(写真は東海道新幹線の車窓から見えた富士山です)
新年あけましておめでとうございます。
プライバシーザムライ中康二です。
新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。
(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
この情報が、皆様にとって何かの参考になればと思います。
今年もよろしくお願いいたします。
また、新しい情報が入りましたら、皆様にシェアいたしますね。