プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

キーワード:マイナンバーを含む記事

デジタル社会の形成を図るための関係法律の整備に関する法律案の概要
(画像は内閣官房Webサイトより。クリックするとPDFが開きます)

皆さんこんにちは。
プライバシーザムライ中康二です。

官民で分かれていた個人情報保護法を一つにまとめる法改正が行わようとしていることは、このBlogでも何回かお知らせしてきました。

ついにその法改正案が閣議決定されて、公表されました。

なんと
------------------------------------------------------------
デジタル社会の形成を図るための関係法律の整備に関する法律案
------------------------------------------------------------
という名称のものです。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものです。(法案がA4縦で369ページもあります)

しかし!この法律の主眼は「個人情報保護法一元化」にあることも
間違いのないところです。

タイトル画像に採用した「法律案の概要」をよく見ていただきたいです。
今回の改正の趣旨は下記の3つとなっています。

(1)個人情報保護制度の見直し(=個人情報保護法の一元化)
(2)マイナンバーの活用拡大と、マイナンバーカードの利便性の向上
(3)押印・書面の公布を求める手続きの見直し

つまり、個人情報保護法一元化に加えて、ここ数年大きな関心を呼んでいる
マイナンバーとマイナンバーカードの活用拡大、
それに菅政権の目玉(?)になっているハンコ廃止運動の3つを同時に
デジタル改革の旗のもとに一気に実現してしまおうという
意欲的な法改正となっています。


内容があまりにも膨大なため、まだ私も全体を精査できていません。
ただし、民間事業者向け義務規定には全く変更がないようで、
単に条番号が変わったりするだけのようですので、そこはご安心いただきたいと思います。

今回の発表で一番驚いたのは
「公布から一年以内に施行」となっていることでした。
(タイトル画像の赤枠で囲ったところを見てください)

ということはすなわち。。。。

2020年に成立した改正個人情報保護法(2022年春施行予定)
は、そのままの状態で施行されるのではなく、
今回の
2021年に成立する予定の改正個人情報保護法
と合体して、一緒に2022年春に施行させようということのようです。


(ホントなのかな?でもそういう風に読み取れます)


個人情報保護委員会Webサイト
https://www.ppc.go.jp/personalinfo/minaoshi/

(参考記事)

個人情報保護法の民間/行政一元化法案が固まったようです〜2021年通常国会に提出の見込み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

今回の改正個人情報保護法の施行は「2022年春」に決まりました
https://www.pmarknews.info/kojin_joho_hogo_ho/52126604.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html

(私のコメント)

みなさんついてこれてますか〜〜?
個人情報保護法はほんとに変化が早すぎて、追いかけるのも大変です!


また、新しい情報が入りましたら、皆様にシェアいたしますね。

サクソバンク証券
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

FX取引(外国為替証拠金取引)や海外株式取引サービスを国内で提供しているサクソバンク証券は、今年7月に発生した個人情報流出事件に関して、詳細な調査結果を公表しました。またあわせて金融庁から業務改善命令を受けたことも明らかになりました。

同社によると、今年7月に自社の顧客管理システムに不正アクセスがあり、マイナンバーを含む多数の個人情報が流出していたとのことです。

流出したのは、同社の顧客管理システムに登録されていた情報であり
(1)「ユーザーID」「氏名」「生年月日」「住所」「電話番号」「電子メールアドレス」など38,026名分
(2)本人確認書類の画像データ(運転免許証、保険証、パスポート、住民票、在留証明書、個人番号カード)750件。
このうちマイナンバーが含まれるものが378件
とのことです。

同社では、今回の不正アクセスは海外のハッカー集団による可能性があり、情報を公開するとの脅迫も行われているものの、悪意のある集団との対話や交渉は行う予定がないと態度を明らかにしていました。

なお、この事件を受けて、金融庁は、財務省関東財務局を通して、9月18日付で業務改善命令を出したとのことです。

同社によるリリース
https://www.home.saxo/ja-jp/about-us/security-incident/final-report-personal-information-leakage
https://www.home.saxo/ja-jp/about-us/security-incident/important-notice-about-personal-information-leakage-continued
金融庁による業務改善命令
https://www.fsa.go.jp/news/r2/shouken/20200918.html

(私のコメント)
マイナンバーが大量流出しており、注目いたしました。また、海外のハッカー集団から脅迫が行われているとのことでも、注目に値する事件です。

また、何か情報が入りましたら、皆様にシェアいたしますね。


システムズデザイン社に対するプライバシーマーク一時停止
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、東京国税局など委託元の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していたシステムズ・デザイン株式会社(東京都杉並区)に対して、2020年8月24日から1か月間「プライバシーマーク一時停止」の措置をとると発表しました。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

