サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
猛暑に注意を
www.pmarknews.info
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (7月開催のPマーク/ISMS担当者勉強会のプレゼン資料より) ※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。 皆さんこんにちは。 プライバシーザムライ中康二です。 (オプティマ・ソリューションズ株式会社・代表取締役) 2022年4月の改正個人情報保護法の施行に向けて、個人情報保護委員会などで 様々な準備が進められていますが、その中で、一つ明確になったことがあります。 それはクッキー同意ボタンは法改正後も原則不要ということです。 (クッキー=Cookie、Webサイトで端末識別に利用される情報のことです) 改正個人情報保護法では、個人関連情報という概念が創設され、 「提供元では個人情報として認識されないが、提供先で個人情
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像はJIPDECのWebサイトより) 皆さんこんにちは。 プライバシーザムライことオプティマ・ソリューションズの中康二です。 先日、「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜という記事を掲載しました。 米国NISTのガイドライン見直しを受けて、日本のNISCや総務省も正式に方針を転換し、長らく続いてきた「パスワードの定期的変更は必要なのか」という議論に終止符が打たれたという内容でした。 この流れを受けて、プライバシーマークの審査基準にも早速見直しが入りました。 プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月10日付で、プライバシーマーク
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像はネットワークビギナーのための情報セキュリティハンドブックより) 皆さんこんにちは。 プライバシーザムライことオプティマ・ソリューションズの中康二です。 電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。国内でもメガバンクなどのオンラインバンキングでは一定期間が経過すると強制的にパスワード変更を促されるようになっています。またプライバシーマーク・ISMSの審査においても、パスワードの定期的な変更は行うのが当然とされてきてました。 一方で、「パスワードの定期的な変更は無意味だ」という意見も出され続けていました。実際にパスワードの定期的な変更を強制すると、「
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 改正JIS Q15001は12月20日に正式発表される見通しです。 詳細は下記URLをご覧ください。 http://www.pmarknews.info/privacy_mark/52062422.html JIS Q 15001改正を解説したセミナー動画の配信を始めました。 【JIS Q 15001改正】プライバシーマークの審査はどう変わる? 緊急解説セミナーの動画を配信します http://www.pmarknews.info/privacy_mark/52062005.html (画面は改正案の目次です) いつもお世話になります。 オプティマ・ソリューションズ株式会社の中康二です。 プライバシーマーク公式Webサイトの情報によると、7月20
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画面はJIPDECサイトより) Tポイントを運営しているカルチュア・コンビニエンス・クラブ株式会社(大阪府大阪市)が、プライバシーマークの有効期限が昨年の2月7日に切れたまま、一年以上が経過する異常事態になっています。 プライバシーマーク制度は、有効期限が切れていても、審査が継続している間はマークの継続利用が許されることになっています。ですから同社の場合も審査が継続しているものと推測されます。 JIPDECのプライバシーマーク付与事業者リスト(か行) http://privacymark.jp/certification_info/list/kana/list_ka.html 私たちが大切にしていること(カルチュア・コンビニエンス・クラブ) h
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画面はLAC社の分析資料より) 大きな問題となっている日本年金機構からの個人情報流出事件について、情報セキュリティの専門会社である会社ラック(東京都千代田区)による分析資料が公開されましたので、本Blogでもご紹介します。 (要旨) 今回の事件は「標的型サイバー攻撃」によるものである。年金機構では加入者の情報を「社会保険オンラインシステム」という基幹システムで管理されており、これはインターネットと接続された情報系システムとは接続はされておらず、本来は閉鎖ネットワークとなっていた。それにもかかわらず、何らかの理由により基幹システムから書き出された加入者情報が情報系システムに複製され、それが流出した。 今回の事件の原因は「公共団体は狙われやすいとい
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (追記)改正個人情報保護法の全面施行日は2017年5月30日に決まりました。詳細は下記の記事をご参照ください。 http://www.pmarknews.info/kojin_joho_hogo_ho/52036276.html (画面は内閣官房・IT総合戦略室の資料より) 個人情報保護法の改正案が今の国会にかけられていますが、法案がうまく国会を通過したとして、これが実際に施行されるのはいつになるのだろうかということが、みなさんの関心事かと思います。これに関する一つの資料が出てきておりますので、ここでシェアしたいと思います。 総務省が開いている「ICTサービス安心・安全研究会」という研究会があり、その一部として「個人情報・利用者情報等の取扱いに関
