　　　一覧　⇒　１２３４５６ 1月　2月　 3月　4月

2021/1/31
APPLEがスマートフォン「ｉＰｈｏｎｅ」やタブレット端末「ｉＰａｄ」のユーザーに対し、今すぐＯＳを更新してセキュリティー問題を解決するよう呼びかけています

アップルはｉＰｈｏｎｅやｉＰａｄ向けのＯＳ更新版「ｉＯＳ　１４．４」の一部として、２６日にこの問題を修正するセキュリティー更新プログラムを配信しました
アップルによると「Safari」とIosに使われているブラウザエンジンに原因があり攻撃者から任意のコードの実行する可能性があるとのこと
いずれにしても早めのアップデートをお勧めしますがこのところアップデートすると性能問題が見られることがあり悩ましいところです

2021/1/21
ＰＰＡＰを運用停止する企業が増えてきました

メールにファイルを添付する方法としてＰＰＡＰ（Password付zipファイルを送ります　Passwordを送ります　An号化（暗号化）　Protocol）を使ってセキュリティを確保する仕組みがここ数年利用する企業が増えていました
特にＰマーク審査でメールの添付ファイルについて暗号化の仕組みは有るか？無いならば何らかの改善を行うこと　と改善指摘された企業も多かったのではないかと思われ、対応として自動ＰＰＡＰ対応ソフト導入を行った企業が増加したという背景もあるように思われます
ここにきて運用上の安全性について見直しが必要との世論に押され見直しを行う企業も増えてきています
過去にＰＰＡＰ対応ソフト（秘文）を積極的に販売していた日立も社内運用でＰＰＡＰでのファイル添付を禁止するとのアナウンスがあったようです
メールで添付する時に同じ宛先に本文に前後して解凍パスワードを送り付ける運用方法が安全性に疑問があるとの指摘が話題になっての対応かと思われます
またスマホ等でZIPで暗号化されたファイルをそのまま読むには別ソフトが必要になる場合もありまたウィルス対応ソフトも対応できないケースがある等の問題も指摘されているようです
別ルートで連絡するなど解凍パスワードの連絡方法について工夫すれば結構役に立つ仕組みとは思いますが世の中の流れなのかもしれません
クラウド等でファイルを共有配布する場合も結局はＩＤ／パスワードの通知は必要ですから問題は同じ様に思えます
これらをビジネスチャンスと捉えて暗号ツールメーカーのソリューションで新しい仕組みが今後提供されると思われます
今年のセキュリティ展示会は注目かも知れません
今更のＰＰＡＰについてのお話でした

2021/01/13
秘密情報を社外に持ち出ししたとして不正競争防止法違反事例が発生しました

携帯大手事業者のネットワーク技術者が５Ｇに関する機密情報を無断で持ち出し翌日、ライバル会社に転職していたという事件が発生しました
元社員が使っていたＰＣに不正アクセスの記録が残っており警察が不正競争防止法違反容疑で逮捕しました
ポイントは
１）不正を行ったのはアクセス権限のある管理者であったこと
２）従業者に対する秘密保持契約（誓約書）の取得とその遵守に関する日常的な確認の有無
３）日常的な作業における情報の取扱に関するチェック（業務牽制）の仕組み
４）情報の取扱に関する社内啓蒙（実効性のある教育）
が考えられます
持ち出された事業者はこれから転職先事業者と持ち出した元従業者に対する訴訟を行うとのことですが、事件の詳細解明や漏えいに伴う影響範囲の確定など多大な時間と経費が発生するものと思われます
本件は従業者の不正情報持ち出しに関する事例として以前から様々に形を変えて発生している内容で有ろうと思います
退職時に「退職における誓約書（有効性は限りなく？？ですが）」を改めて取得し様々な会社資産の持ち出しを行わないこと、事故発生時には個人的な損害賠償の可能性があること等をよく理解（気づかせる）させるよう事業者も努力が必要と思います
それには定期的な情報保護教育の実施が必要で、その中で個人の役割／責任について繰り返し啓蒙することは重要と考えます

(2021/1/6　TBS-NEWSより）

2021/01/06
福岡県が管理する新型コロナ患者の住所や名前などの個人情報が、少なくとも数千人分、１か月あまりにわたってインターネットに公開されていました

昨年11月末頃から新年1月の約1ヶ月あまりに渡って新型コロナ陽性者情報がネットで公開されていた事故が明らかになりました
公開されていたのは福岡県の新型コロナ感染者情報に関する内部資料で少なくとも数千人の陽性者リストであり名前、年齢、住所、詳細な症状などの要配慮個人情報が含まれているとのことです
発見された経緯は福岡県外に住む関係のない人物の元に内部文書が送られてきたことで発覚しました
受け取った人物は不審に思い福岡県に確認の連絡を行った（11月）ものの1月6日まで放置され第三者がずっと閲覧できる状態にあったとのことです
＝この事故での問題点は
・外部からの事故連絡に対して対応する仕組み（仕組みは有るはず）が迅速に全く機能していない
・昨年5月頃に愛知県で同様な事例が発生し被害者に5万円程度の賠償を行った教訓が活かされていない
　など様々考えられます
事故発生は人間の作業ですので仕方がない部分はある程度は有るとは思われますが（基本はダメです）発生後の処置で事故の傷口を浅いものにすることは可能と考えます
皆様も事故発生時の対応手順を今一度確認され通報に対する社内の情報連絡ルート、指示／命令系統に漏れがないか出来れば事故発生対応訓練の必要性などもご検討されて下さい
今回の事例が民間で発生した場合は数千件単位の事故ですので事業継続にも影響する重大なインシデントと思われます
今後の福岡県の対応や、個人情報保護委員会の対応などに注意していきたいと思います