システムズ・デザインによる発表
https://www.sdcj.co.jp/dcms_media/other/news20181218.pdf

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマーク一時停止になるということは、欠格レベルが「8または9」ということです。これは事業者に重大な過失があったと判断されたということになります。

しかし、今回の対応は少し遅いですね。
 2018年12月 事態が発覚
 2019年8月 個人情報保護委員会による指導
 2020年8月 プライバシーマーク一時停止
新型コロナによる遅れがあったとしても、もう少しタイムリーに対応していただきたいなと思いました。

た、新しい情報が入りましたら、皆様にシェアいたしますね。

NEW FEEL社プライバシーマーク取り消し
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、委託元の熊本市の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していた合同会社NEW FEEL(熊本県熊本市)に対して、1月10日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

プライバシーマークの取り消しは、先日のリクルートキャリアに続くものです。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

熊本市の広報発表
https://www.city.kumamoto.jp/hpKiji/pub/detail.aspx?c_id=5&id=24289&class_set_id=2&class_id=3054

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


マイナンバーカード電子証明書更新
(画面は役所から送られてきたパンフから)

皆さんこんにちは。
プライバシーザムライ中康二です。

政府が普及促進に躍起になっているマイナンバーカード(個人番号カード)。

一枚持っていると確かに便利です。コンビニで公的証明書が取れますし、マイナポータルにログインもできます。まだ使ってないけど確定申告のeTaxでも使えるんですよね。

あ〜、取得する時の手続きは面倒だったけど、やっぱり手続きしてよかったな〜。

と思っていたら、なんと!マイナンバーカードに入っている電子証明書の有効期限は5年間で、この更新のためにまた窓口に行かなければならないということが判明しました!

(カード自体の有効期限は10年です)

正確には電子証明書の有効期限は「発行日から5回目の誕生日まで」とのことです。

個人的なことになりますが、私はマイナンバーカードの受付が始まって一番最初に申し込んでおり、どうも2016年1月上旬が発行日になっているようです。そして私の誕生日は1月下旬なので、なんと運が悪いのか、2020年1月下旬の誕生日で電子証明書が切れてしまうようです。

区役所からお手紙が届いて、このことに気づいた次第です。

電子証明書が期限切れのまま放置していると、せっかく便利だと思っていたコンビニでの公的証明書取得や、マイナポータルへのログインも、eTaxの利用もできなくなってしまうのです。手続きには、また区役所の窓口に行かないといけないようですが、まあ行くしかないなということになります。

マイナンバーカードをお持ちの皆様も、そのうちこういうことになりますので、知っておいていただければと思います。

関連URL
https://www.kojinbango-card.go.jp/yukokigen/

また、新しい情報が入りましたら、皆様にシェアいたしますね。


myna_portal (2)
(画面はマイナポータルトップページです)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

11月13日から、マイナンバーを使った「情報連携」が始まりますが(別記事参照)、これにあわせて一般市民用Webサイト「マイナポータル」の利用も始まりました。上の画像がそのログイン後の画面です。

(1)マイナポータルとは

マイナポータルとは、マイナンバーカードの電子証明書を使って認証するWebサイトです。
そこでは
  • 行政機関が保有する自分の情報の閲覧(所得や社会保険加入状況など)

  • マイナンバーを使った情報連携によりやりとりされた自分の情報の履歴の確認

ができることとなっており、

さらにこの認証基盤を用いて
  • 各種の行政機関へのオンライン申請

などができるというものです。

(2)マイナポータルの使い方

マイナポータルを使うには、「マイナンバーカード(個人番号カード)」と対応したICカードリーダーが必要です。ICカードリーダーを内蔵している一部のAndroidスマホでも利用できます。
reader
(クリックするとAmazonのページが開きます)

(利用手順)
・ICカードリーダーを正しくセットアップします。(ドライバだけではなくソフトウェアもインストールしてください)
・対応ブラウザはChrome、IE、Edgeです。マイナポータルの画面を開きます。
・最初のログインの前にそれぞれのブラウザに対応した「マイナポータルAP」というソフトウェアのインストールが必要です。(当初、Javaのインストールが必要という話がありましたが、すでにそれは不要となっています
・マイナンバーカードをリーダーにセットします。下記の画面が出てきたらセットアップ完了です。
myna_portal (1)
・マイナンバーカードを取得する際に登録した4文字の暗証番号を入力すると、ログインできます。

(3)すでに多くの情報が閲覧可能となっています。

「あなたの情報」というところを開いていくと、自分の個人情報を確認することができます。11月6日現在、すでに地方税の情報(所得など含む)、健康保険の加入状況などは情報連携の対象となっているようです。一方で、年金など社会保障の情報はまだ連携されていないようです。
myna_portal (6)

