個人情報保護法施行規則が令和5年12月27日に改正され、令和6年4月1日付で施行されました。この改正に伴い、ガイドライン通則編やQ&Aも改訂されています。 今回の改正では、①不正目的をもって行われたおそれがある漏えい等発生時における個人情報保護委員会への報告と本人への通知、②安全管理措置、③保有個人データに関する事項の公表等の3点について、対象が拡大されました。 これらは実務上の影響が大きいにもかかわらず、施行後も自社が受ける影響の内容を正確に認識できていない事業者が少なくないと思われます。本稿では本改正に合わせて新たに追加・更新されたQ&Aも交えて解説します。 凡例 本稿における主な略称は以下のとおりです。

誤ったKYCがなりすましの「抜け穴」に 顧客などの本人確認を「KYC：Know Your Customer」と表現することがある。広義には顧客の属性情報を把握するという意味だが、金融機関や課金サービスにおいては契約者の本人性・真正性を確認する場面でも使われる。

「偽造マイナンバー」による詐欺事件が増加 ある都議会議員が「スマートフォンを乗っ取られた」という注意喚起的なポストをXに投稿した。所持していたスマートフォンの契約キャリアを切り替えられ、身に覚えのない支払いやパスワード変更通知を受け取ったという内容だ。一連のポストによると、家族も同じ被害に遭い、ショップや当局への相談・通報などを行ったという。 本人が関知しないところで通信事業者を変更ができてしまった理由として、一体何が考えられるだろうか。 現在、スマートフォンやSIMの契約は、本人以外が行うことは非常に困難となっている。原則として店頭などで本人確認ができない限り、新規の契約はできないようになっているのだ。 その本人確認にマイナンバーカードを使うことが増えているのだが、今回の事件では「偽造したマイナンバーカードが利用されたのでは？」という推理や主張がソーシャルメディアで話されている。 実際、

ランサムウェアをはじめとしたサイバー攻撃の手口は日々進歩している。巧妙化する新たな攻撃を防ぐためには、まずその手口を知るところから始めるべきだろう。 グローバルで活動するSplunkのセキュリティ調査チーム「SURGe」で主席セキュリティストラテジストを務めるシャノン・ディヴィス氏が、同チームの研究結果から今注意すべきサイバー攻撃を明らかにした。 ランサムウェアはわずか5分で10万個のファイルを暗号化する ――SURGeチームの概要について教えてください。 ディヴィス氏：　SURGeはSplunkのセキュリティ調査チームで、2021年5月に発足しました。コアメンバーは米国や欧州、オーストラリアなどで業務に当たっており、スポットで活動する社内メンバーを含めると50人程度です。 ――Splunkには脅威インテリジェンスチームもありますが、SURGeと同チームの役割はどのように異なるのでしょうか

サイバーセキュリティリスクの高まり デジタル化の進展や、働き方の多様化に伴うテレワークの増加、モバイルデバイスの活用、クラウドサービスの利活用、サードパーティーの多様化と複雑化などに伴い、企業がサイバーセキュリティ対応すべき範囲は拡大しています。同時にサイバー攻撃もデジタル技術の活用により、高度化および巧妙化が進んでいます。サイバー犯罪者は、エコシステムを構築し、組織的な攻撃を行うようになってきていることから、企業にとってIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。 日本のCSIRTによく見られる課題 企業がサイバーセキュリティリスクにさらされる危険度が増している現状において、その対応の要となる組織の1つがCSIRT（Computer Security Incident Response Team）です。CSIRTと

「Memory updated」にカーソルを合わせると記録された内容と「Manage memories」ボタンが表示され、ここからMemory管理画面に移行できる。ここで記録されたくない項目を削除できる。 Memoryに記憶させた項目については、以降は指定しなくても自動的に反映される。例えば上記の例では「会議を要約して」と依頼するだけで、見出し、ポイントの箇条書き、最後のまとめを含む要約が提示される。 EnterpriseおよびTeamsプランでもMemoryが利用可能になる見込みだ。また、GPTの開発者は、自分のGPTのメモリを有効にできる。GPTのMemoryに記録した項目が開発者と共有されることはない。 関連記事 OpenAI、ChatGPTに会話を記憶させる「Memory」テスト開始　初期設定はオン OpenAIは、ChatGPTに会話を記憶させる「Memory」機能のテストを開始

関連キーワード 人工知能 テキストや画像を自動生成する「生成AI」（ジェネレーティブAI）を、ビジネスの効率化や顧客体験（CX：カスタマーエクスペリエンス）向上に役立てる企業の動きが進む。代表的な生成AIサービスとして、AIベンダーOpenAIの「ChatGPT」とGoogleの「Gemini」がある。それぞれどのような使い方に向いているのか。 本稿は、大規模言語モデル（LLM）「GPT-3.5」をベースにしたChatGTPと、LLM「Gemini Pro」をベースにしたGeminiに4種類のプロンプトを投げ、出力された回答を比較した。プロンプトはアイデア出し、コンテンツ作成、計画策定、開発支援の4つのテーマで作成した。 「ChatGPT」と「Gemini」の回答を4つのプロンプトで比較 併せて読みたいお薦め記事 連載：OpenAIとGoogleの生成AIを比較 第1回：生成AI“2大ツー

セキュリティ対策の基本の構成レビューでは、組織の資産やソフトウェアを安全に構成し、アタックサーフェス(攻撃対象領域)を最小化することが重要です。本稿では、ハードニングの考え方や具体的な手法、外部コンサルタントの活用、ベンチマークの利用など、組織のセキュリティを高めるための実践的なポイントを解説します。ハードニングを通じて、サイバー攻撃のリスクを最小限に抑えましょう。 IT部門管理職に向けて、国際的ガイドラインであるCISコントロールに基づいた資産管理と対策方法について紹介する連載。過去の記事一覧はこちら。 4.1. ソフトウェアやサービスの安全な利用について 4.1.1. 買ったばかりの製品は安全ではない OOTBという単語をご存知でしょうか。これはOut-of-the-Boxの略語で、購入して箱から出したばかりの状態でいきなり利用できるITシステムのことを指す言葉です。OOBと略されるこ

Gemini搭載の脅威インテリジェンス「Google Threat Intelligence」、Google Cloudで 米GoogleのGoogle Cloudは5月6日（現地時間）、サンフランシスコで開催のセキュリティカンファレンスRSA Conference 2024で、新たな脅威インテリジェンス「Google Threat Intelligence」を発表した。Google Cloudで提供を開始した。 脅威インテリジェンスとは、サイバー攻撃や悪意のあるアクターに関する情報を収集、分析、共有する取り組み。Google Cloudでは従来、2022年に買収したMandiantによる脅威インテリジェンスツール「Mandiant Threat Intelligence」を提供していた。 新ツールは、Mandiantの専門知識、Googleのマルウェア検知データベース「Virus Tot

関連キーワード 人事 企業では、IT人材の不足が課題となっている。調査会社Statistaが2024年2月に公開したデータによると、2023年に世界のIT企業の54％が従業員のスキル不足を経験したとい う。この動きの中で企業が注目しつつある人材が「ニューカラー」だ。ニューカラーはホワイトカラー（知的・技術労働者）やブルーカラー（現場従業員）とは何が違い、なぜ求められているのか。 ニューカラーが求められる理由 併せて読みたいお薦め記事 人材不足とアルムナイ制度 採用難から注目集まる「アルムナイ」制度　参加したくなるグループとは？ 退職した人材の再雇用を狙う「アルムナイ制度」　企画倒れで終わらせないポイントは 技術が急速に変化する中で、企業は学歴よりも業務経験や高度なスキルを持つ人材に着目し始めている。ニューカラーは、IBMが提唱した人材の概念だ。大学の学位や実務経験は不問で、コミュニティーカ

2024年5月7日、Googleがサイバーセキュリティツールの「Google Threat Intelligence」を発表しました。Google Threat Intelligenceは、Googleが提供するサイバーセキュリティツールの「Mandiant」と「VirusTotal」をGoogleのネットワークおよびチャットAIの「Gemini」と統合したもので、使用することでより実用的な対策ができるようになるとのことです。 Introducing Google Threat Intelligence: Actionable threat intelligence at Google scale | Google Cloud Blog https://cloud.google.com/blog/products/identity-security/introducing-google-t

関連キーワード 人工知能 | パスワード | セキュリティ 「生成AI」（エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術）が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。 有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」（Passkey）という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。 「パスキー」を使う“パスワードレス認証”の利点とは？ 併せて読みたいお薦め記事 連載：生成AIで変わる攻撃と対策 前編：「攻撃専用GPT」が生成する“見破れない詐欺メール”　その恐ろし過ぎる現実 そもそも「パスワードレス認証」とは

ISC2が、2023年4～5月に実施した約6000人を対象とする調査によると、米国のサイバーセキュリティの専門家の平均年収は14万7138ドルだった（注1）。 サイバーセキュリティは困難だが、“もうかる仕事”だ サイバーセキュリティ業界の給与は高いが、男女の格差も大きい。非管理職において、女性の平均年収は13万1000ドルである一方で男性は13万8000ドルだった。また、管理職の女性の平均年収は13万8000ドルだったが、同じ職務に就く男性の平均年収は15万ドルだった。 調査によると、新入社員の平均年収が8万6000ドルであるのに対し、取締役および中間管理職の平均年収は17万5000ドルで、経営幹部の平均年収は21万5000ドルだった。 サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多い。しかし給与は悪くない。さらに、サイバーセキュリティ職のトップ層