからの取得をご検討中の方、プライバシーマーク担当者も歓迎します)
参加費:無料(1社2名様まで)
場所:リモート開催(Zoomを使用します)

主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。


参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も参加します。
皆さんとお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

2020-05-27 12.13.04
(画面はJQAのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内におけるISMSの審査機関である一般財団法人日本品質保証機構(JQA)は、今回の新型コロナウイルスに関する緊急事態宣言の解除を受け、全ての業務を通常通りに戻すと発表しました。

審査について、どのようにするかは明記されていませんが、原則として3つの密を避けながらの対面審査を原則とするようです。また、リモート審査についても順次進めていく模様です。

JQAのリリース
https://www.jqa.jp/topics/all/topics_all_80.html
https://www.jqa.jp/service_list/management/topics/topics_ms_304.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

新型コロナウイルス感染拡大の局面におけるBSIの審査方針
(画面はBSIジャパンのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内におけるISMSの審査機関であるBSIグループジャパン株式会社は、今回の新型コロナウイルスの感染拡大を受け、ISMSなどISOの審査をリモート形式に切り替えて実施すると発表しました。

リモート審査というのは以前から手法として認められていて、遠隔地などの審査では使用されており、今回はこれを全面的に採用するということのようです。

BSIジャパンのリリース
https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/april-2020/info-0422/

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク・ISMSのためのE-Learning

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークやISMSを取得されている会社の担当者として、
頭が痛いのが毎年の定期教育ですよね。

そこに追い打ちをかけているのが新型コロナ!
集合研修などできるわけもありません。

そんなわけで、私としては新型コロナ対応の一環として
プライバシーマーク/ISMSのためのE-Learningをオススメしたいと思います。

当社の「プライバシーマーク/ISMSのためのE-Learning」には
一つ自慢があります。

それは他のどんなE-Learningよりも簡単に実施できることです。

ご用意いただくのは
・社員の名前とメールアドレス(エクセル)
だけで結構です。

あとは当社がひな形として用意している
・Pマーク/ISMSの規格に準拠した教育コンテンツ(パワポ)
・理解度テスト(エクセル)
を御社に合わせて少し書き換えていただくだけです。

例:パスワードの文字数は8文字なのか、12文字なのか
  個人情報保護管理者は斉藤さんなのか、田中さんなのか
  社内での担当部署は管理部なのか、情報システム部なのか など

データをいただけると、当社の担当者がサーバーをセットアップし、
御社の社員の皆さんに案内メールを送ります。

締め切りまでに受講してくれない場合にはもう一度案内メールを送ります。

その後、教育記録を御社にお戻しいたします。

ほんとにこれだけでE-Learningを実行していただけます。
ぜひご活用ください。


デモ版無料体験もできます。
下記からどうぞお申し込みくださいませ!
   ↓↓↓↓↓↓↓↓↓↓
   ↓↓↓↓↓↓↓↓↓↓
   ↓↓↓↓↓↓↓↓↓↓
btn_elearning_demo


また、何か情報が入りましたら、皆様にシェアいたしますね。


こんにちは。オプティマ・ソリューションズ広報担当の内野です。
だいぶ寒くなってきましたが、みなさまいかがお過ごしでしょうか?

さて先日(11月20日)、新橋にて
第一回ISMS担当者勉強会〜より効果的にリスクマネジメントする方法〜
を開催しましたので、その様子をご報告いたします。

第一部:勉強会
DSC_3069
(勉強会の様子1)

2019-11-22 11.04.34

今回は、当社のニューキャラセキュリティ博士・コンサルタントの大塚晃司が講師を担当いたしました。
DSC_3045
(セキュリティ博士・大塚晃司)


今回のISMS担当者勉強会では、プライバシーザムライの提唱した「本気のISMS」を具現化するものとして、新しいリスクアセスメントの方法が共有されたようです。

(プライバシーザムライから解説)

従来、リスクアセスメントとしては、情報資産台帳の一つ一つの項目ごとに「機密性」「完全性」「可用性」の観点から資産価値を算出し、さらに数値化した「脅威」と「脆弱性」を掛け合わせてリスク値とするやり方が一般的でした。

このやり方は仕組みとしては分かりやすく、審査でも求められてきていましたが、数字遊びのようになる傾向もあり、実際のリスク対策に本当に役立っているのかという指摘がありました。

また、2013年版のISO27001の登場以降、「外部・内部の課題」にもっと着目し、それを解決するリスク対策を立案することが求められていますが、それを具体的にどのようにして実施するのかの手法はあまり存在していなかったと思います。

