http://www.ku-shin.sakura.ne.jp/cgi/pmark/ ja Copyright 2009 Thu, 08 Jan 2009 09:56:21 +0900 http://www.sixapart.com/movabletype/ http://blogs.law.harvard.edu/tech/rss 久々の更新です・・すみません 「情報セキュリティ検定」ってご存知ですか？ 財団法人　日本情報学習振興会という団体が実施している検定で、1級から3級までの検定を実施しているそうです。 http://www.joho-gakushu.or.jp/info/security.html ホームページによると、各級のレベルは、 【３級】 情報セキュリティに関する基本的な意味、リスク、対策、事故、義務をプライバシーマーク（Pマーク）や、ＩＳＭＳ等のセキュリティ規格の中で、一般従業員に「教育されるべき」とされる情報セキュリティの知識を認定します。 【２級】 様々な情報を扱うプロジェクトのリーダーとして、情報セキュリティにおける、リスクと対策を、マネージメントできる知識を認定します。 【１級】 企業や団体の中で、セキュリティ対策のリーダーや会社が目指す、様々なセキュリティ規格の取得のためのリーダーとなることもできる、セキュリティ管理者と同等の知識を有することを認定します。 プライバシーマークは取得したが、それからの維持していく為に何をしていいのか・・・とお悩みの企業様には、担当者のモチベーション維持に利用するのもいいのかも知れませんね。 ただし、試験料は8400円～だそうです。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2009/01/post_13.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2009/01/post_13.html Thu, 08 Jan 2009 09:56:21 +0900 ＩＴ川柳を募集されています。 ＩＴにまつわることならなんでもよいそうです。 一生懸命かんがえているのですが、なかなかよいアイデアがうかびません。 でも、こうやって考えている間、セキュリティのことやらなんやらも考えながらできますので、社内で公募などされてみて、セキュリティ教育の一環にしてみてはいかがでしょうか？会社の標語なんかにも使えそうですしね（笑） ちなみに、商品は、ワンセグ内臓のポータブルＤＶＤレコーダーやデジカメだそうです。 ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/08/itby_jipdec.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/08/itby_jipdec.html Wed, 27 Aug 2008 10:21:55 +0900 情報処理推進機構（ＩＰＡ）より5月23日（金）に発刊を公表した情報セキュリティ白書2008から、第II部「10大脅威 ますます進む『見えない化』」をが公開されました http://www.ipa.go.jp/security/vuln/20080527_10threats.html 10個の様々なセキュリティ上の脅威が図解入りであげられています。 プライバシーマークなどの情報セキュリティ対策をする上で、自分の会社が受けるであろうリスクを分析する作業がとても重要ですが、これから取得をお考えであったり、セキュリティ対策をされるみなさんにはとても参考になると思います。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/05/10.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/05/10.html 脅威 見えない化 Wed, 28 May 2008 09:45:51 +0900 経済産業省が出している、「個人情報の保護に関する法律についての経済産業分野を 対象とするガイドライン」が２月２９日に改訂されました。 今回の改訂は、相次ぐ委託先からの漏洩事件の発生、特に大きかったＤＮＰさんの事件 などを受けて、委託先の監督を強化する内容です。 概要としては、 （１）委託先に対して、不必要な個人情報を渡さない （２）委託先の管理を強化する の２点です。 ２番目の委託先管理の強化は、ＪＩＳ規格の要求事項3.4.3.4 委託先の監督に含まれること、つまり ・委託先を選定するときには、個人情報が保護できる委託先であることを 　評価・選定する ・委託する業務に応じて、必要な安全管理策の実施を求める ・個人情報の取扱についての報告、監査などを実施する ・それらの内容を含んだ契約を締結する これらの内容を求めています。 ２００６年版ＪＩＳレベルでＰＭＳを運用中の企業はすでに実施している はずの内容ですが、経産省のガイドラインは、Ｐマーク取得企業だけでなく、 個人情報保護法の対象となる個人情報取扱事業者全体にその運用の 規範となるものですから、その影響は大きくなるものです。 また、（１）の「委託先に対して、不必要な個人情報を渡さない」については、 ＪＩＳでは、個人情報の取扱の原則である、「特定した利用目的の達成に 必要な範囲での取り扱い」によって暗黙のうちに要求されていたことと 考えられますが、ＰＭＳの運用ルールに対して、積極的に盛り込むことが 望ましいでしょう。 現実問題として、弊社のお客様の中には、個人情報の委託を受ける企業が 少なくありません。そうしたお客様の中には、委託元企業から、不要なデータも 全て送ってくるので、恐ろしいとおっしゃるところもありました。 データを委託する側からすれば、たとえば顧客データの中から、住所と氏名だけ 抽出して委託先に渡す手間が煩わしいので、顧客データベースを丸ごと渡して、 「よろしく頼むよ」という事なのでしょう。 この状態で事故が起きた場合、不要なデータも含めて渡していた委託元にも 責任があるとしたのです。 さて、このガイドラインの改訂については、ＰＭＳへの反映などは個々のお客様の ＰＭＳ文書に応じて、対応させていただきます。 少なくとも、法令等の特定の「外部文書一覧表」などの見直しはお願いします。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/03/post_12.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/03/post_12.html Tue, 25 Mar 2008 12:03:32 +0900 http://www.nisc.go.jp/active/kihon/pdf/sd08event_080131.pdf なかなか一般の人には理解されにくい情報セキュリティですが、こういうイベントを通して、多くの人に知ってもらえるように願っています。 ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/02/22.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/02/22.html Mon, 04 Feb 2008 10:51:02 +0900 すでにみなさんも新聞やテレビのニュースで報道されているのでご存知のこのニュース。 ウィルスを蔓延させた罪ではなく、アニメの画像を無断で使用したことの著作権法違反でしか逮捕されなかったということ。 なんで法律はこんなに遅いんでしょうか？ すでに、インターネットウィルスは何年も前から問題になっているし、それによる被害もたくさん報告されているのに・・・ でも京都府警はがんばってるなあ。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/01/post_11.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/01/post_11.html Fri, 25 Jan 2008 11:03:03 +0900 ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/01/post_10.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2008/01/post_10.html Tue, 22 Jan 2008 17:28:39 +0900 年末・年始の業務のご案内 ～ホームページの受付業務～ アズポートは、平成１９年１２月２９日（土）より平成２０年１月６日（日）までの期間、年末・年始のため業務をお休みさせていただきます。 つきましては、当ホームページのフォームでのサービスについてのお申込み・お問い合わせにつきましては、休業中も受信しておりますが、返答につきましては平成20年1月7日以降に随時対応させていただきますので御了承願います。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/12/post_9.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/12/post_9.html Tue, 25 Dec 2007 12:46:23 +0900 http://www.manage-support.com/freedownload.html]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/11/post_8.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/11/post_8.html ダウンロード プライバシーマーク 冊子 無料 Wed, 28 Nov 2007 18:00:09 +0900 １１月１日付けで、ＪＩＰＤＥＣよりプライバシーマーク制度に「認定の一時停止」 処分を導入する旨が発表されました。 現在の制度では、認定事業者が個人情報の漏えい事故などを起こした場合、その 程度に応じて処罰されることになっています。一番重い処置が「取消し」処分です。 その下の処分が「勧告・要請」「厳重注意」「文書注意」です。 この「取消し」と「勧告・要請」の差が大き過ぎると言われていました。 また、これは既に認証を受けた事業者に対する処分ですが、これから新規に認証を 受けようとする事業者は、重大な漏えい事故を起こした場合は申請を受付られない ことがあるので、そのことについて差があると言われていました。 そこで今回、「取消し」より低い処分として「認定の一時停止」処分が導入される ことになったようです。一時停止処分は、半年とか１年間プライバシーマークを 表示することが出来なくなる処分です。 取消しよりは軽いですが、それでもＷＥＢサイト、パンフレット、名刺など一切の マーク表示が許されなくなるので、処分を受ける企業にとって、軽い処分ではありま せんね。 プライバシーマーク制度は来年で運用１０年を迎えます。その間に、取消し処分は ゼロということです。今年の年初に発覚したＤＮＰさんの漏えい事件では、件数も 多く、クレジットカードの不正使用の被害も出ていましたが、原因が委託先という こともあって、取消しには至りませんでした。あれだけ大規模な漏えい事件でも、 取消しにならないのでは、マークに対する世間の見方、信頼感は大丈夫だろうかと 危惧していました。 今後は、このような大規模の事案は「認定の一時停止」処分になることが想像され ます。 セキュリティや個人情報保護に関わる事業者として、プライバシーマーク認証の 取得をお勧めしているのですが、そういう立場にとっては、事故を起こした事業者が それなりに処罰されるような厳格な制度として運用されることは歓迎です。 なお、この制度変更は１２月２１日から適用されるということです。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/11/post_7.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/11/post_7.html Sun, 18 Nov 2007 16:29:11 +0900 　セキュリティ　要は　日々の危機管理　 新潟の中学生の作品だそうです。 正にその通り。すばらしい標語ですね。 中学生ににここまで悟られるとは・・・ http://www.ipa.go.jp/about/press/20071017.html ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/10/ipa.