2021/1/3
2020/12/25に個人情報保護委員会より改正個人情報保護法に関する政令・規則案の概要が掲載されました

個人情報保保委員会より改正個人情報保護法に関する政令・規則案の概要が発表されました
主な内容としては以下となっています

項目内容	政令・規則案の内容（抜粋）
漏えい等報告・本人への通知	・報告対象 ①要配慮個人情報 ②財産的被害が発生する恐れがある場合 ③不正アクセス等故意によるもの ④1000人を超える漏えい
仮名加工情報	・加工基準以下における削除、置換を求める ①氏名などの特定の個人を識別できる記述など ②個人識別記号 ③財産的被害が生じるおそれのある場合
個人関連情報（提供先において個人データとなる事が想定される情報について本人同意の確認義務）	・提供元における本人同意の確認方法（提供先から申告を受ける方法などとする）・提供元における記録義務 ①提供年月日 ②第三者の氏名など ③個人情報関連情報の項目 ★上記についての記録を行い、原則3年間の保存を求める
越境移転	・同意取得時に本人に提供すべき事項 ①移転先所在国名 ②適切かつ合理的な方法で確認された当該国の個人情報保護制度 ③移転先が講ずる措置について情報提供を求める

具体的な詳細内容はこれからになると思いますが方向性はある程度見えたものと思いますので関連の社内規程類の見直し参考にはなると思われます
特に仮名加工情報の取扱や第三者への情報提供、海外への情報移転を行っていない企業では見直しの程度はかなり低いものと思います（漏えい等報告・本人への通知部分のみに注意）
今後の具体的ガイドラインやＪＩＳ規格の見直し内容の発表情報にご注意ください

詳細は(個人情報保護委員会へリンク）でご確認ください
https://www.ppc.go.jp/files/pdf/201225_shiryou-3-1.pdf

2020/12/29
「同意」について考えさせられる子供向け絵本を見つけました

個人情報の取得において本人から「同意」を得ることが求められています
子供向け絵本ではありますが「同意」取得において、とても参考になる本を見つけましたので年末年始時間があり目にすることがあればちょぴり読んでみてください
考えさせられる内容かと思います

「同意」は自分の境界線を決めてその「境界線」を越えて良いか悪いかについて「YES」「NO」は自分が決めるのが基本であると説明されています
無理強いはダメ・・・　同意の撤回もあり…など子供向け絵本とは思えない内容です
無理やり「いいよ」と言わせてもそれって「同意」じゃないヨネ・・
と説明されている部分がありますが当たり前のことではありますが改めて見ると「そうだよネ」と気づかせてくれます
改めて「同意」取得の重要性について再確認させられた絵本でありました
出版社の関係者ではないので詳細に興味のある方は今話題の絵本らしいのでネットで探してみてください
簡単に見つかると思います

2020/12/28
年末／年始にご注意ください
ＩＰＡから注意喚起が行われています

ＩＰＡから年末年始の情報セキュリティリティに関して注意喚起が行われています
年末年始における情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/topics/alert20201217.html

<注意喚起内容抜粋>

多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。

最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。

これらのような事態とならないよう、(1)組織のシステム管理者、(2)組織の利用者、(3)家庭の利用者、のそれぞれの対象者に対して取るべき対策をまとめています

ということで

■長期休暇における情報セキュリティ対策

■日常的に実施すべき情報セキュリティ対策

がＵＰされています
年末／年始にかけて長期に企業は休暇に入ると思いますがその間に注意すべき事項がまとめられています
年明けで業務が開始された場合に思わぬ事件／事故に巻き込まれないようご注意され良い年をお迎えください

2020/12/24
ＪＩＰＤＥＣ（Ｐマーク）より教育研修資料ひな形改訂版がUPされました

前回の内容に2019年度の事故事例が見直しされています
毎年、社内教育テキスト作成で頭を悩ましている方々が多いと思います
是非とも参考にされてはいかがでしょうか？
https://privacymark.jp/system/reference/index.html#tools
（JIPDECのHPへリンク）

（以下掲載内容目次部分抜粋）

各社独自部分(保護方針など）を追加記載すると資料が出来上がります

2020/12/2０
ＡＰＰＬＥがＡＰＰ　ＳｔｏｒｅでのＡＰＰのプライバシーに関する詳細情報表示を必須とする旨アナウンスされました

APPLEではＡＰＰ　Ｓｔｏｒｅに登録する全てのＡＰＰＬＥプラットフォームを対象にAPPをダウンロードする前にユーザがＡＰＰのプライバシー方針をアイコン等を使って分かり易く確認する仕組みを取り入れることを必須とするアアナウンスされました・・・　
⇒　続きはこちら

2020/12/18
個人情報保護委員会からヒヤリハット事例が更新され追加掲載されました

個人情報保護委員会から以前もアナウンスされていましたヒヤリハット事例に新たな事例が追加されそれらの説明が追加されました・・・
個人情報の研修資料・ヒヤリハットコーナー (ppc.go.jp) https://www.ppc.go.jp/personalinfo/hiyarihatto/
⇒　続きはこちら

ＰマークやＩＳＭＳ認証取得でお困り事がありましたら何なりとご相談ください

📞：０５０－３６９４－４１０４　　✉：pmark-info@isec-lab.com