　　一覧　⇒　１２３４５６７８９ １０　１１⇒

2021/11/23
市役所に盗聴器が仕掛けられた

兵庫県川西市役所において盗聴器が設置されていたことが明らかになりました
約1年ほど前から設置されていたとみられています
某放送局のテレビ番組で盗聴器関係の調査番組取材中に、偶然川西市役所から怪しげな電波が発信されていることが判り調査した結果、ＡＣアダプタータイプの盗聴器が執務室に設置されたテーブルタップに刺さっていることを発見しました
場所的には総務課の付近で、入札関係の取扱い部署近くとのこと
今のところ個人情報などの情報漏えい被害の可能性は低いとのことですが市役所として警察に被害届を提出したとのことです
電波の到達距離は２００Ｍくらいあるとのことで、近くに停めた車の中から長時間にわたって盗聴可能で有ったようです
身の回りの環境で、怪しげで不自然なＡＣ増設タップなどを発見したら、念のために誰が設置したのか確認を行い不必要な装置はできるだけ撤去するように努めましょう
実にアナログな手段による情報漏えい事故／事件でしたが貴方の職場でもどこかで誰かに覗かれている可能性があることを理解しリスク対応を行ってください

2021/11/10
徳島の病院でランサムウェアに感染し医療業務に多大な影響が・・・

徳島県北部にある、つるぎ町立半田病院で2021年10月31日、ランサムウエアに感染したと発表されました
同病院によると、同日の午前0時半、院内の電子カルテシステムにおいて、英語による文書が大量に印刷されているのを病棟看護師が発見し電子カルテシステムが使えなくなり、診療に支障をきたす事態となったとのことです
電子カルテにはおよそ5万人分の患者カルテ情報が記録されていたとのこと
犯人からは未だ一切の接触は無く診療で使っている電子カルテシステムが感染し保存データが暗号化されるとともにバックアップシステムも感染していると判明し現状、診察に必要なカルテ情報について手作業でＰＣ入力を行い院内の情報共有で診療で利用する緊急事態になっているとのことです
今のところ復旧の見込みは立っていないとのこと・・・
そもそも医療システムは外部ネットワークとは直接接続していないが唯一、地域医療システムとは接続されておりそのあたりから侵入されたものと思われます
よって犯人から見ても直接病院が見えていない状況にあり、ウィルスが勝手に院内で活動しているものとも考えられます
バックアップも同一LAN上に構成されたファイルシステムにある場合、容易に感染を許してしまうことになりネットワーク構成からも安全な接続をシステム構築時に考慮しておかないと、いざという時に全く役に立たないことになってしまいます
重要なファイルのバックアップ方法について特段の対策が必要と思わせる事例となりました
医療など社会システムに直結する重大な事故事例とし、自社におけるリスク対応の見直しの必要性について再考される良き事例であると思われます

つるぎ町立半田病院 (handa-hospital.jp)

2021/10/16　10/17追加記載
ＪＩＰＤＥＣより「個人情報取扱い事故報告集計結果」について2020年度版が発表になりました

2019年度と比較して報告事業者数（９８５社⇒９３９社）は若干の減少が見られますが事故報告件数は（２５４３件⇒２６４４件）増加しています
報告された事故報告内容を見ると「誤送付関連」が1648件（62.3％）と一番多くなっています
先日も話題になった日本年金機構の年金通知書誤送付問題もこの辺りの話になるものと思います

発表された情報を簡単に整理すると上記のようになりちょっとした原因の漏えい事故が全体の７４％を占めているようです
詳細は以下でご確認ください
参考ＵＲＬ：その他のNEWS｜2020年度「個人情報の取扱いにおける事故報告集計結果」について｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC） (privacymark.jp)