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画面はYahoo!JapanのWebサイトより) ヤフー株式会社(東京都港区)は、3月17日付で、カルチュア・コンビニエンス・クラブ株式会社(大阪府大阪市、以下CCCと略)との間で、情報連携を実施すると発表しました。 これは、かねてより発表されていた「Tポイントシステムで収集された購買履歴」と「Yahoo!Japan IDを使って収集されたWeb閲覧履歴」を連結させて、お互いのマーケティング活動に活かそうというもののようです。 同社のリリース文を読んだだけではなかなか分かりにくいのですが、要するにやりたいことは下記のような内容だと思われます。 (1)ヤフー→CCCに流れる情報を利用して、Tポイント参加企業は、自社の顧客がどのWebサイトを見てい
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像はJIPDECが公開した映像より) プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターの福井センター長は、1月28日に東京国際フォーラムで開催された「JIPDECプライバシーマークフォーラム2015」の中で、今後の個人情報保護法改正への対応について下記のように説明しましたので、情報共有いたします。 個人情報保護法の改正が国会で決まったとしても、その後の流れは下記のようになる。 1)法案の成立 2)政省令の公布、ガイドラインの発表 3)JIS Q 15001の改正 4)プライバシーマーク制度への反映(審査基準等) 個人情報保護法が成立した際には、上記のステップを経るのに3年く
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画面は同社Webサイトより) ベネッセ社からの大規模な情報流出に関して、その後のリリースや報道などで明らかになった経緯をまとめておきます。 (1)情報の持ち出しにはAndroidスマホが使用された 今回の事件では、情報の持ち出しにAndroidスマホが使用されたといいます。容疑者に貸与されていた業務用ノートパソコンは、USBメモリが使用できないようなロックがかかっていましたが、使用された最近のAndroidスマホは別の方式でPCにマウントできたために、このロックをすり抜けたようです。容疑者は、たまたま充電しようと接続した際にこの抜け道に気付き、情報の持ち出しを計画したといいます。 従来の方式>MSC(Mass Storage Class)※US
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像は日本規格協会の発表文書より) ISO27001の日本語版となる「JIS Q 27001:2014」が3月20日に発行されることとなり、一般財団法人 日本規格協会で予約受付を開始しています。 今回発表される文書は下記の三種類です。 (1)JIS Q 27000:2014 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語 1,800円 (2)JIS Q 27001:2014 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項 2,200円 (3)JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 3,900円 http://www.jsa.or.
この度、弊社従業員が、お取引先担当者様の個人情報を含む私用のスマートフォンを紛失するという事態が発生いたしました。本件の経緯と今後の対応につきまして、下記のとおりお知らせさせていただくとともに、お取引先担当者の皆様にご心配とご迷惑をお掛けすることになりましたことを深くお詫び申し上げます。 1.紛失の経緯について 平成 25 年 4 月 ●● 日(●)午後 10 時 30 分頃から翌日午前 2 時 00 分頃までの間、東京都中央区●●●周辺又は帰宅途中のタクシー車内において、弊社従業員が、お取引先担当者様の氏名及び電話番号(約 100 件)が登録されている私用のスマートフォンを紛失いたしました。 平成 25 年 4 月 ●●日(●)、弊社従業員が紛失したと思われる行動範囲を探しましたが、発見することができなかったため、携帯電話会社へ連絡し、当該スマートフォンの使用停止措置を実施しました。また
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 今年に入って、国内著名Webサイトへの不正アクセスが相次いでいます。 それらの不正アクセスの特徴は「少ない回数で正確なパスワードを当てている」ということです。すなわち、何千回何万回もいろんなパスワードを試して認証を突破するのではなく、僅かな回数でそこを突破しているのです。これはどういうことでしょうか? これは「パスワード使い回し」を突いたものと思われます。こういうことです。 0)ユーザーが、セキュリティレベルが低い無料サービスAと、セキュリティレベルの高い著名サービスBに同じパスワードを設定する。 1)悪意のハッカーが、Aから大量のIDとパスワードを盗み出す。 2)悪意のハッカーは、Aから盗み出したIDとパスワードの組み合わせをBのログイン画面に
