2021.01.19

内部監査って「いつ」「だれに」「どうやって」にするの？

Pマークの取り組みで絶対やらなければならない取り組みの1つに内部監査があります。   やらなければならないことは知ってるが、具体的になにをどうすべき意外と知らずに審査の際に指摘されるケースが多いです。 今回はPマークの取り組みにおける一大イベントである内部監査について触れてみたいと思います。   【いつやるの？】 まず、内部監査実施頻度・時期についてです。 Pマークの取り組み上、年に一度は内部監査の実施が必要になります。 Pマークの更新審査は二年に一度ですので、更新審査の際には2回分の監査記録が最低限あるはずです。   実施時期については会社ごと任意になります。 実際に社内規定で策定した実施時期が実施月の目処になっていると考えてください。 あまり、規定に定めているものを無視してやっていると審査の際に注意される可能性があるので気を付けましょう！   【内部監査の対象】 内部監査の対象(被監査対象)ですが、これは会社によって変わってしまいます。 原則として求められる監査対象を紹介したいと思います。   適合性監査 まずは適合性監査です。 これは具体的にはPマークの文書が対象となる内部監査になります。 Pマークの文書が要求事項であるJISQ15001の付属書Aに適合できているかを監査することになります。   管理者への監査 次は個人情報保護管理者への監査です。 会社によって名称は異なりますが、Pマークの責任者への監査になります。 実施のポイントしては個人情報保護管理者が要求事項で実施が求められることを実施出来ているかの監査になります。   現場への監査 3つ目は現場への内部監査です。 拠点ごと、部署ごと、単位としては会社の規模や業務内容等によって決めていくことなります。 監査の内容としては安全管理のルールとして定めた内容が守られているかの監査を行うことなります。   【どうやってやるの？】 では内部監査は具体的にどのようにやっていくのでしょうか。 ポイントは以下の3つです。   内部監査計画書 まず1つ目は計画書の作成です。 監査実施にあたっては計画を立てて実施することが求められています。 つまり、監査計画がないのに監査を実施しているとなるとPマークの要求を満たしていない監査になると判断できます。   チェックリスト 次に監査チェックリストの用意です。 Pマークの監査においては、チェックリストを使った記録がないと審査の際に指摘されます。 理屈としてはチェックリストがなければ、誰にどのようなチェックをしたのかが分からないため、ちゃんと監査がなされたかが確認できないことが理由です。 Pマークのための記録となってしまうため、少々納得しがたい人もいるかもしれませんが、監査人が初心者であったりするとチェックリストがあった方が、しっかりと監査の実施ができるので重要なものとも言えます。   報告書 3つ目は監査実施後に作成する報告書です。 報告書がないとチェックリストの記録があっても実施が完了したとは判断が出来ません。 チェックリストの記録はあくまでチェックした内容の備忘録に過ぎませんので、最終的な監査結果は報告書に記載されると判断することになります。   【最後に】 内部監査はこれまでの流れで完了！となります。 ですが、監査の結果「不適合」の事項などの発見があると改善の活動として是正処置の実施が必要となってきます。 是正処置も手順が定まっているものになりますので、要求事項・手順に沿っての実施が求められてきます。

2021.01.16

Pマークの従業者管理で求められる3つのこと！

  プライバシーマークを取得するにあたってその会社で働いている従業者の管理・監督は必要になります。 ここで言う「管理」「監督」とは何のことを指すのでしょうか。 端的に言うと従業者の管理・監督は個人情報の会社の中での安全が守られるようその会社で働く人から漏れないようにするための施策です。 どのようなことが求められるかを今回はご紹介したいと思います。   【従業者と従業員の違い】 さて、説明の前に一般的に従業員と言われる呼称をPマークは従業者と使っています。 この違はいったいなんでしょうか。まずは違いをご紹介します。 従業員 従業員とは、企業と労働・就労契約を結んで雇用されている人を指します。 一般的には、正社員、契約社員、アルバイトを指します。 従業者 個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者などをいい，雇用関係にある従業員（正社員，契約社員，嘱託社員，パート社員，アルバイト社員など）だけでなく，雇用関係にない従事者（取締役，執行役，理事，監査役，監事，派遣社員など）も含まれる。 ※JISQ15001:2017から一部抜粋 違い 従業者の方が定義として広いものと考えてください。 つまり、Pマークにおいては従業員だけではなく、社長を含む取締役から派遣社員までも管理される人の対象に含まれると定義しています。   【誓約書】 まず、1つ目は誓約書の取得です。 ‘Pマークにおいて、個人情報保護を言及した誓約書が求められるわけではありません。機密情報を漏らさない。という内容のもので問題ありません。 書かれてないといけないような項目は下記のようなものになります。 ・在職中、仕事で扱う情報を外部に漏らすようなことをしない ・万が一のことがあれば、賠償されても文句を言わない ・退職後も同様の誓約を負うこと また、退職時に誓約書を取得ことは任意となります。   【就業規則】 2つ目は就業規則になります。 安全管理のためのルールで定めた内容に違反した際の規程が整備されていることが求められます。 これは就業規則で賄うことが一般的です。   就業規則に会社ルールに違反した際の取り決めがあることが求められます。 それはルールに違反した際の罰則です。 ルールに違反したら懲戒処分等がなされることが書かれていることが要求になります。   【モニタリング】 3つ目はモニタリングです。 これは必須の事項ではありません。 実施する場合にはちゃんと規定し、実施することが必要になります。 モニタリングとは下記を指しています。 監視カメラによるモニタリング モニタリング行為の1つは監視カメラによるモニタリングです。 どのようなことかと言うと仕事のエリア内にカメラを設置し、防犯目的ではなくちゃんと仕事をしているかなどの監視行為を目的として撮影・録画を行うことを指します。 ※防犯目的のカメラ設置とは明確に目的を違っていることがポイントです。   ログ収集ソフトによるモニタリング もう1つはログ収集ソフトを使ってのモニタリングです。 カメラでのモニタリングと同じ理屈になりますが、収集するログの目的が仕事をさぼっていないかなどの監視目的になるとモニタリング行為となります。   まとめ モニタリング行為を行う場合、個人情報を収集・取得しているとも取れますので、個人情報の直接取得と取られると考える必要があります。