いつか来た道と感じる年金機構漏えい事故問題ですが、宛先情報と中身の年金情報の突き合わせチェックという簡単な確認を怠った結果発生した事故と考えられますが、ＤＭ事業者として基本中の基本動作が漏れていたということでしょうか・・・
請負い事業でのＤＭ関連作業は一般に数は多いものの（今回は350万件超）作業単金は比較的安く、事業者にとって一旦事故発生時には重い責任を負わされる事となるケースが多く割の合わない作業と言われています
そのような中で発生した事故ではないかと思われますが皆さんはどう思われますか？
とはいえ、だからと言って起こしても良い事故ではありません
今回の事故発生においてもその様な受注環境で発生したのではないかと推測されます
－－－
★10/17追加記載
本件で時間が経過するにともない詳細が聞こえてきました
ちなみに委託先はＰマーク取得事業者である岐阜の印刷事業者とのことです
ＪＩＰＤＥＣや審査機関（中部産業連盟）からも調査が開始されると思います
実際の誤送付件数は97万件となっていますが、発送前で郵便局で止めたのが352万件に及んでいるそうです
今回から年金通知書のハガキデザインが従来は縦型だったものが横型になりそれに伴い印刷プログラムが変更になったのですが、その際に表と中身の印刷データにずれが生じたようです
通常は少なくともロット単位に印刷確認を行っていたようですが今回は何故か確認が行われていない、印刷業者の完全なる瑕疵であると考えられます
幸いにも振込業務は年金機構が別途行っていますので今のところ異常は発生していないことは幸いと言えるかと思います
再印刷、再送付で追加費用は５千万円は発生するようで、全て印刷業者負担となることは間違いないでしょう
多くのＤＭ事業者は責任が大きい割に、事業的にペイしないとのことで撤退が進んでいるようで一部の事業者への寡占化が進んでおり委託側としても委託先を選べない深い社会的問題もあるようです
－－－
年金機構も委託事業者に丸投げではなく、適切な委託先管理を行う管理責任があることは自明です
ＤＭ事業ではチェックの自動化が進んでいるはずで当然行っていたと思われ、今回の事故原因のさらなる発表が気になります
根本原因の発表がありましたらまたお知らせしたいと思います
昨日の携帯電話ネット事故も然り、社会システムに関係した事故発生は話題性も高く、当事者になった事業者にとっては一定期間の入札停止等、事業継続において大きな課題を背負うことにもなります
ひょっとすると今年の年末を越えられない・・・なんてことにならないよう祈るばかりです

2021/10/05
Ｐマーク新審査基準に対応するための
規程類見直しポイント

2021年9月にＰマーク審査における現行審査基準と新しい審査基準の対応表が公開されました
構築・運用指針と（現行）審査基準との対照表 (privacymark.jp)
2022年3月末までに更新申請を行った場合は従来の審査基準でＰマーク審査が行われますが4月以降に
申請を行った場合新しい審査基準で審査が行われることになりました
新しい審査基準では従来は含まれていなかったＪＩＳＱ１５００１の基本要求事項に関する用語も含めて
「新設」という形で審査基準への取り込みが行われています
（新設まとめ概要）具体的内容はJIPDEC資料でご確認ください

Ｐマーク更新事業者については従来の規程に関して上記項目を中心に追記／見直し対応が必要かと思います
具体的にどのように行うかは各社のノウハウになるためここでは具体的に説明できませんが２０２２年１月から２月にかけて保護法改正対応についてもＪＩＰＤＥＣからアナウンス予定となっていますので、それを確認してからでも遅くは無いと思います
またそろそろＪＩＳＱ１５００１：２０１７年版の改訂が行われる頃ですので２０２２年はＰマーク取得事業者や対応コンサル事業者にとってかなり多忙な年になりそうですね
なお、新審査基準規程見直し対応でお困りの節はお気軽にお問い合わせください
弊社ではＰマーク新規取得／更新対応についてサポート支援を行っていますのでご遠慮なくどうぞ・・
問い合わせは「問い合わせフォーム」からご依頼ください（コマーシャルでした）

2021/10/3
またまた怪しい詐欺メールが・・・

今回はヨドバシカメラの詐欺メールが飛んできました
ヨドバシ会員の覚えがないので詐欺メール確定です
メール内容は

近頃の詐欺メールは一時期と異なり、一見まともな日本語表現になっており注意が必要です
怪しいリンク先へのクリック厳禁です

2021/09/27
ＪＩＰＤＥＣよりＰマーク新審査基準が発表になりましたが更新申請書提出時期により注意ポイントがあるようです

JIPDECより個人情報保護法改正全面施行（2022年4月1日）にともなうＰマーク更新申請移行期間（2022年3月末まで）の申請書取扱いについてアナウンスされました
以下にあるように2022年3月末までに更新申請が行われた場合は現行の審査基準（ＪＩＳＱ15001：2017年版）で審査が行われ、規程類の見直しについて保護法改正対応等が確認されないことになりました
勿論、4月1日以降を想定して規程類の見直しを行っておいても構いませんが、法令やガイドライン等で既に施行されている部分など若干を除いて対応を行っていなくともＰマーク審査での指摘は行われないことになるとのことです
特に2022年11月頃に認定日が設定されている事業者については8ヶ月前から申請可能ですので3月末までに申請可能なギリギリの対象事業者になるかと思います