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像はICO公式Webサイトにおける発表記事) 英国の情報コミッショナー事務局(ICO)は、2011年に大規模な個人情報流出事件を起こしたソニー(現地法人のSony Computer Entertainment Europe Limited)に対して、データ保護法が求めるデータ保護原則遵守義務違反があったとして25万ポンド(約3500万円)の制裁金をかけると、1月24日付で発表しました。 ICOによると、2011年の事件は、氏名、住所、メールアドレス、生年月日、パスワードなどの個人情報が大量に流出したものであり、またクレジットカード情報も危険にさらされるというものであったが、本来は、サーバーなどのソフトウェアを適切にアップデートしていれば、これ
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 2013年11月19日追記: 本Blog記事を書いた後、iOSの仕様が変更になり、OSに設定したGoogleアカウントをサードパーティーアプリで使えるようになりました。その他にもGoogleアカウントに2要素認証を取り入れることへの環境整備が進んできたと思います。従って、今後、私はGmailの2要素認証を使用することを推奨いたします。(中康二) 昨年末より、Gmailのアカウントを乗っ取られて知らない間にお知り合いにSPAMメールが送られていたとの声がネット上で多く見られます。どうやらGmailに対する不正アクセスが頻発しているようです。 複数の情報をまとめてみますと、 (1)まず、Google社から「不正なログインをブロックしました」とのメール
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (出典:カルチュア・コンビニエンス・クラブ株式会社の届出用紙) カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)が発行し、運営している「Tポイント・カード」が、個人情報保護法に基づく開示請求に応えないということで、ネット上で話題になり、本Blogでも取り上げました。 本件に関しては、同社がプライバシーマーク認定事業者であったことから、JIPDECのプライバシーマーク事務局から問い合わせが行われていましたが、同社からは「業務に著しい支障があるので基本データ以外は開示請求に応えない」との回答があり、JIPDECとの間でやり取りが続いていました。 その結果、同社では10月15日から、Tポイントプログラミング加盟店における「商品名を含む利用履歴
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画面は同社Webサイトより) 株式会社NTTデータは、11月27日付で、自社が運営する地銀共同センターから取引情報が不正に持ちだされ、ATMから現金が引き出された可能性があると発表しました。また、本件に関連し、業務委託先企業の社員が京都府警に逮捕されたとのことです。 逮捕された委託先社員は、2003年4月より同センターの構築に加わっており、かなりシステムの内容に詳しかったということです。 また、不正に取得された情報は、 ・地銀共同センター参加銀行と提携金融機関の間での取引情報 (口座番号、暗証番号含む) とのことで、この情報を使用してキャッシュカードを偽造して、ATMから現金を引き出していたようです。 (私のコメント) 内部に常駐する委託先の犯
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (出典:JADAC発表文書) レンタルサーバー大手のファーストサーバ株式会社(大阪市中央区)が6月20日に起こした大規模な障害に対して、プライバシーマークの審査を担当している一般財団法人日本データ通信協会(JADAC)のPマーク審査会(会長:鈴木正朝新潟大学教授)は、10月24日付で「プライバシーマーク制度における欠格事項及び判断基準」に基づいた措置を「注意」とすると発表しました。 「注意」はプライバシーマーク制度の中で最も軽度な措置になります。なぜ、そのような軽度な措置で済まされるのか、今回公表された文書を解読したいと思います。 今回の大規模障害は 1)当該サービスの全データ消失(バックアップファイル含む) 2)ディスク復旧ツールを使用して復旧
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 全世界で急速に普及が進むFacebook。 Facebookについては、お友達と距離を超えてオンラインでの交流ができるプラスの面と、個人情報やプライバシー情報を世界規模で収集しており、悪用されると恐ろしいというマイナスの面があり、常に議論の対象となってきました。 そのFacebookで、マイナスの面を少しでも小さくするために、使用しない方がいいと思う機能がひとつあります。それは「スマホのアドレス帳の中身をFacebookにアップロードする機能」です。 スマホのFacebookアプリの「友達を検索」という画面で「連絡先」という画面を開くと、自分のスマホの電話帳に含まれるすべての名前とメールアドレスをFacebookにアップロードするようになります。
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 2012年12月6日追記:同社では2012年10月15日から購入履歴データの開示請求に応えているようです。詳細はこちらの記事を御覧ください。 http://www.pmarknews.info/archives/51872139.html (出典:T-SITE) 興味深いことが起こっていますので、本Blogでもご紹介したいと思います。 多くの利用者を持つ「Tポイントカード」。今や発行元のカルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)が運営するTSUTAYAだけではなく、多くの業種のチェーン店で利用できて、様々な購入履歴データを大規模に収集しています。当然ながら、これらのデータは ・個人情報データベース等に収められていて ・6ヶ月以内に