今回の勉強会の開催にあたり、このリスクアセスメントの部分に切り込む内容にしてもらいたいと私が要望しまして、セキュリティ博士がそれに対する答えとして出してきたのが「広くヒヤリハット事例を集め、それに対する予防処置を検討すること」でした。

(プライバシーザムライによる解説ここまで)

2019-11-22 11.16.55
今回も、勉強会の途中にグループワークをはさみ、皆さんで自己紹介や自社の取り組みなど、意見交換していただきながら進めていきました。
IMG_6181
(グループワークの様子1)

皆さん同じISMS担当者同士、話し出せば話したいことがどんどん出てきて、「ずっと続けたい!」という印象を受けたほどです。

IMG_6184
(グループワークの様子2)

最後に、ファイルフォースの佐々木様から、クラウド型ストレージサービス「ファイルフォース」のご紹介をいただきました。
DSC_3110
(ファイルフォース・佐々木様)


ファイルフォースは、ファイル共有サーバーをクラウド上に自由に構築できるサービスで、
(1)リモートワーク環境など、いつでもどこからでもアクセスできる利便性
(2)万が一のノートパソコン紛失時には、アクセス権を停止するだけで流出しない機密性
(3)柔軟なアクセス権限設定や、ログ解析機能など管理者機能が充実
という特徴を持っているとのこと。

多くの参加者様に関心を持っていただけたようですし、今後、当社でも販売代理店をさせていただくようです。

第二部:ネットワーキングタイム

同会場にてネットワーキングタイム(懇親会)を行いました。

ささやかですが簡単なお食事もご用意いたしました。 DSC_3131
ご参加いただき、ありがとうござます。 DSC_3139
気軽に日頃の疑問質問も解消!
DSC_3147
お越しいただき、本当に感謝しております♪
DSC_3144
ISMS担当者様同士で情報交換もできました。 DSC_3136
最後に集合写真。ご協力ありがとうございました! DSC_3155


プライバシーザムライからのコメント
DSC_3124
今回、初の試みとしてISMS担当者勉強会を開催し、
またセキュリティ博士という新しいキャラクターを登場させましたが、
とても有意義な会になったと思います。

特に下記の2点をうれしく思いました。
(1)プライバシーザムライが提唱する「本気のISMS」のコンセプトが、
 今回の新しいリスクアセスメント手法により具現化されたこと。
(2)グループワークの際、参加者の皆さんの目が輝いていたこと。
これからもこのISMS担当者勉強会は続けさせていただきます。


セキュリティ博士からのコメント

IMG_6198
ポジティブなコメントを多くいただくことができ、どうにかセキュリティ博士としてのデビュー戦を飾ることができたかな、と内心ほっとしております。

グループワークが大変に盛り上がったのが特に印象的で、グループワークをしめてご説明にもどるのが申し訳ないぐらいでした。

逆にグループワークのお時間長めにとったりした結果、後半の説明が駆け足になってしまうなど改善すべき点もあったと認識しており、今後勉強会を開催させていただく際に活かしていければと思います。

ありがとうございました。


参加者のみなさまからお答えいただいたアンケートの回答のご紹介 

・また勉強会がありましたら参加させてください。

・大変わかりやすく参考になりました。

・貴重なセミナーでした。基本的なところを勉強できたと思います。

・勉強会の継続をお願いします。

・ありがとうござました。

・ありがとうござました。今後ISMSを取得予定です。

・予防の考えがよくわかった。

・大変参考になりありがとうござました。

・運用の段階で前任者から引継を行ったばかりで知識が追いついていないですが、 今後進めていく上での考え方が学べました。

・予防措置の扱い方については参考になりました。

・面白く感じました。

・今までうっすらとひっかかっている部分だったので、とてもすっきりしました。

・情報セキュリティに関する事件はよくニュースで見ていますが、ISMS取得企業で、こういうリスクをこういう対策をしていたのでリスク回避できたという良例をききたいです。ぜひ2回目も!