2021.01.09

JISQ15001:2017付属書A解説

JISQ15001:2017　付属書A A.3 管理目的及び管理策 A.3.1 一般 A.3.1.1一般 A.3.2 個人情報保護方針 A.3.2.1内部向け個人情報保護方針 A.3.2.2外部向け個人情報保護方針 A.3.3 計画 A.3.3.1個人情報の特定 A.3.3.2法令，国が定める指針その他の規範 A.3.3.3リスクアセスメント及びリスク対策 A.3.3.4資源，役割，責任及び権限 A.3.3.5内部規程 A.3.3.6計画策定 A.3.3.7緊急事態への準備 A.3.4 実施及び運用 A.3.4.1運用手順 A.3.4.2 取得，利用及び提供に関する原則 A.3.4.2.1利用目的の特定 A.3.4.2.2適正な取得 A.3.4.2.3要配慮個人情報 A.3.4.2.4個人情報を取得した場合の措置 A.3.4.2.5A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置 A.3.4.2.6利用に関する措置 A.3.4.2.7本人に連絡又は接触する場合の措置 A.3.4.2.8個人データの提供に関する措置 A.3.4.2.8.1外国にある第三者への提供の制限 A.3.4.2.8.2第三者提供に係る記録の作成など A.3.4.2.8.3第三者提供を受ける際の確認など A.3.4.2.9匿名加工情報 A.3.4.3 適正管理 A.3.4.3.1正確性の確保 A.3.4.3.2安全管理措置 A.3.4.3.3従業者の監督 A.3.4.3.4委託先の監督 A.3.4.4 個人情報に関する本人の権利 A.3.4.4.1個人情報に関する権利 A.3.4.4.2開示等の請求等に応じる手続 A.3.4.4.3保有個人データに関する事項の周知など A.3.4.4.4保有個人データの利用目的の通知 A.3.4.4.5保有個人データの開示 A.3.4.4.6保有個人データの訂正，追加又は削除 A.3.4.4.7保有個人データの利用又は提供の拒否権 A.3.4.5認識 A.3.5 文書化した情報 A.3.5.1文書化した情報の範囲 A.3.5.2文書化した情報（記録を除く。）の管理 A.3.5.3文書化した情報のうち記録の管理 A.3.6 苦情及び相談への対応 A.3.6苦情及び相談への対応 A.3.7 パフォーマンス評価 A.3.7.1運用の確認 A.3.7.2内部監査 A3.7.3マネジメントレビュー A.3.8 是正処置 A.3.8是正処置  

