http://www.privacy-mark.com プライバシーマーク取得を支援するLRM株式会社運営のサービスサイトです。 Sat, 06 Mar 2010 10:21:47 +0000 http://wordpress.org/?v=2.8.2 ja hourly 1 http://www.privacy-mark.com/2010/03/%e4%bc%9a%e7%a4%be%e3%81%a7twitter%e5%88%a9%e7%94%a8%e3%82%92%e8%aa%8d%e3%82%81%e3%81%a6%e3%82%82p%e3%83%9e%e3%83%bc%e3%82%af%e5%8f%96%e5%be%97%e3%81%af%e5%8f%af%e8%83%bd/ http://www.privacy-mark.com/2010/03/%e4%bc%9a%e7%a4%be%e3%81%a7twitter%e5%88%a9%e7%94%a8%e3%82%92%e8%aa%8d%e3%82%81%e3%81%a6%e3%82%82p%e3%83%9e%e3%83%bc%e3%82%af%e5%8f%96%e5%be%97%e3%81%af%e5%8f%af%e8%83%bd/#comments Sat, 06 Mar 2010 10:16:19 +0000 yukimatsu http://www.privacy-mark.com/?p=382 昨年から日本でもTwitterが大ブームです。
Twitterは今までのソーシャルメディアに比べて利用者の年齢層が高い事が特徴に上がられます。
35歳～40歳ぐらいが一番の利用層のようです。

この年代ですと企業では中堅クラスであり重要なポストに就く人も多くなってきていると思います。

「Pマーク(プライバシーマーク）の取得を考えた場合に会社でTwitterを利用するのは大丈夫でしょうか？」
ということを先日聞かれました。

基本的には「大丈夫」です。Twitterを利用しているからPマークが取れないという事はありません。
会社が業務時間中にTwitterの利用を禁止している場合はPマーク取得の問題でなく、それ以前として利用してはいけません。
会社がTwitterの利用を認めている場合は、会社で決めたルールに則って運用すればOKです。

もちろん機密情報や個人情報をTweetするなんて事は禁止ですよ。

弊社のISMS取得サービスサイトでのブログでも記載しましたが
会社として大事なことは、企業として導入する場合や社員の利用を許可する場合は最低限の
ルールはしっかりと定めておかなければならないと思います。
（参考ブログ：会社でTwitterを使っているとISMS取得は不可能なのか？）

例えば、全社にiPhoneとTwitterを導入した企業で有名はECスタジオ社では
「機密情報はつぶやかない」という事をルールとしているようです。

現状は多くの企業でTwitterの公式アカウントが作れて実際に利用されていますが、情報漏えい等に関する大きな問題は起こっておりません。
Pマークは審査がありますので、審査員から何かしら言われるかもわかりませんが、毅然とした対応をとれば問題ありません。

]]> http://www.privacy-mark.com/2010/03/%e4%bc%9a%e7%a4%be%e3%81%a7twitter%e5%88%a9%e7%94%a8%e3%82%92%e8%aa%8d%e3%82%81%e3%81%a6%e3%82%82p%e3%83%9e%e3%83%bc%e3%82%af%e5%8f%96%e5%be%97%e3%81%af%e5%8f%af%e8%83%bd/feed/ 0 http://www.privacy-mark.com/2010/02/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e7%9b%ae%e7%9a%84%e5%a4%96%e5%88%a9%e7%94%a8%e3%82%92%e9%98%b2%e3%81%90%e9%9b%a3%e3%81%97%e3%81%95/ http://www.privacy-mark.com/2010/02/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e7%9b%ae%e7%9a%84%e5%a4%96%e5%88%a9%e7%94%a8%e3%82%92%e9%98%b2%e3%81%90%e9%9b%a3%e3%81%97%e3%81%95/#comments Sun, 14 Feb 2010 16:05:40 +0000 yukimatsu http://www.privacy-mark.com/?p=380 先日、NTT西日本に総務省から業務改善命令が出されました。
ニュース等で既知の人も多いと思います。
電気通信事業者法の業務改善命令と、個人情報保護法の書面による厳重注意です。

個人情報の面ですと、今回のNTT西日本は「目的外利用」をしてしまったということのようです。

プライバシーマークでも代表的なリスクの1つに「目的外利用」が挙げられています。

企業として目的外利用を防ぐため、つまり「個人情報はその取得（同意）した目的のみに利用する」ことを徹底するにはどのようにしたら良いのでしょうか？

「教育する」「全従業員へ周知する」という事が考えられますが、これが徹底するのがなかなか難しいです。
ISMSも同様ですが、情報セキュリティを行う上で一番難しいのが全員への意識の浸透です。

今回のNTT西日本の件も、おそらく現場の社員の方は目的外利用をしていることを認識していなかったと思いますが、企業レベルで個人情報の取り扱いについて徹底するためには全従業員の認識を高めるために教育は必要だと思います。

