PCIデータセキュリティスタンダード「PCIDSS」
最近、アメリカではPCIDSSが盛り上がっているようです。
日本では馴染みが薄いこのPCIDSSとは、「カード・ブランド会社5社(JCB・American Express・Discover・MasterCard・VISA)が2004年12月に共同で策定したクレジット業界の情報セキュリティの規準」です。
以下のJCBのサイトにPCIDSSの説明が日本語で記載されています。
JCB:PCIデータセキュリティスタンダード「PCIDSS」
情報セキュリティの基準と言えば、ISO27001/ISMSが思い浮かびますがISMSでは「情報セキュリティ対策の『基準』が明確には示されていない(要は、自社でどこまでやるか決定できる)」が、PCIDSSでは『パスワードは90日以内に変更する』といった明確な基準が定められているのが特徴です。
今後、アメリカ同様に日本のクレジット業界にもこの基準が浸透してくるかも知れませんね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
NTTデータが自宅勤務制度を運用開始
IT mediaの記事によりますと、大手システムインテグレーターのNTTデータが全社員を対象に上司の承認を得れば、原則として月8回まで自宅勤務できる自宅勤務制度の運用を開始したようです。
IT media:NTTデータ、全社員に自宅勤務を許可
自宅勤務でやはり最初に思い浮かぶ問題は「情報の管理、セキュリティ」ですが、NTTデータでは
・ 業務で使用するPCは会社貸与のシンクラインアントPCに限定
・ 紙媒体は使用禁止
といった対策を行うことにより、自宅に情報を残さないような運用をするようです。
これからのワークスタイルの1つとして「自宅勤務」は、非常に注目されていますし、個人的には家族との時間が増えることや通勤ストレスの解放などがあり望ましいことだと思っております。
ただ、会社側からするとセキュリティを確保するための対応、準備をしっかりとする必要がありますね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報セキュリティ理解度チェック
JNSAから情報セキュリティの理解度チェックサイトがオープンしているようです。
JNSA:情報セキュリティ理解度チェック
上記のサイトは管理者機能が備わっており、企業の情報セキュリティの教育責任者等が管理者として登録して社員の方にこのサイトで理解度チェックを実施してもらう事も可能です。
情報セキュリティに関する教育を工夫されている会社も多いですが、このサイトを利用してみるのも1つの方法ですね。
「情報のセキュリティを守るには、一人ひとりのセキュリティリテラシー向上が必要です」というのは非常に重要なことですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
大手企業のアクセス制限
幸松です。
ITmediaの記事によると、大手企業の多くが2チャンネルへのアクセス制限を授けているとのことです。また、mixiやGreeなどのSNSへのアクセスも制限している会社が多いことがアンケート結果からわかります。
ITmedia:大企業の約8割、2ちゃんねるにアクセス制限
仕事に直接「関係しないだろう」と思われるサイトに対してのアクセス制限を授けている企業が多いですが、掲示板やSNS等から情報収集したりと仕事に使っている人もいると思われます。
企業側からすると全社員の意見を聞くのも難しく、どうしてもこのアンケートの回答結果に出てきたようなサイトはアクセス制限を授ける対象とするのは頷けます。
株のサイト等も同様にアクセスしている企業はありますね。ただ、株の売買やWebの閲覧も最近では携帯電話から行う人も増えています。
やはり最終的には一人一人の意識の問題になってきますね。単純ですが根気強く教育を実施してセキュリティや仕事に関する啓蒙を続けていくことが大事になってくるでしょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
プライバシーマークの審査について
幸松です。
今日は、プライバシーマークの審査員について物申します。
プライバシーマークの取得支援コンサルタントをしていると非常に難しい問題が「審査対応」と言われる、プライバシーマークの審査員の指摘事項への対応です。
これが、本当に大変です。
誤解を与えてしまう可能性もあるかも分からないのですが、「審査対応」というより「審査員対応」です。
人(審査員)によって指摘する内容がバラバラです。
プライバシーマークを取得されている企業の担当者の方や、同業のコンサルタントの方とお話していると必ずと言って良いほど審査員の話が出てきます。
プライバシーマークの審査員の一部の方は、「?」と思う指摘を良くしてきます。
弊社のお客様の例ですと、
①審査を受ける
②審査の指摘事項が届
③指摘事項に対する改善報告を提出
④改善報告に対する結果(要は「まだ、この部分は完全ではないですよ」という指摘)が届く
上記の基本的なパターンなんですが、おかしいのは④の段階で「新しく」指摘事項が追加されてしまいました。
なぜ審査の時に指摘できなくて、後になってから追加???
審査はサンプリングであり完全を期するものでない性質であり、後から気付く場合もあるかも分かりませんが、せめて注意事項として言ってくれるのであれば納得できますが、正式な「不適合指摘」として改善を要求されるのは納得できません。
審査員は「審査の場で」発見した事実に関してのみ指摘するのが正しいはずです。審査が終わって、更に言うなら指摘事項への対応が終わった段階で「追加で指摘」するのはおかしいと思います。
あるお客様が仰っておられましたが、「審査員にめちゃくちゃにされる」と言うのが非常に納得できます。
私はプライバシーマーク制度自体は良い制度だと思います。ただ、体制(特に審査体制)については疑問に思う所が多々あります。
世の中の企業の個人情報の取扱いのセキュリティレベルを上げていくことが目的なのですが、今のままですと単なる「許認可」制度になってしまいます(一部では、既に許認可だよと仰ってる方もおられます)。
プライバシーマークは事業活動をより円滑に行っていくために取得するものです。
より良い体制になってくれることを願います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
携帯電話のセキュリティ
幸松です。
ITmediaの記事で、「おサイフケータイのセキュリティ、約半数が「不安を感じる」」を読んだのですが、最近は企業でも個人でも携帯電話に対するセキュリティに意識が高まってきているようですね。
ITmedia:おサイフケータイのセキュリティ、約半数が「不安を感じる」
高まっているというよりかは、リスクを非常に感じている状態と言った方が正しいのかも知れません。
おサイフケータイですと携帯電話をなくすことで「お金(財布)」をなくしてしまいます、Edy等のチャージ制のサービスですと、あらかじめチャージしている金額だけの被害で済むかも分かりませんが、中にはクレジットカード機能のサービスもあります。
その場合は、クレジットカードを落としたようなものです。
企業においても、携帯電話からグループウェアにアクセスしたり、メールを携帯電話から見たり、もしくは、携帯電話にメールを転送させたりと携帯電話の中に企業情報や個人情報が含まれている状態です。
情報セキュリティの観点から、携帯電話のセキュリティ対策もしっかりと考えていかなければならない世の中ですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから