| |
| |
2020/12/20
APPLEがAPP StoreでのAPPのプライバシーに関する詳細情報表示を必須とする旨アナウンスされました
APPLEではAPP Storeに登録する全てのAPPLEプラットフォームを対象にAPPをダウンロードする前にユーザがAPPのプライバシー方針をアイコン等を使って分かり易く確認する仕組みを取り入れることを必須とする旨アナウンスされました
Appのプライバシーに関する詳細情報 - App Store - Apple Developer
https://developer.apple.com/jp/app-store/app-privacy-details/
EU地域のGDPRや米国カルフォルニアのCCPAを横目で見てGoogleなどより先手を打って個人情報保護に関する取組を明確化し個人利用者に対するアピール効果を狙ったものと思われます
これからはAPP開発事業者はこれらに適切に取組ながら今までの取得した個人情報を使った広告収入ビジネスモデルの見直しが状況によっては必要になる可能性がありますので注意深く対応検討が必要と思われます
2020/12/18
個人情報保護委員会からヒヤリハット事例が更新され追加掲載されました
個人情報保護委員会から以前もアナウンスされていましたヒヤリハット事例に新たな事例が追加されそれらの説明が追加されました
個人情報の研修資料・ヒヤリハットコーナー (ppc.go.jp) https://www.ppc.go.jp/personalinfo/hiyarihatto/
掲載されている事例について個人情報保護研修の題材として利用することも可能かと思います
大いに参考にされて下さい
合わせて個人情報保護法の概要、漏えい等が発生したときに行うべき対応、個人データを安全に管理する方法について分かりやすく解説した動画も合わせて公開されています
2020/12/11
個人情報保護委員会から個人情報保護法改正されたことに伴い特定個人情報の漏えいなどの事故報告に関する報告規定改正案が提示されました
改正個人情報保護法ではPPCへの報告義務が生じる大規模な漏えい等の基準を「千人」とすることが検討されているが特定個人情報の事故の場合は現状のまま「百人」のままとしたいとのこと
これらは現状の特定個人情報事故報告状況から「千人」とすると報告件数が大幅に減少し監視業務に支障が出る可能性があるためとしている
詳細はこちらから ⇒ https://www.ppc.go.jp/aboutus/minutes/2020/201209/
具体的には来年度の政令、ガイドラインの正式発表をまって確認することになりますが、緊急対応規程類の該当箇所について事前に確認されておくことをお勧めします
詳細は決定後にまた紹介説明を行う予定ですのでご期待ください
2020/12/11
クラウドサービス(SaaSの場合)の利用について今さらですが・・・
近頃ではクラウドという言葉を意識しないで利用しているサービスがこれクラウドサービスなんだ!と気づくことが良くあります
例えばG-mailやネットサービスでの画像編集ソフトや会計ソフトも増えてきました
オンプレミス(自前)で使うよりハードの制限も少なく例えばMACとWINDOWSとのデータ共有などでHDDフォーマット形式など一切気を遣うこともありませんし、実に手軽です
場合によっては専門的なシステム管理者を必要としないと考える経営者もいると思います
でもちょっと待ってください 便利さの裏には必ず何かが・・・・
世の中にはクラウドサービスのメリットを並び立て使わないと罪悪のようなアナウンスをしているクラウド事業者も見られるようです
ここではあえてクラウドサービスのデメリットを理解し、そのうえでクラウドサービスを上手く使うための方法を考えていただこうと思います
画像拡大
画像拡大
クラウド利用(SaaS)におけるデメリットとして考える主なものは上記が考えられます
特に③と④に注意が必要と思われます
給与計算処理や人事処理を利用していた場合は停止しても時間的な余裕があると思われるのでまだ良いのですがEC販売管理などを利用していた場合、売り上げや在庫、受注関係などすべのサービスをクラウドに依存しているとサービス停止が発生した場合に即刻、事業停止となってしまいます
過去に委託費用ばかりを委託先評価項目として採用したクラウド事業者が突然倒産しサービス停止に伴いバックアップデータもまさに雲のかなた(クラウドのかなた)に消え去り復旧困難な事態に陥ってしまい事業継続が困難になった事例がありました
現在ではクラウド事業者の選定項目としてサーバ設置国(場所)を確認し少なくとも日本の法律が適用する場所であるかを判断することを推奨しています
https://www.soumu.go.jp/main_content/000566969.pdf)
(クラウド提供者ガイドライン)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
(クラウド利用者のガイドライン)
いずれも経済産業省のHPへリンクしています
オンプレミス(自前)でバックアップを行うことの是非についてクラウドに格納され利用している情報の重要度を理解しもし破損し復旧出来なくなった場合に備え様々な損害への対応リスクを考慮しバックアップ範囲や期間(サイクル)を考えることをお勧めします
少量で手作業でも簡単に復旧できると思える場合は手作業でのバックアップ(?:再登録)でもOKかと思います
いずれにしても今の世の中、インターネット環境で様々なサービスが提供されておりコスト面を考えても利用しないという選択肢は少ないと思われます
然しながら利用する場合は「もしそのサービスが突然停止した場合の影響は?どの程度サービス停止を我慢できる?」等のリスクを考え十分理解したうえで利用することが大切です
2020/12/09
ECサイト「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受け、4万4663件のクレジットカード情報が流出した可能性があると発表されました。
12月8日に4万件を超えるクレジット情報が不正アクセスにより漏えいしたとの発表がありました
このうち209件のカード情報については、11月27日時点で第三者に不正利用された可能性があるとのこと
同サイトでは、流出の可能性があるのは、8月18日~10月15日に同サイトでカード情報を登録するか、登録済みの情報を変更したクレジットカードとのことで流出した情報は
・利用者のカード名義人
・カード番号
・有効期限
・セキュリティコード
となっています
これらはクレジットカードの重要な情報の殆んどであり不正利用し放題の状態と考えられます
詳細は https://www.ldh.co.jp/info/notice/important-notice/ からご確認ください
(ldhのHPへリンクしています)対応QAなどが掲載されています
いずれにしましても心当たりのある利用者においてはカード情報が丸裸状態となっているため早急にカード会社にカード利用停止と再発行手続きをされることをお勧めします
カード情報保護に関してはPCI DSS(Payment Card Industry Data Security Standard)基準が制定されカード情報は保持しないことが求められています
今回は決済システムが不正アクセスにより改変されその間に決済処理された情報が漏えいしたようです
この場合ですとカード情報を保持していなくとも決済処理を通過した情報が途中で抜き取られた形で漏えいしたと考えられます
大きな騒ぎにならないように発表は慎重に行ったため時間が掛かってしまったとの説明が行われていますが(発覚は10月15日 発表は12月8日)約2か月も発表まで時間が経過しています
途中経過を含めて対象者への注意喚起は迅速に行うべきと思いますが皆様はどうお考えでしょうか?
今時、クレジットで公共料金の支払いなど他決済でも利用しているケースが多く、カード変更の手続きは大変です
その間、増やさなくて済んだ被害者がいるかもしれません
今後の展開について事業者からの続報が判明しましたらご紹介したいと思います
クレジット決済は便利・簡単ですがいつも思っているのですが最後は3桁か4桁のカード裏記載のセキュリティコードで認証を行う仕組みが多いですが大丈夫なのかなといつも??となっている心配性のセキュリティコンサルでした
2020/12/07
PayPayで2千万件を越える情報が外部からアクセスされていたそうです
本日、PayPayから各加盟店に対し海外(ブラジル)から不正アクセスがあった旨のメールが配信されました。
<アクセス履歴のあった情報>(不備のあった期間:2020年10月18日~12月3日)
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)弊社従業員の氏名、所属、役職、連絡先
(4)弊社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
影響を受けた可能性のある最大件数:20,076,016件
代表者情報とはいえ(法人であれば公開されている情報)本人にとっては大切な個人情報であるはずです
PayPayでは個人事業主も多く、その多くは公開されていません
発表では2千万件を超える情報が不適切なアクセスの対象となったということですが実害は今のところないとのことですが個人情報保護委員会等への報告、及び監督官庁(金融庁)などへの報告などは必要ないのでしょうか?
実害はないとは言え、気持ちの良い話ではありませんね
今後の展開が気になるところです
続報がはいりましたらまたお伝えしたいと思います
2020/12/07
転売された電子ギフトカードを購入して無効とされる事故が多発しているようです
コンビニ等で手軽に入手可能な各社の電子ギフトカードはご存じと思いますが今、この取扱でちょっとした事件が持ち上がっているようです
そもそも電子ギフトカードは転売不可と各社取扱いが定められていることが殆んどなのですがネットではこの電子ギフトカードの転売仲介サイトがあり市価より1割程度安く購入出来ることが多いため利用者が増加しているとのことです
(JIJI.COM掲載資料より)
問題となっているのは仲介サイトから購入した購入者が使おうといざギフト番号を登録しようとすると登録できないカードと表示され事業者に連絡しても転売は禁止事項でありそもそも使えないカードあると説明され、購入した仲介サイトに連絡しても仲介しているだけでその商品については当事者間で解決してほしいと言われ、購入者は泣き寝入り状態になってしまうケースが多発しているとのこと
おれおれ詐欺などで高額な電子ギフトカードが使われるケースがあり事業者も防衛に出ているものと思われますが泣き寝入りのケースについては何らかの対策が今後必要になるものと思います
安物買いの銭失いのデジタル版ということで紹介させていただきました
美味しい(安い)話には何か裏があるはずとまずは疑ってみてください
2020/12/06
意識せずステルスマーケティング(ステマ)に加担していませんか?
今回はステルスマーケティング(以下ステマ)についてその怖さ、影響力についてのお話です
企業のホームページや企業が開設しているブログを見ていると自社の販売している製品とは異なり担当者が自ら使っている事務用品(私物)や他社有料サービスなどの製品紹介等で使いごこち(たいていは良い)や価格、購入先URLなどを表記し、閲覧者を巧みに誘導してる様に見える情報が掲載されています
担当者にはステマしているという認識がなく単に自分が使ってみてよい製品だったから皆にも勧めたいと単純に考えで勤務先ホームページに雑談のごとく掲載しただけかもしれません・・・
でもちょっと待ってください
日本の法律ではステマを直接違法とする法律はありませんが内容によっては「景品表示法」や「医薬品医療機器法」などに抵触する場合があります
「この使っているアロマは心が落ち着きます・・・」などの表記です
(ステマとは一般的に)
・インフルエンサーが宣伝であることを隠しブログ・SNSで商品を紹介する
・企業から依頼された一般人が消費者を装って評価システム・口コミ投稿を行う
等を言います
ステルスマーケティングが流行した要因は、口コミサイト・SNSを利用して情報収集するインターネットユーザーの増加です
20歳以上のインターネットユーザーを対象とした「口コミサイト・インフルエンサーマーケティングに関するアンケート調査」では、商品・サービス購入時に重視する情報源として「口コミサイト」や「SNS」が上位に挙げられています
ステルスマーケティングが発覚あるいは疑われた場合、依頼した企業はもちろん、口コミサイトやインフルエンサーの信頼性にもダメージを与えてしまいます
消費者に対する周知を怠った結果ステルスマーケティングと誤解されるケースも存在するため、PR活動を行う際は常に注意しなければなりません
良かれと思った情報発信が企業の信用失墜につながる事例と考えられます
ステマが発覚した場合(疑われた場合)当然ながら批判の対象となることが考えられます
悪評がSNSを通じて瞬時に拡散される時代です
大規模な炎上事故にならないよう注意して情報発信を行いましょう
企業が直接関与せず担当者単独の事故であったとしても会社の管理責任を問われることにもなりかねません
また担当者は会社に黙って製品メーカと手を握り会社設備を使った小遣い稼ぎを行っているのではないかと言う、あらぬ疑いをかけられる可能性もあります
企業の信頼性は地に堕ち、ブランドや業績にも悪影響を及ぼします
そのような事態に陥る可能性を考慮した場合、ステルスマーケティングあるいはそれと勘違いされる行為はハイリスク・ローリターンな手法と言えるでしょう
会社のホームページで関連のない他社製品(私物のグッズ等)を紹介する場合に細心の注意が必要であることを理解してください
管理者は発信している情報について担当者任せにせず適宜確認している記録を行い、もし事故が発生した場合は企業として適切に管理していたことを説明できる仕組み作りが必要です
また情報発信に関するポリシー・ルールの策定も必要です
それらが企業を守ることになります
(企業として必要な管理は行っていた中で発生した不可抗力の事故との説明が出来る・・)
2020/12/04
福井県産業情報ネットワーク(ふくいナビ)、クラウドで情報消滅のその後
11月5日にクラウドサービスの契約手続き上の間違いから全てのクラウド上のデータが消失した(ふくいナビ)の事故については全国ニュースにもなりましたので皆様ご存じと思います
その後のニュースが入ってきましたのでお伝えします
クラウド事業者とその保守を行っていた事業者がどこかにデータが残っていないかを探したところ、なんと!(ふくいナビ)のおひざ元にクラウドに移行する前のサーバが保管されていたことが判明しその中に10月5日現在のデータやプログラムが残っていたとのことで、それまでは復旧のめどが立たないとされていたものが何とか12月いっぱいを目標として全力で復旧するとのことです
詳細は https://www.fisc.jp/blog/2020/11/2584 (ふくいナビ)をご覧ください
ここで心配になるのは川崎市で起きた廃棄HDDの漏えい事故についてです
今回は廃棄前に残っていたサーバがあったのでそこから復元できたというケガの功名のような話になりましたがもしクラウド削除が発生しなかったらこの保管していたサーバーは適切に廃棄されていたのでしょうか?
それとも永遠に(ふくいナビ)の倉庫に眠っていたのでしょうか?
そのあたりがとても気になります
PマークではJISQ15001/2017の審査からデータの保管期間とと利用期間について厳しく確認が行われることになりました
この誰も気づかなかった保管されていたサーバ内の情報管理は適切に行われていたのでしょうか?
とても気になるところです
様々な考えさせる問題を含んだ事例となったように思います
やはりバッアップは最終的に手元で自己管理がベストなのでしょうか・・・
2020/11/25
Cookieの取扱でご注意を(隠れCookieが組み込まれている?!)
GDPRや個人情報保護法改正を横目で見てCookieの利用を行っているホームページでは積極的に同意取得を行うホームページが増えてきました
ここで問題になるのが自社のホームページでCookieを使っていないので「我が社のホームページではCookieを使っていません」と高らかに宣言しているホームページを見掛けることがあります
本当?!と少し確認をしてみますと・・・なんと立派に使っているではありませんか!・・・・・・
2020/11/22
SNSで公開した写真の背景映像にリモート会議の参加パスワードが映っていて不正利用された事故(事件?)が発生しました
背景に映ったSNS写真から暗証番号を入手しEU国防機密会議にマスコミ記者が乱入した事件が発生しました
事故内容は以下URLをご覧いただくとして・・・
https://news.yahoo.co.jp/articles/62e80e64e8052a8457fdbbf42697726a16019475
(yahooNEWS AFP時事通信から)
内容としてはEUの国防関係者がSNSで公開した写真の一部に国防機密会議の参加パスワードが公開されそれを見たマスコミ記者がリモート会議に乱入したというものです・・・・・
 ちょっと一息・・・
2020/11/20
実印を作るときにハンコ屋さんから男性、女性で勧められるハンコデザインに違いがあるとのこと・・・
昨今、ハンコ廃止の動きがあるようですが、実印を作るときにハンコ屋さんが男性、女性で勧めるデザインが異なるようで特に女性は今の世の中、余計なお世話に聞こえるようです
それは女性に対して実印はフルネームで作らず名前だけにしときなさいヨ・・・とアドバイスが行われるとのこと
結婚すれば一般的に姓が女性の場合変わることが多いので高価な実印を作るときの良かれと思ってのアドバイスなのでしょうが
でも男性でも養子に出れば一緒なのに・・
2020/11/19
JIPDECより2019年度「個人情報の取扱いにおける事故報告集計結果」が発表されました
例年、夏ごろに発表されている事故報告集計結果が11月9日に発表されました
今年の発表された内容のポイントは
- 事故の原因を件数が多い順に見ると、「誤送付」(1,513件:59.5%)のうち「メール誤送信」(590件:23.2%)が最も多く、次いで「その他漏えい」(446件:17.5%)、「宛名間違い等による誤送付」(400件:15.7%)となりました これは「その他漏えい」のうち「プログラム/システム設計・作業ミス」が2018年度の50件から160件に増加したためです
- 「その他漏えい」において、「関係者事務処理・作業ミス等」は、2019年度では205件から138件に減少したものの、「プログラム/システム設計・作業ミス」は50件から160件に増加しています
- 事故の原因の「その他」のうち、2018年度から2019年度にかけては誤廃棄が24件から66件と増加しました
となっています
詳細は https://privacymark.jp/news/other/2020/1109.html からご確認ください
2020/11/19
またまた送られてきました 怪しいメールが・・・
差出人はAmazonに見せかけた「Annazon」となっています
以前にもお話ししましたがこのようなメールが届くとついうれしくなって色々調べたくなるのは職業病でしょうか?
2020/11/18
イベント管理アプリ「Peatix」で不正アクセスにより個人情報最大677万件が流出したと発表されました → 少々気になることがあります
イベント管理アプリ「Peatix(ピーティックス)」を運営する米Peatixは11月17日、第三者による不正アクセスを受け、個人情報最大677万件が引き出されたと発表しました
https://announcement.peatix.com/20201117_ja.pdf
(Peatix社のお詫びとお知らせ関連HP)
発表によると・・・・・
2020/11/15
MAC-PCでBluetoothアクセサリに名前を付けてそのまま中古販売するときはご注意を!
中古ショップに手持ちPCを処分するため販売する場合、PCは初期化して業者に手渡すのは当然として安心できる業者ではPCの中身は初期化して販売しているようですが意外な盲点を発見しました
先日、中古ショップでMACキーボードとマウスのBuluetooth対応を購入しました
持ち帰って接続したところ無事接続できましたがBuluetoothアクセサリ名に前の使用者個人名が登録されたままとなっていました
そこには、うら若き女性?!と思われる個人名がフルネームで登録されているではありませんか・・・
今の世の中FACEBOOK等で簡単に個人のプロフィール追跡等が可能です
中古ショップへ転売する場合にはPC本体だけではなく付属機器のリセットも慎重に行いましょう
特にAPPLE製品については全てが良く判らないところでつながっていますのでご注意ください
何が芋づるで漏れていくかわかりませんから・・・厄介な世の中になりました
2020/11/10
クラウド利用者でクラウドの保管しているデータが全て消えてしまい修復不可能な事故が発生しました
発生したのは福井県産業情報ネットワークが運営している「ふくいナビ」で11月1日のことです。
事故の状況は10月末でクラウド契約が終了するので10月中旬に更新手続きを行ったがクラウド事業者が更新契約手続きを忘れており契約終了とのことで預かっているバックアップ情報も合わせて全て削除してしまい、手元には何も残っておらず復旧できなくなったというものです
担当者としては最初は単純なトラブルであろうとクラウド事業者に問い合わせしていたと思いますが途中から頭は真っ白になり言葉も出なくなったのではないでしょうか? ・・・
福井県産業情報ネットワーク事故発表内容 https://www.fisc.jp/blog/2020/11/2571/
2020/11/09
今回はちょっと一服・・
「Go TO Eat」「Go To トラベル」などの国からの交付金は一時所得として課税対象扱いになると国税庁が説明を始めました
ということは何度も「Go To トラベル」を出張で利用された方は他の一時所得と合わせてサラリーマンでは年間90万円を超えた場合は確定申告が必要とのこと・・・
税理士などからは値引きでないのか?値引きであれば対象外となるのだが・・・との意見が出ています
これからマスコミで話題になりそうなアトダシコメントであることは事実のようです
これを聞いて俺は?私は?と思っている方はいませんか?
よほど多額、多回数利用でなければ一般には控除額がありますので問題にはならないと思いますが利用したキャンペーン対象金額を計算されてもよいかもしれません
確定申告時に慌てることが無い様に準備されることをお勧めします
2020/11/08
詐欺メールが届きました!
仕事柄、このようなメールが届くとワクワクします
RAKUTENを名乗るフィッシング詐欺メールです・・・・
2020/11/01
個人情報保護委員会から保護法改正に伴う「漏えい等報告及び本人通知」についての論点が掲載されました
保護法改正に伴い個人の権利利益を害する恐れが大きい場合に、委員会への報告・本人への通知が義務化されました
この点に関し委員会で検討すべき注意点として以下について検討が重ねられているようです
 資料:PPC
中でも注目したいのが④記載の委託先から委託元への通知方法に関する部分です
従来ややもすると委託元、委託先間の力関係でどちらが報告を届け出るかが曖昧な部分がありましたが
今回の検討内容に委託先が委託元に速やかに通知を行うことで委託先の委員会への報告義務を免除する方向が検討されていることです
従来、この点が曖昧で委託先が委託元への報告より先に委員会等への報告を上げ委託元が対処に戸惑うような事例も見られました
また①漏えいなど報告、本人通知の対象となる事態で高度な暗号化された個人データの取扱に関して漏えい等報告・本人通知の対象外となることを認める方向で検討してはどうかと意見が述べられています・
詳細は https://www.ppc.go.jp/files/pdf/201030_shiryou-1.pdf
具体的には今後の決定を待つことになりますが一つの方向性を示したものと言えます
|
|
|
一覧 ⇒
1
2
3
4
5
6
1月 2月 3月 4月