2021.01.07

福岡県にて新型コロナ陽性患者 約9500人分情報流出

  2021年1月6日福岡県が管理している新型コロナ患者の名前や住所など、およそ9,500人分の個人情報がインターネット上に漏れていたことがわかりました。 今回、インターネット上上で、第3者がアクセスできるようになっていたのは、福岡県が作成した新型コロナの陽性患者に関する複数のファイルとなるようです。 ファイル内容の詳細 確認された内容は下記の通りです。 ・氏名 ・年齢 ・住所 ・症状 上記内容が掲載された患者一覧表になります。   経緯 福岡県は今回の事故の経緯として下記の通り公表しています。 ・ 令和２年４月、新型コロナ陽性者の入院調整のため、調整本部が作成した陽性者のデータを医療関係者間においてクラウド上で共有を開始。 （このクラウドは、調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できない。） ・ １１月３０日、調整本部から医療関係者１名へ患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信。 その際、本来送付するべきアドレスと酷似していた男性のアドレスあてに誤送信。 ・ 同日、同男性から宛先を間違っている旨、調整本部に連絡があり、即日、上記ファイルが含まれるフォルダについて同男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされていなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続。 ・ 令和３年１月６日、一部報道機関からの取材により、個人情報の漏えいが発覚。 ※福岡県公表内容より一部抜粋   本事故の影響 新型コロナ陽性者の情報は個人情報保護法上の要配慮個人情報に該当します。 要配慮個人情報には一般の個人情報より厳しい管理義務（第三者への提供には必ず本人同意が必要など）が課されています。福岡県条例でも、こうした「要配慮個人情報」の収集が原則禁止されています。   今回は個人情報の取扱いにおいて、個人情報保護法ではなく福岡県個人情報保護条例が適用されますが、こうした「要配慮個人情報」の収集が原則禁止されています。 例外的に行政事務目的達成のため広く認められているため、収集・利用されているものと考えられます。   漏えい等が起きてしまった場合、本人への影響としては差別などが考えられます。   以前に愛知県でもコロナ感染者の情報が一時的にインターネット上に公開された事故がありました。 インターネット上に公開され、コピー等されてしまうと完全に削除されることはないものと考える必要があります。   半永久的に漏えいした人の病歴の情報がインターネット上に残ることは精神的な苦痛を伴うものとなります。   今後の対策 まだ、福岡県も再発防止策等の公表までは行っていませんが、クラウドサービス上での共有の際に起きたアクセス権の誤設定なるため、アクセス権付与時の設定確認などが考えれます。   クラウドサービスは便利ですが、要配慮個人情報をクラウドサービスで管理する際には通常以上にリスクを想定・分析し、アクセス権等を付与する人もチェックを厳重にすることが大事と言えるでしょう。          

2021.01.04

センシティブ・機微・要配慮・・それぞれの違いってなんですか？

  個人情報の取扱いに関連した言葉として「よく耳にするが、意味が分からない。」というお声をもらう用語は沢山あります。 個人情報保護に関連する用語は個人情報保護法上で定められた法律用語もあれば、プライバシーマーク独自の用語などもあります。 そう言った独特なものでも「要配慮個人情報」、「特定の機微な個人情報」、「センシティブ情報」はそれぞれ微妙に定義が違うが、どう違うのかなど、違いの把握ができない用語として特徴的です。   【それぞれの言葉の定義】 ・要配慮個人情報 要配慮個人情報ですが、これは個人情報保護法の定義で定められた用語になります。 法律上は下記のように定義されています。   「要配慮個人情報」とは、 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにいその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報 (個人情報保護に関する法律　第2条3項から一部抜粋)   具体的には 人種、信条、社会的身分 障害に関する情報 病歴 健康診断の結果 医師による心身の状態の改善のための指導・診療や調剤が行われたことを示す情報 犯罪歴 犯罪被害を受けた事実 上記のようなものが要配慮個人情報となります。 プライバシーマークの要求事項でも要配慮個人情報の定義はなされていますが、個人情報保護法と同じものとなっています。   要配慮個人情報の具体的な内容は他のブログでも紹介しています。   ・特定の機微な個人情報 次に「特定の機微な個人情報」です。   これもなかなか聞きなれない言葉です。 言葉の大元はプライバシーマークになります。 JISQ15001:2006の中で定義されており、この頃の個人情報保護法では「特定の機微な個人情報」については定義されていませんでしたので、定義はプライバシーマークの要求事項がメインとなります。   辞書には「表面からは知りにくい微妙な心の動きや物事の趣」と書かれています。噛み砕く機微とは「あまり知られたくないこと」ということになり、機微な個人情報とは個人情報の中でも「他人に知られたくない情報」と言えます。   具体的には下記のような内容となります。 思想，信条又は宗教に関する事項 人種，民族，門地，本籍地（所在都道府県に関する情報を除く。），身体・精神障害，犯罪歴その他社会的差別の原因となる事項 勤労者の団結権，団体交渉その他団体行動の行為に関する事項 集団示威行為への参加，請願権の行使その他の政治的権利の行使に関する事項 保健医療又は性生活に関する事項 ※個人情報保護マネジメントシステム要求事項JISQ15001:2006から一部抜粋   基本的には「要配慮個人情報」の昔の言葉として考えてもらってOKです。 違いと言うと「要配慮個人情報」には「犯罪被害を受けた事実」は含まれるが「特定の機微な個人情報」には含まれない。というものになります。   ・センシティブ情報 センシティブってどんな意味でしょうか。英語で書くと「sensitive」です。 意味としては「敏感な」「感じやすい」「過敏な」「傷つきやすい」を指しています。 ※ 今回は「金融分野における個人情報保護に関するガイドライン」に定義される「センシティブ(機微)情報」ではなく、広く使われるセンシティブ情報を指すものとします。   敏感な情報、傷つきやすい情報という意味になりますね。 これだとイメージが付きづらいと思うので詳細を解説すると下記のようなイメージです。   "本人の信条や社会的身分、病歴など、漏洩した場合に犯罪に悪用される、もしくは重大な不利益を本人に及ぼす可能性のある情報"   上で述べた「要配慮個人情報」や「特定の機微な個人情報」は具体的にどのようなものが該当するのか定義されていますが、「センシティブ情報」は具体的な定義はありません。   「センシティブ情報」には上で述べた「要配慮個人情報」や「特定の機微な個人情報」の具体的例は当然に含まれた上でそれ以外でも「重大な不利益を本人に及ぼす可能性のある情報」と言えるものにが含まれると言えます。   【センシティブ情報の具体例】 では、「要配慮個人情報」や「特定の機微な個人情報」に含まれないセンシティブ情報とはどんなものがあるのでしょうか。   「重大な不利益を本人に及ぼす可能性のある情報」と言えるものですが、下記のようなものが具体的なものとして列挙されます。   ・クレジットカード情報 ・銀行口座に関連する情報(ネットバンクのIDやパスワードを含む) ・信用情報   例にあげているのは金融に関連するものになりますが、基本的には「人の内面に関わる情報」はセンシティブであると考えてもらえると差異はないです。   全体的なイメージとしては下記の図のようなものになります。 このように「センシティブ情報」の中に「要配慮個人情報」や「特定の機微な個人情報」があると言えます。   また、「特定の機微な個人情報」については定義として根拠となるプライバシーマークの要求事項が要配慮個人情報に変わっているので、現在は使われない言葉であると考えてもらればと思います。  