PCの使い方のようにある程度はシステム的に制御できるところは良いのですが、それ以外のところでどのように統制をとっていくのかが難しいのです。

ケースによっては、個人情報が記された紙自体に「○○の目的以外の使用禁止」と記載している場合もあります。
上記の仕方ですと「利用しようとする時に、目に飛び込んで来てしまう」ので非常に有効です。

会社ごとで、または利用シーンごとで有効な方法は異なってくると思いますが目的外利用を防ぐ手段をそれぞれ真剣に考える良い契機になればと思います。

]]> http://www.privacy-mark.com/2010/02/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e7%9b%ae%e7%9a%84%e5%a4%96%e5%88%a9%e7%94%a8%e3%82%92%e9%98%b2%e3%81%90%e9%9b%a3%e3%81%97%e3%81%95/feed/ 0 http://www.privacy-mark.com/2010/02/%e6%9c%80%e8%bf%91%e3%81%af%e6%9b%b4%e6%96%b0%e5%af%be%e5%bf%9c%e3%81%8c%e5%a2%97%e3%81%88%e3%81%a6%e3%81%84%e3%81%be%e3%81%99/ http://www.privacy-mark.com/2010/02/%e6%9c%80%e8%bf%91%e3%81%af%e6%9b%b4%e6%96%b0%e5%af%be%e5%bf%9c%e3%81%8c%e5%a2%97%e3%81%88%e3%81%a6%e3%81%84%e3%81%be%e3%81%99/#comments Sat, 06 Feb 2010 14:13:52 +0000 yukimatsu http://www.privacy-mark.com/?p=377 最近は、Pマークの更新の依頼をよく頂きます。

取得してから運用をして、その運用内容等を審査で確認する更新審査ですが
やはり２年間の間に色々と変化があります。

規格(JIS Q 15001)自体は変化はないのですが
審査基準のようなものが少しずつ変わってきています。

もちろん前回と審査員が違ういうのもあると思いますが
全体的な傾向としても変化はあります。

企業側からすると「2年前OKで、今年はダメなの？」と思うかもしれませんが
情報セキュリティは時代とともに変わります。リスクも変化しています。

そういった「今の」状態にあったマネジメントシステムへの変更や
最新Tipsのようなものを伝える事が更新コンサルの時は多いです。

]]> http://www.privacy-mark.com/2010/02/%e6%9c%80%e8%bf%91%e3%81%af%e6%9b%b4%e6%96%b0%e5%af%be%e5%bf%9c%e3%81%8c%e5%a2%97%e3%81%88%e3%81%a6%e3%81%84%e3%81%be%e3%81%99/feed/ 0 http://www.privacy-mark.com/2009/10/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e4%bf%9d%e8%ad%b7%e3%81%ab%e9%96%a2%e3%81%99%e3%82%8b%e6%b3%95%e5%be%8b%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%e3%81%ae%e7%b5%8c%e6%b8%88%e7%94%a3%e6%a5%ad/ http://www.privacy-mark.com/2009/10/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e4%bf%9d%e8%ad%b7%e3%81%ab%e9%96%a2%e3%81%99%e3%82%8b%e6%b3%95%e5%be%8b%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%e3%81%ae%e7%b5%8c%e6%b8%88%e7%94%a3%e6%a5%ad/#comments Sat, 31 Oct 2009 05:38:59 +0000 yukimatsu http://www.privacy-mark.com/?p=373 Pマーク取得支援コンサルタントの幸松です。

Pマーク取得の際にも非常に参考になる
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
（以下、経産省ガイドライン）が改正されました。

今回の改正では共同利用に関する部分が大きく修正されていました。
今後、インターネット系サービス企業を中心にポイントサービスの共同利用がますます
進んでいくと思われますのでそういった点も記載されています。

後は、事業継承に関しての事項や、FAXやメール誤送信時の主務大臣への報告等に
ついて改正されている部分があります。

今からPマークを取得される企業はもちろんのこと
既にPマークを持たれている企業も必読です。

P.S.　審査時に外部文書として経産省のガイドラインを表記している企業が多いと思いますが
　　　　今回、改正しましたので外部文書の更新をしておきましょう。
　　　　そうしないと更新審査の際に指摘されてしまう可能性が大です。

[参照サイト]
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（平成１６年１０月２２日厚生労働省経済産業省告示第４号,平成 ２１年１０月９日改正）（PDF:328KB）

]]> http://www.privacy-mark.com/2009/10/%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e3%81%ae%e4%bf%9d%e8%ad%b7%e3%81%ab%e9%96%a2%e3%81%99%e3%82%8b%e6%b3%95%e5%be%8b%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%e3%81%ae%e7%b5%8c%e6%b8%88%e7%94%a3%e6%a5%ad/feed/ 0