興味深いのは、このマイナポータルも、マイナンバーの導入と同時に開発された情報提供ネットワークシステムを利用した情報連携の一つであるということです。情報提供ネットワークシステムは、一つのデータベースに情報を集めていく「一元管理」ではなく、各行政機関が持つデータをそのままにして一つのマイナンバーで紐づけしていく「分散管理」方式を採用しているため、情報はリアルタイムに出てきません。見たい情報を指定して、しばらく待つとそれが情報提供ネットワークシステムを介して情報連携され、画面に表示されるようになっています。
myna_portal (3)

表示された情報はPDFなどの形式でダウンロードすることもできます。
myna_portal (4)

下記のような画面で、マイナンバーを使った情報連携によりやりとりされた自分の情報の履歴を確認することもできるようです。
myna_portal

(4)電子申請については、少しずつひろがっていくようです

マイナポータルのトップページから、「ぴったりサービス」というWebサイトにリンクが貼られており、このサイトでは各種の申請ができるようになっています。ただし、今のところは各種の申請用紙にマイナンバーカードから読み込んだ氏名や住所などの情報を自動的に書き込んでプリントアウトできるというものが多く、電子申請までできるものはこれから広がっていくものと思われます。
myna_portal (8)

マイナポータル
https://myna.go.jp/

(私のコメント)
ようやく姿を現したマイナポータル。比較的よくできているのではないかと思います。一つだけ注文を付けたいです。このWebサイト、誰が運営しているのか日本語でのはっきりとした表記がありません。画面の一番下に英語で「Cabinet Office, Government of Japan」と記載されているだけです。
footer
利用規約を読むと、このWebサイトが「内閣府番号制度担当室」が運営していると分かりますが、このようなことではよろしくないと思います。重要なWebサイトであればあるほど、運営母体がどこなのかはっきりと記載するべきです。至急改善を求めたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


43
(画面は個人情報保護士試験《完全対策》より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

11月13日から、遂にマイナンバーを使った「情報連携」が始まります。これは氏名や住所などの基本情報や所得情報、社会保険の加入の有無などの情報を、税務署、地方自治体、年金機構、健保組合などの間でやり取りする仕組みのことです。(上図の情報提供ネットワークシステムを介した情報のやり取りがそれです)

あくまでも番号法に記載された利用目的だけに限定されており、また利用履歴は本人がマイナポータル上で確認できることになっています。

総務省からの案内はこちら
http://www.soumu.go.jp/menu_news/s-news/01kanbo07_02000001.html

(私のコメント)
情報連携のスタートにより、マイナンバー導入の目的の一つである「行政の効率化」の実現に向けて大きく動き出したと言えるでしょう。行政の効率化はマイナンバーの真価が問われるところです。是非効率化を実現していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


23
(画像は個人情報保護委員会のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

個人情報保護委員会がWebサイトで公表した注意喚起によりますと、仮想通貨の取引に関連してマイナンバーの提供を求める事例が発生しているそうです。

株式や債券の取引を行う証券会社では税務処理のためにマイナンバーの提供を求めています。そこから連想すると、仮想通貨の取引においてもなんとなくマイナンバーが必要かのように思えますが、2017年10月現在、仮想通貨の取引にマイナンバーは必要ありませんし、使えません。

皆様も騙されないようにご注意ください。

https://www.ppc.go.jp/news/careful_information/

また、何か情報が入りましたら、皆様にシェアいたしますね。



31
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先日、米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)が、米国版マイナンバーである社会保障番号を約1億4千万件以上流出してしまい、大きな問題になっているという事件を記事にしましたが、その後も混乱が続いているようです。

Equifax社は、今回の事件の対応のために専用のWebサイト(equifaxsecurity2017.com)を立ち上げたのですが、こともあろうに同社の公式Twitterがほんの少し違う偽URL(securityequifax2017.com)を記載してユーザーに案内してしまったといいます。

securityequifax2017.comというドメインは、セキュリティの専門家がわざと本物のサイトに似せて作った偽サイトであったにも関わらず、同社のTwitter管理者自らがまんまと引っかかってしまったということのようです。

下記URLの記事の中で、セキュリティの専門家のコメントとして「Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」との意見が記載されています。

http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html

(私のコメント)
先日の記事を書いているときに、事件の後始末のためだけに専用のドメインまで取ってるのはすごいけど、ひと段落したらドメインごと削除するつもりなのかなと私も少し気になっていました。新しいドメインを作成すると、今回のように偽サイトが登場したり、それに間違えてアクセスしてしまうことが起こるのですね。重要な局面であればあるほど、自社のWebサイトとしてみんなが知っていて信頼のおけるドメインを使わないといけないのだと改めて思いました。

たとえ話で言うと、大通りに立派な本社ビルが立っているのにも関わらず、「事件の対応は裏通りに用意した専用テントで受付します」と言って顧客をそちらに誘導していると、そこに行く途中にそっくりの偽テントが立っていて、ぞろぞろ顧客がそこに入っていっている、そんなことになるのだと思います。ドメインの使い方ひとつで、セキュリティ水準を下げてしまうということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



201970921
(画面はNISCのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

内閣サイバーセキュリティセンター(NISC)のWebサイトに、来年度の政府予算概算要求に含まれるサイバーセキュリティ関連予算の情報が掲載されています。

総額728億円で、主なところを見ると
  • 内閣官房が、NISC運営費として49億円
  • 総務省が、ナショナルサイバートレーニングセンター構築費として17億円
  • 経産省が、IPA交付金101億円!
  • 防衛省が、航空機・船舶・車両などのサイバー攻撃対策研究に45億円
  • 個人情報保護員会が、マイナンバーセキュリティ監視に12億円
  • 文科省が、セキュリティ人材育成に21億円
  • 厚生労働省が、年金機構を含む組織全体のセキュリティ強化に47億円
などとなっています。

詳細はPDFファイルをご参照ください。
しかしIPA交付金100億円超とは、うらやましいですね!

http://www.nisc.go.jp/
http://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf

また、何か情報が入りましたら、皆様にシェアいたしますね。




45
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)は、自社のWebサイトに不正アクセスが発生し、約1億4000万人以上の社会保障番号を含む個人情報が流出したと、9月7日に発表しました。

今回流出した個人情報は、米国とカナダの在住者の名前、住所、生年月日と、社会保障番号を含む約1億4300万件とのことです。また、一部については運転免許証番号、クレジットカード番号なども含まれているとのことです。また、今回の不正アクセスは、同社のWebサイトのアプリケーション脆弱性を悪用したものであり、今年5月中旬から2017年7月まで続いていたとのことです。

同社では今回の事件に対応するための専用のWebサイトを開設し、流出の有無をオンラインで確認できるようにしています。また、流出した被害者に対しては、専用のIDを発行し、信用情報業界大手三社における自分の信用情報を無料で確認してロック/アンロックできる機能や、被害を補填する保険を提供するなど、様々な対策を行うとしています。

https://www.equifax.com
https://www.equifaxsecurity2017.com/

(私のコメント)
米国では社会保障番号が事実上の国民総背番号になっており、この番号を提示することで信用情報が検索されて、金融機関の口座開設やクレジットカードの作成など様々な金融サービスに利用されています。一方で社会保障番号にはパスワードなどの認証機能がありませんので、番号が分かるだけで他人に悪用される事件が頻発しており、従来から問題とされていたところでした。今回の大規模流出をどのように乗り越えていくのか注目していきたいです。

なお、日本のマイナンバーが、厳格に目的外利用を禁止したり、何種類ものパスワードを用意しているのは、この米国の社会保障番号と同様の問題を起こさないようにと事前に工夫された結果ということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。





プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、プライバシーマークの申請書類のフォーマットを見直すと発表しました。

これはかねてより告知されていたもので、審査の迅速化の取り組みの一環として、プライバシーマークの取得・更新時の申請様式が変更されるものです。今回の主な変更点は下記のとおりです。

・年表記を「和暦」から「西暦」に変更
・【申請チェック表】「現地審査時期の希望時期」「コンサルティング会社の事業者名」などのアンケート欄を追加、更新の場合で「事業者名」「本社所在地」「代表者」の変更に関する「変更報告書」が未提出の場合の提出を義務化

・【申請書】「法人番号」の記入欄を追加
・【様式4】事業所リストに「従業者数」「他社との同居の有無」の記入欄を追加
・【様式5】「事務取扱担当者(マイナンバー取扱者)」「情報システム管理者」の記入欄を追加。「教育担当者」「その他の担当者」の記入欄を削除
・【様式6-10】「文書一覧」「要求事項対応表」「教育実施サマリー」「監査実施サマリー」「見直し実施サマリー」について、同じ内容が記載された代用資料の提出も可に
・【追加資料】「法規制管理台帳」「個人情報台帳」「リスク評価表」について、最低1枚の提出が必須に
・【任意提出】「教育記録」「監査記録」「見直し記録」など任意で提出することで現地審査の所要時間を短縮できるように

新しいフォーマットでの申請受け付けは4月3日(月)より始まり、古いフォーマットでの申請受け付けは6月30日(金)で終了するとのことです。JIPDEC以外の審査機関からも同様のフォーマットが公表される予定です。

https://privacymark.jp/news/2017/0327/index.html







↑このページのトップヘ