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 プライバシーマークの審査機関の一つである 社団法人コンピュータソフトウェア協会(CSAJ)プライバシーマーク審査室から、 「JIS Q 15001:2006」の『解説』が改訂されたとの案内が来ましたので、 本Blog上でもご紹介いたします。 「JIS Q 15001:2006 個人情報保護マネジメントシステム−要求事項解説(2011年改訂)」 http://www.webstore.jsa.or.jp/webstore/JIS/html/jp/expl/jis_q_15001_000_000_2006_expl_j_ed10_ch.pdf 主な変更点> ・経産省ガイドラインで追加された例示の追加 ・取得時の表示事項など、いつ何を告知するべきかの一
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 個人情報漏えいが発生しますと、各企業はお詫び文をウェブサイトに掲載したり、お詫びの記者会見をしたりします。しかし、どの程度の内容で、どの程度の対応をするべきなのでしょうか? もちろん、これは各社の考え方によるものです。些細な内容でも厳格さを保つために外部に公表するという判断もあれば、かなりひどい内容でもイメージダウンを避けるためにできるだけ外部には公表しないという判断もあるでしょう。 しかし、ある程度、共通認識と言いますが、一定の線は引けるのではないかと思うのです。 これは、つい最近、あるとても有名な企業が出したお詫びのプレスリリースです。 個人情報漏えいのお詫びとご報告 この度、当社社員が自宅の私有パソコンに保存していた当社社員の個人情報がイン
2011年02月21日15:25 カテゴリ製品・サービスのご紹介 お問い合わせフォームを簡単にSSL暗号化する方法 プライバシーマークの審査で(なぜか)絶対的に要求されるポイントとして お問い合わせフォームの暗号化(SSL化) というのがあります。 どうしてこのポイントだけが絶対的に要求されるのかという疑問は少し横に置くとして、審査員のこの要求にどのように対応するかという話がプライバシーマークの取得の現場では日常的に発生しています。 ものすごくお金のある会社でしたら、 ・自社のWebサーバーを共用ではなく専用に切り替えて、 ・自社の電子証明書を発行してもらって、 ・自社ドメインでの暗号化をする となりますが、そこまでの費用をかけることができないし、またその必要がない場合が多いです。 このようなニーズに応えるものとして「レンタルフォーム」というサービスが沢山あり、かなり安い
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 IT業界でクラウド型サービスが話題を集めるに連れて、下記のような質問や声をよく聞くようになりました。 「GoogleAppsやSalesForceを使用しているとPマーク取れないのですか?」 「うちはPマークを取ってますので、Google AppsやSalesFoerceは使えませんよね」 (Google Appsのことを知らない方は、企業向けのGmailと思ってください) 簡単に答えをいうと、そんなことはありません。クラウド型サービスを利用しているからと行ってPマークが取れないことも有りませんし、Pマークを取っているからといってクラウド型サービスを利用できないわけでもありません。 おいおい、そんな大胆なことを言っていいのかというご意見を持つ人も
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、この3月から「性風俗関連特殊営業」を営む事業者の申請を受け付けないこととしたようです。 これは、2月2日付でプライバシーマーク公式Webサイトが更新されて、3月1日以降にプライバシーマークの申請を行う際の注意書きが新たに掲載されましたが、その中で下記の記述があることで判明しました。 ------------------------------------------- なお(略)「風俗営業等の規制及び業務の適正化等に関する法律」(昭和23年7月10日法律第122号)第2条第5項に規定する「性風俗関連特殊営業」を営む事業者は、申
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 いつもお世話になります。 オプティマ・ソリューションズの中康二です。 プライバシーマークの制度を運営している(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターが、今年10月から12月にかけて全国で開催した「プライバシーマーク付与事業者向け研修会」において、個人情報の特定方法に関する一定の考え方を示したようですので、本Blogでもご案内いたします。 当日配布された資料から引用します。 -------------------------------------------------- 4.3 個人情報を特定する方法 4. 特定するときの留意点 (1)特定すべき個人情報 事業の用に供する全ての個人情報を特定することが基本
(画像は国税庁適格請求書発行事業者公表サイトより) 皆さんこんにちは。 プライバシーザムライ中康二です。 ちまたで大騒ぎになっている国税庁の「インボイス制度」。 国内のすべての法人、個人事業主が対象となるため、あちらこちらで大騒ぎになっています。 インボイス制度の是非はともかく、各事業者や個人事業主に「適格請求書発行事業者登録番号(略して「登録番号」)」という番号が発行され、国税庁の適格請求書発行事業者公表サイト上でそれが公開されていますので、本Blogとしてはまずはそのことを取り上げたいと思います。 10月以降の取引に関する全ての請求書やレシートに、この登録番号を明記しなければならないというのが国税庁の新しいルールになっています。登録番号はマイナンバーとは異なり、秘密として取り扱うものではないとされています。 この登録番号は「T+数字13桁」というフォーマットになっています。登録番号で検
このページを最初にブックマークしてみませんか?
『プライバシーマーク・ISMSナビ』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