はい!いかがでしたでしょうか?
たくさんの熱心な参加者様にお集まりいただきスタッフ一同とても感激しました。
ありがとうございます。

第二回勉強会の開催のご要望もいただきましたので、ぜひ実現したいと思います。
開催が決まりましたらお知らせいたします。
今回参加された方はもちろんのこと、次回からの初参加ももちろん大歓迎です!
楽しみにお待ちくださいませ♪


■ファイルフォース株式会社様
https://www.fileforce.jp/

基礎からわかるISMSセミナー
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では「基礎からわかるISMSセミナー」を定期開催しております。

毎回ご好評をいただいておりますので、開催時に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:
「基礎からわかるISMSセミナー」
〜Pマークとの違いから、最新のクラウドセキュリティ認証まで〜
講 師 : プライバシーザムライ・中康二(オプティマ・ソリューションズ・代表取締役)
   セキュリティ博士・大塚晃司(オプティマ・ソリューションズ・コンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_isms_seminer2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

Pマーク・ISMSのためのE-Learning

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークやISMSを取得されている会社の担当者として、頭が痛いのが毎年の定期教育ですよね。

社員を一か所に集めて、集合研修を行おうとしたものの、

・1回でやろうとすると業務が止まってしまうから、2回行う。
・会議室が狭いから、2回行う。
・何回やっても参加してくれない社員がいる。
・社員が全国に散らばっているから1か所に集められない。
・全社員が1か所に集まるのは年1回の総会だけしかない。
・出席者を管理するのが大変。
・テスト結果を採点するのが面倒。
・教育ネタが毎年同じだと社員に飽きられる。
・せっかくやっているのに寝ている人が多い。

などなど。頭が痛いポイントを挙げていったらきりがないですね!

そこで、当社(オプティマ・ソリューションズ)では、「Pマーク・ISMSのためのE-Learning」をおススメしております。

デモ版無料体験もできます。
下記のリンクからどうぞお申し込みくださいませ!

https://www.optima-solutions.co.jp/e-learning

(当社の顧客から大変好評ですので、こちらでもご案内させていただきました)

また、何か情報が入りましたら、皆様にシェアいたしますね。


セキュリティ博士登場!
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

当社では5年ほど前から、不定期に「プライバシーマーク担当者勉強会」を開催し、多くのプライバシーマーク担当者の皆様にお集まりいただいております。そこでいただいた声が「ISMSでも同様の勉強会をやってほしい」というものでした。

そこで!ついに初めての試みとして、ISMS担当者勉強会を開催いたします!!!(パチパチ)

タイトルはなんと「セキュリティ博士が語る・ISMS運用のコツ」です。

今回の講師は私ではなく、当社のニューキャラ「セキュリティ博士」が担当いたします。

・ISMS審査前に準備しておくべき6つのポイント
・最新のリスクアセスメントのやり方

などなど、ISMS担当者の皆様の気になる内容をお話しさせていただきます。

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後にはネットワーキングタイムも予定しております。

ISMSの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

セミナー
(セミナー)

グループワーク
(グループワーク)

ネットワーキングタイム
(ネットワーキングタイム)

集合写真
(集合写真)

皆様、どうぞお越しください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
セキュリティ博士(ISMSコンサルタント・大塚晃司)
otsuka
会計事務所にてコンサルティング業務に従事していた際に、「同じコンサルでもこれからはセキュリティの時代だろう!と一念発起。情報セキュリティ業界に転身。その後、数多くのお客様でのSMS取得を支援しており、分かりやすい説明には定評があります。


タイトル:第一回ISMS担当者勉強会「セキュリティ博士が語る・ISMS運用のコツ」
日時:2019年11月20日(水)16時から19時まで
 (ネットワーキングタイム含む)
講師:セキュリティ博士(ISMSコンサルタント・大塚晃司)
参加対象者:ISMS・プライバシーマーク認定事業者の役員、担当者の方
(これからの取得をご検討中の方、プライバシーマーク担当者も歓迎します)
参加費:無料(1社2名様まで)
場所:TKP新橋カンファレンスセンター
 東京都千代田区内幸町1-3-1 幸ビルディング 11F
・都営三田線 内幸町駅 A5出口 徒歩0分
・各線 新橋駅 徒歩5分
 https://www.kashikaigishitsu.net/facilitys/cc-shimbashi-uchisaiwaicho/access/


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も参加します。
皆さんとお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

64368424_2552388471448309_6466635131749662720_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

6月のInteropで、私は「本気のISMSって何だ?〜情報セキュリティへの取り組みにISMSが欠かせない理由〜」という講演を行いました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「本気のISMSって何だ?」
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。ご期待ください!



本気のISMS講演
(写真は当日開催の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

「SecurityDays 2018 Spring」で、私が「本気のISMSで情報セキュリティの水準アップを実現しよう」という講演を行いました。

好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
タイトル:なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。



30

皆様、新年あけましておめでとうございます。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

2019年を迎えるにあたり、私なりの考えをまとめてお伝えしたいと思います。

(1)変革を迎えたプライバシーマーク・ISMS

プライバシーマークの準拠規格JIS Q 15001が改正されて、ちょうど一年が経過しました。
昨年8月から改正された規格に基づいた審査が始まりましたが、文書審査が25項目だけになるなど、
審査の方式自体が大きく変わり、重箱の隅をつつく審査から、お客様の状況に合わせたリスク対策が
本当に行われているのかをしっかり確認する審査への方向転換が行われました。


ISMSは、以前からそのような考え方で運用されてきていますが、2013年に規格が改正されて、
より一層その色が濃くなっています。単純に情報ごとのリスクを見積もって対策を打つだけではなく、
事業全体として、会社全体としてのリスクは何なのかを深く掘り下げて、リスク対策を実施することが
求められるようになってきています。


プライバシーマーク・ISMSについては、国内で大変普及し、
情報セキュリティ関係の認証のデファクトスタンダードとなっていますが、
一方で制度が形骸化しているとの指摘も受け続けてきました。
最近のプライバシーマーク・ISMSの動きは、これに対して制度側から
積極的に変革を起こそうという流れなのではないかと私は受け止めています。


(2)認証コンサル業界の動向

一方で、プライバシーマーク・ISMSのコンサル業界側にも動きがあります。
個人情報保護法制定当時のような高価な値付けは遠い昔の話となり、
大手コンサル会社が撤退し、当社のような小規模なコンサル会社にも
大手企業からの支援要請が相次ぐようになっています。

その中で、お客様側の工数をゼロにするという代行業者や、
助成金を使って割安に取得できることをうたうコンサルなど、
粗悪なコンサル会社がネット上で集客しています。

ただし、代行業者という存在自体がプライバシーマーク・ISMSという制度と
矛盾していることは明らかであり、審査機関としては、この存在を全面的に否定しています。
また、書類を紙やPDFファイルでのみ渡すようにして継続契約を解除できないようにするなど、
お客様の立場にから見ても非常に困った、まさに粗悪なサービスとなっています。


一方、助成金についても、各自治体の認証助成金は当社でもご紹介していますが、
雇用関係助成金を認証コンサルに適用することは制度の趣旨からいって正しいとは思えません。
商談時には助成金の獲得を約束しておきながら、実際にはそれが実行されず、
大きなトラブルになっているケースもあるようです。


認証コンサルという業界は参入が容易なのは事実ですが、
なかなか甘いものでもなく、ダークサイドに堕ちてしまう場合も多いのだと思います。

(3)当社はどこに向かうのか

さて、そのような状況の中で、私たちオプティマ・ソリューションズは、
どこに向かうのか。ここに記したいと思います。

従来、私たちは「審査に通すためのコンサル」を主に提供してきました。
「審査ではここが指摘されますよ」「審査員にはこのように対応してください」
などといったやり方です。

もちろんそれは重要なことです。今後も当社はそれを継続します。


しかし、そこには一つ欠けていたものがあります。
「お客様の情報セキュリティ水準をアップする」という考え方です。

もともと、プライバシーマーク・ISMSは、
企業・団体としての情報セキュリティ水準をアップさせるための制度です。
審査員が言うからやらなくてはいけないのではなく、
自社の情報セキュリティ水準のアップに必要かどうかという視点で意思決定するべきです。

上記の通り、審査の動向は変わってきました。
審査員も重箱の隅をつつくよりは、お客様企業にとって本当にそれが必要なのかどうかという視点で、
審査を行うようになってきます。

プライバシーマーク・ISMSともに、
・指揮命令系統の確立と体制づくり
・規程の作成
・重要情報の洗い出し
・リスク評価
・リスク対策の立案
・社員教育、社内への徹底
・内部監査でチェック
・マネジメントレビューで社長のコメントをもらう
・外部の審査機関による審査を受ける
というPDCAサイクルを回し、自社の情報セキュリティ水準をアップする制度です。

これにお客様とコンサルがタッグを組んで真剣に取り組み、
お客様が企業・団体として、より高い情報セキュリティ水準を実現する。
そしてそれを審査員が厳しい目でチェックする。

それが「本気のPマーク」「本気のISMS」です。
これが当社が2019年にやっていきたいことです。


それがお客様の求めていることであり、審査員の求めているものであり、
またコンサルとしても社会的意義のある仕事になるのだと思います。

当たり前のことを当たり前に行っていきます。
これこそが粗悪コンサルにはできないことなんだと思います。

元号も変わります。当社も変わります。
どうぞ今年もよろしくお願いいたします。


2019年1月
オプティマ・ソリューションズ株式会社・代表取締役
プライバシーザムライ中康二

12






↑このページのトップヘ