プライバシーマーク認証取得支援サービス

会社でTwitter利用を認めてもPマーク取得は可能

yukimatsu — Sat, 06 Mar 2010 10:16:19 +0000

昨年から日本でもTwitterが大ブームです。
Twitterは今までのソーシャルメディアに比べて利用者の年齢層が高い事が特徴に上がられます。
35歳～40歳ぐらいが一番の利用層のようです。

この年代ですと企業では中堅クラスであり重要なポストに就く人も多くなってきていると思います。

「Pマーク(プライバシーマーク）の取得を考えた場合に会社でTwitterを利用するのは大丈夫でしょうか？」
ということを先日聞かれました。

基本的には「大丈夫」です。Twitterを利用しているからPマークが取れないという事はありません。
会社が業務時間中にTwitterの利用を禁止している場合はPマーク取得の問題でなく、それ以前として利用してはいけません。
会社がTwitterの利用を認めている場合は、会社で決めたルールに則って運用すればOKです。

もちろん機密情報や個人情報をTweetするなんて事は禁止ですよ。

弊社のISMS取得サービスサイトでのブログでも記載しましたが
会社として大事なことは、企業として導入する場合や社員の利用を許可する場合は最低限の
ルールはしっかりと定めておかなければならないと思います。
（参考ブログ：会社でTwitterを使っているとISMS取得は不可能なのか？）

例えば、全社にiPhoneとTwitterを導入した企業で有名はECスタジオ社では
「機密情報はつぶやかない」という事をルールとしているようです。

現状は多くの企業でTwitterの公式アカウントが作れて実際に利用されていますが、情報漏えい等に関する大きな問題は起こっておりません。
Pマークは審査がありますので、審査員から何かしら言われるかもわかりませんが、毅然とした対応をとれば問題ありません。

個人情報の目的外利用を防ぐ難しさ

yukimatsu — Sun, 14 Feb 2010 16:05:40 +0000

先日、NTT西日本に総務省から業務改善命令が出されました。
ニュース等で既知の人も多いと思います。
電気通信事業者法の業務改善命令と、個人情報保護法の書面による厳重注意です。

個人情報の面ですと、今回のNTT西日本は「目的外利用」をしてしまったということのようです。

プライバシーマークでも代表的なリスクの1つに「目的外利用」が挙げられています。

企業として目的外利用を防ぐため、つまり「個人情報はその取得（同意）した目的のみに利用する」ことを徹底するにはどのようにしたら良いのでしょうか？

「教育する」「全従業員へ周知する」という事が考えられますが、これが徹底するのがなかなか難しいです。
ISMSも同様ですが、情報セキュリティを行う上で一番難しいのが全員への意識の浸透です。

今回のNTT西日本の件も、おそらく現場の社員の方は目的外利用をしていることを認識していなかったと思いますが、企業レベルで個人情報の取り扱いについて徹底するためには全従業員の認識を高めるために教育は必要だと思います。

PCの使い方のようにある程度はシステム的に制御できるところは良いのですが、それ以外のところでどのように統制をとっていくのかが難しいのです。

ケースによっては、個人情報が記された紙自体に「○○の目的以外の使用禁止」と記載している場合もあります。
上記の仕方ですと「利用しようとする時に、目に飛び込んで来てしまう」ので非常に有効です。

会社ごとで、または利用シーンごとで有効な方法は異なってくると思いますが目的外利用を防ぐ手段をそれぞれ真剣に考える良い契機になればと思います。

最近は更新対応が増えています

yukimatsu — Sat, 06 Feb 2010 14:13:52 +0000

最近は、Pマークの更新の依頼をよく頂きます。

取得してから運用をして、その運用内容等を審査で確認する更新審査ですが
やはり２年間の間に色々と変化があります。

規格(JIS Q 15001)自体は変化はないのですが
審査基準のようなものが少しずつ変わってきています。

もちろん前回と審査員が違ういうのもあると思いますが
全体的な傾向としても変化はあります。

企業側からすると「2年前OKで、今年はダメなの？」と思うかもしれませんが
情報セキュリティは時代とともに変わります。リスクも変化しています。

そういった「今の」状態にあったマネジメントシステムへの変更や
最新Tipsのようなものを伝える事が更新コンサルの時は多いです。

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正

yukimatsu — Sat, 31 Oct 2009 05:38:59 +0000

Pマーク取得支援コンサルタントの幸松です。

Pマーク取得の際にも非常に参考になる
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
（以下、経産省ガイドライン）が改正されました。

今回の改正では共同利用に関する部分が大きく修正されていました。
今後、インターネット系サービス企業を中心にポイントサービスの共同利用がますます
進んでいくと思われますのでそういった点も記載されています。

後は、事業継承に関しての事項や、FAXやメール誤送信時の主務大臣への報告等に
ついて改正されている部分があります。

今からPマークを取得される企業はもちろんのこと
既にPマークを持たれている企業も必読です。

P.S.　審査時に外部文書として経産省のガイドラインを表記している企業が多いと思いますが
　　　　今回、改正しましたので外部文書の更新をしておきましょう。
　　　　そうしないと更新審査の際に指摘されてしまう可能性が大です。