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/10/ipa.html Tue, 23 Oct 2007 13:10:31 +0900 http://www.fsa.go.jp/news/19/20071001-3.html プライバシーマーク要求事項でもある、関係機関の法令、条例などを参考にしなければいけませんので、金融関係のお仕事をされている企業様にはガイドラインの差し替えが必要となりますね。 中身、ちょっと読んでみましたが、Ｑ＆Ａとはいえ、かなり難しい・・・。もっとカンタンな言葉で書けないのか、と思いますが、やはりＱ＆Ａという形式なので、わかりやすくはなっています。 ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/10/_qa.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/10/_qa.html Wed, 10 Oct 2007 10:51:09 +0900 ＮＴＴ東日本が、個人情報の流出事故について発表しました。 ２０日に発表された内容によると、元社員の自宅のパソコンがウィニー暴露 ウィルスに感染しており、ここから顧客情報３万１千件が流出したとのことです。 この社員は既に退職していましたが、今月始めに業務関連のファイルが流出 していることに気づき、その後の調査で個人情報の流出を確認し、公表しました。 さて、ＩＴＰｒｏなどの報道によると、同社のウィニー関連の流出事故は、 これでなんと８件目だそうです。 いくら巨大企業だといえ、同じ事故を繰り返していることは衝撃です。 ＮＴＴ東日本は、自社サイトでのニュースリリースで、今まで業務関連ファイルの 社外への無断持ち出しを禁止したり、顧客情報を保管する専用サーバは、アクセスを 指紋認証により制限するなどの対策を実施し、又、個人情報保護に関する社員教育を 実施してきたとしていますが、同じ事故を繰り返すようでは、その対策の有効性に 疑問の目を向けざるを得ません。 さて、この事故から学ぶことは、 「安全管理策は、実施後の有効性を確認しよう」 ということではないでしょうか。 安全管理策は、実施すれば終わりではありません。実施した対策が有効に機能 しているのかを確認することが重要です。 有効に機能できていることが確認できれば、その状態を維持する、つまり、それを 続ければいいのであり、有効性が確認できないようであれば、対策を見直す必要が あるということにあります。 学校のテストも、本来は勉強したことが身についたか確認することに意味があり、 テストの結果で人を評価することではないのですね。 以上のことから、ＰマークのＰＭＳ（個人情報保護マネジメントシステム）の 内部監査のポイントが見えてきますね。 一度決めた管理策を実施しているか否か、これは日常の組織運用の延長線上で 管理されるべき問題で、年に数度の内部監査は、運用内容が有効に機能しているか どうかに重点を置いて実施すると、そのＰＭＳは改善され、有効なものになる ということです。 「内部監査」という単語のイメージに囚われる事無く、 「有効性を確認し、どんどん改善するための活動」＝「内部監査」＋「見直し」 と理解していただきたいと思います。 もちろん、ウィニーを使うパソコンは個人の責任で趣味の世界で使うもの。 仕事で使うものとは区別することを徹底するということも大事ですが。 ]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_6.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_6.html Sat, 22 Sep 2007 14:19:13 +0900 エステのＴＢＣによる個人情報流出に対する裁判の二審判決が出ました。 結果、ＴＢＣの控訴は棄却。賠償を認めた一審判決が支持されたのです。 エステサロンのＴＢＣのＷＥＢサイトから個人情報が大量に流出した事件は、2002年5月26日に 発生しました。最終的にインターネットに流出した個人情報は５万件。エステに関するアンケート 情報が含まれていたため、本人の身体に関することなどプライバシー性の高い情報も流出しました。 この事件の被害者が損害賠償を求めて集団訴訟を起こしたのは2002年の12月です。 最終的に１４人の原告による訴訟の一審判決は、今年の２月に東京地裁で出され、 １人あたり２万2000円から３万5000円の支払いを命じる内容でした。 ＴＢＣは判決を不服として控訴、原告は賠償金が低すぎるとして追加提訴を行ないました、 今回の二審で、東京高裁はこの一審判決を支持して、ＴＢＣ側の控訴を棄却しました。 もっとも、賠償額の増額を求めていた原告の請求も、同じく認められませんでしたが。 個人情報の漏えいに関して、本人への賠償を命じる判決が定着して来ており、 今後もこの流れは止まらないと思います。 企業にとっては、個人情報の漏えいが賠償金という重い負担、リスクとなることを 十分に認識して、適切に取り扱えるよう組織的に取り組む必要性があるわけですね。 　　コンサルタント　藤原　博]]> http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_5.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_5.html Sun, 16 Sep 2007 15:55:22 +0900 こんにちは。 プライバシーマークコンサルタントの荒井です。 9月に入ってからも取得の問い合わせを多数いただいて おります。 先月より、関西地域のみならず、中部・四国・九州など、全 国の皆様からご相談を受けております。 都心部のみならず、全国にもプライバシーマーク取得の波は 広がっているようですね。 一社一社、“しっかりとした個人情報保護体制”を構築してい ただけるように精一杯のサポートをさせていただいております。 プライバシーマーク取得のご相談がございましたら、どんな内容 でもご相談ください。 喜んで対応をさせていただきます。 まだまだ残暑厳しいですが、みなさま、お体にはくれぐれもご注意 ください。 http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_4.html http://www.ku-shin.sakura.ne.jp/cgi/pmark/2007/09/post_4.html Thu, 06 Sep 2007 15:44:24 +0900