（審査基準と解説｜制度案内 |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC） (privacymark.jp)）

可能であれば3月末までに申請を行い、現行の審査基準で今回の審査対応を完了し、次回審査までに余裕をもって改正法令やガイドラインに対応するのも一つの方法かと思います
なお、新基準での規程類などの対応ポイント説明は2022年1月以降に行われるとのことですので現状では確定された詳細は不明です
今後のJIPDECアナウンスにご注意ください
JIPDECからアナウンスがありましたら順次お知らせいたします

2021/9/26
ＪＲ東日本が駅構内の防犯カメラ（顔認識カメラ）で不審者データベースを利用し映った人の映像と突き合わせを行い防犯対策で利用すると発表された

ＪＲ東日本が7月から駅構内に設置した顔認識カメラを使って過去にＪＲ駅構内で重大犯罪を犯し、服役した人や指名手配中の人、駅構内をうろつくなどの不審な行動をとった人等の顔情報を顔データベースに登録し主要な駅や変電所などに設置されたカメラで顔情報を自動照合すると発表しました
なお、今のところ痴漢や窃盗等は対象外とのことです
個人情報保護法では前科などは要配慮個人情報として定義され本人の同意なく取得、利用することは禁じられています
ＪＲ東日本では駅構内やホームページで顔認識カメラの使用を明示し、周知徹底を図っており、仮出所や服役情報などを現状で使っているかは明らかにしていません
一般の事業者においても防犯カメラを設置している事例が増えてきていると思われますが今回の様にマッチングする映像データベースを用意し該当者を突き合わせて個人を特定することでの利用を図る場合は個人情報保護法で要求されている事前説明と同意取得をどの様に適切に行うかを十分検討し実施する必要があります
最低限、カメラ設置とその利用目的の周知は行う必要があります
他データベース（どのような）との突き合わせを行う場合はさらに詳細な説明が求められますので注意しましょう
近頃はコンビニ無人レジや図書館での無人カウンターなど様々にカメラを使って人物の特定が行われる自動化システムが増えてきました
利用目的／利用期間／保管期間などを十分に検討／定義し対象者への事前説明を行うことが求められます
考えもなく利用すると利用する企業にとって大きなリスクになることを理解し運用するよう心がけましょう

2021/9/5
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針が改訂／公開され合わせて保護法ガイドライン（通則編）未執行版も公開されました

プライバシーマーク制度におけるＰＭＳ構築・運用指針が改訂され公表されました
今回の内容はＪＩＳＱ１５００１：２０１７の要求事項との対応についてより判り易く定められています
２０２２年１月以降に２０２２年4月に保護法全面施行に向けてさらに改訂が行われる予定となっていますので具体的なＰマーク取得事業者の対応はそれを待ってから行うのが手戻りの無い対応となると思われます
合わせてガイドライン（通則編）も改訂（２０２２年４月施行）未執行版も公開されましたので事前確認されてください
★ＰＭＳ構築・運用指針：ＪＩＰＤＥＣ情報
制度関連のNEWS｜プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針の公表および審査基準の改定について｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC） (privacymark.jp)
★個人情報保護法ガイドライン（通則編）（現在未施行／2022年4月施行予定版）
：ＰＰＣ情報
法令･ガイドライン等｜個人情報保護委員会 (ppc.go.jp)

2021/8/2
米国AmazonがＧＤＰＲ違反で970億円の制裁金が課せられました

アマゾンがＥＵのＧＤＰＲに違反したとして域内当局から7億４６００万ユーロ（約970億円）の制裁金を科せられたことが明らかになりました
個人情報保護を巡るＥＵ制裁金としては過去最大の制裁金です
アマゾンとしては不服申し立てを行っているようですが過去にはグーグルも５０００万ユーロ（65億円）も制裁金が課せられています
国内企業においてもＥＵにおける個人情報取扱活動においてＧＤＰＲ対応に漏れが無いかを充分に確認して活動を行わないと思わぬ訴訟リスクに巻き込まれることになりますのでご注意ください

ＴＯＰへ戻る

ＰマークやＩＳＭＳ認証取得でお困り事がありましたら何なりとご相談ください

📞：０５０－３６９４－４１０４　　✉：pmark-info@isec-lab.com