2020.12.18

悪しき慣習だった!?PPAPとは何か

  皆さんPPAPという言葉をご存知ですか？   数年前に流行った歌のことではありませんよ(笑)   情報セキュリティ・個人情報保護の領域でもPPAPという言葉が存在しています。 下記の内容の頭文字を取った言葉になります。 P：パスワード付きZIP暗号化ファイルを送ります P：パスワードを送ります A：暗号化 P：プロトコル これを具体的なメールのやり取りに落とし込むと下記のような流れです。 A(メール送信者)は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付してB(受信者)に送信する。 A(メール送信者)は、1.で送信した添付ファイルのパスワードを、別途メールにてB(受信者)に送信する。 B(受信者)には、送信者から受け取った添付ファイルとパスワードによってファイルを解凍し、添付ファイルの中身を確認する。   これまではこの形式が情報セキュリティ・個人情報保護の観点から正しいルールであると信じられてきました。   いまはこれがリスクがある行為として見直しされて来ています。 具体的にどういったことなのかを少しご紹介していきます。   【PPAP方式のリスク】 では、実際にPPAP方式を使い続けるリスクとはどんなものがあるのでしょうか。 想定されるリスクとしては下記のようなことが挙げられます。 メールを盗聴している人がzipファイルを添付したメールを入手したら、同じ手段で送られるパスワードも入手できる可能性が高い。 ●別のメールで指定されたパスワードを入力するという手間は、無駄が多い。 ●最近はファイルのzip化とパスワードの送信を自動で行っているツールが多い。手動であればパスワード送信前に誤送信に気付く可能性もあるが、児童の場合はそうも行かない。 ●添付ファイルのzip化によって、もし添付ファイルがコンピュータウイルス等に感染していたとしても、脅威に気付くことが出来ない可能性が高まる。 ●パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされている。暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない。と以前から指摘されている。 ●スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要となり、利便性を損なう。 ざっと例を挙げるだけでもこれだけのリスクが想定出来てしまいます。   【なぜ、利用され続けたのか】 2012年にはIPAでもPPAP方式は有用な情報セキュリティ・個人情報保護の施策として挙がっていました。 ですが、大きな理由としてはプライバシーマーク制度などの認証制度がPPAP形式を推奨し、認証上の基準として盛り込んでいたことが要因の1つだと考えられます。 認証を取得する企業は自ずとPPAP形式を利用することになってしまい、グループ会社や取引先にも広がっていった。という流れです。   【今後どうすべきか】 別の記事にも詳細を記載しているので、内容はそちらにゆずります。   ですが、今後は会社ごとに取り組むべき方式が変わってくることは事実です。 自社の規模、文化や業務上のリスクに応じた取り組みが必要になってくるため、専門家に相談・支援を受けることが効果的な取り組みだと考えます。