[参照サイト]
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（平成１６年１０月２２日厚生労働省経済産業省告示第４号,平成２１年１０月９日改正）（PDF:328KB）

生命保険会社からの個人情報漏えい

yukimatsu — Sun, 11 Oct 2009 13:04:15 +0000

Pマーク取得コンサルタントの幸松です。

最近、生命保険会社での個人情報漏えい事件がちょっと続いておりますが
アリコジャパンでは、実際に情報漏えいがあった人にはお詫び金として1万円ずつ
漏洩がしていない人には3000円ずつを支払うとの事です。
総額として5億円とのことです。

改めて個人情報漏洩事件の会社へ与えるインパクトの
大きさを再確認させられる事例ですね。

また、かんぽ生命保険からもWinny経由で個人情報が
流出したようです。
システムを委託していた会社の私物PCからの漏えいのようです。

生命保険会社は、非常に重要でプライバシー性が高い個人情報を扱っていますので
今回の事件を契機としてより一層、適切な個人情報の取扱いをしてほしいですね。

【事故事例】障害の等級情報等が盗難

yukimatsu — Wed, 12 Aug 2009 10:30:04 +0000

プライバシーマーク取得コンサルタントの幸松です。

2009年8月11日に内田洋行の子会社のオフィスブレインが盗難事故にあり、障害の等級等の個人情報が入ったハードディスクも盗まれたようです。
今回の事件では、企業側も被害者でありますが、車上荒らしによる個人情報の盗難もある程度は事例が出ておりますので
どうしても「車を離れる時には持っていきましょう」という話が出てきますね。

個人情報も含まれますが、企業の機密情報が入ったカバンを車中に置いておくのは
盗難と言うリスクが常についてまわることを認識する必要がありますね。

[参考サイト]内田洋行：「お客様情報の入った外付けハードディスク（外部補助記憶装置）の盗難事故」に関するご報告とお詫び

アミューズからの個人情報漏えい

yukimatsu — Tue, 11 Aug 2009 02:33:07 +0000

サザンオールスターズや福山雅治が所属する芸能音楽事務所のアミューズから自社の通販サイト「アスマート」から顧客情報が流出したと発表されました。
現在のところ流出人数は116,911件となっています。

クレジットカード情報も含んでいる個人情報を流出してしまったようですが
現状のところクレジットカードの不正利用による金銭被害は確認されていないようです。

今回の流出の原因としてはWebサーバに対する不正アクセスとのことです。
今後、ますますサービスはWeb化してくることは間違いないと思いますが
それに比例して情報セキュリティ対策をしっかりしていく必要がありますね。

[参考サイト]
アミューズ：当社通販サイト「アスマート」顧客情報への不正アクセスに伴う個人情報流出についてのご報告とお詫び

「中小企業の情報セキュリティ対策ガイドライン」を公開

yukimatsu — Sun, 29 Mar 2009 03:29:02 +0000

幸松です。

少し前の話になりますが3月18日に、IPAより「中小企業の情報セキュリティ対策ガイドライン」が公開されました。
今までは大企業向けの対策が中心になっているものが多かったと思いますが、こちらは中小企業の情報セキュリティのガイドラインとなっています。

確かに、最近はISO27001/ISMSの新規取得に取り組まれる企業も中小企業の割合が多くなってきていますので、そのような企業にとっては参考になるサイトだと思います。

これから情報セキュリティに取り組んでいこうと考えている中小企業には、最初に「5分でできる自社診断シート」と「中小企業における組織的な情報セキュリティ対策ガイドライン」の2冊から読んでいくのが良いと思います。

[参考ページ]
IPA:「中小企業の情報セキュリティ対策ガイドライン」を公開

情報を取扱うのは「人」である

yukimatsu — Tue, 17 Mar 2009 00:00:34 +0000

幸松です。

日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。

USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。

また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。

システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。

情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。

[参考ページ]日立システム情報セキュリティブログ：USBメモリの安全な取扱いについて

クレジットカードのセキュリティ対策推進団体を設立

yukimatsu — Sat, 07 Mar 2009 06:09:05 +0000

幸松です。

BSIマネジメントシステムジャパンやNTTデータ・セキュリティなどの4社が準備事務局として活動してクレジットカード情報のセキュリティ推進団体「日本カード情報セキュリティ協議会」を4月に設立するようです。

ISO27001/ISMSは、情報管理のマネジメントシステムであり、明確なセキュリティの基準等は存在しませんが、クレジットカード情報の保護基準であるPCI DSSには遵守しなければならない基準が明確に存在しています。
どちらが優れているとかではなく、性質が異なるものですが両方とも「セキュリティ」としてまとめらていますね。

不正アクセスなどを伴う顧客カード情報の盗難、漏えいといったセキュリティ事故がある背景のもと、そういった事故の防止に役立てていける1つの基準だと思います。

[参考サイト]ITmedia：クレジットカードのセキュリティ対策推進団体を設立へ、サービス各社