2021.01.09

JISQ15001:2017付属書A解説

JISQ15001:2017　付属書A A.3 管理目的及び管理策 A.3.1 一般 A.3.1.1一般 A.3.2 個人情報保護方針 A.3.2.1内部向け個人情報保護方針 A.3.2.2外部向け個人情報保護方針 A.3.3 計画 A.3.3.1個人情報の特定 A.3.3.2法令，国が定める指針その他の規範 A.3.3.3リスクアセスメント及びリスク対策 A.3.3.4資源，役割，責任及び権限 A.3.3.5内部規程 A.3.3.6計画策定 A.3.3.7緊急事態への準備 A.3.4 実施及び運用 A.3.4.1運用手順 A.3.4.2 取得，利用及び提供に関する原則 A.3.4.2.1利用目的の特定 A.3.4.2.2適正な取得 A.3.4.2.3要配慮個人情報 A.3.4.2.4個人情報を取得した場合の措置 A.3.4.2.5A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置 A.3.4.2.6利用に関する措置 A.3.4.2.7本人に連絡又は接触する場合の措置 A.3.4.2.8個人データの提供に関する措置 A.3.4.2.8.1外国にある第三者への提供の制限 A.3.4.2.8.2第三者提供に係る記録の作成など A.3.4.2.8.3第三者提供を受ける際の確認など A.3.4.2.9匿名加工情報 A.3.4.3 適正管理 A.3.4.3.1正確性の確保 A.3.4.3.2安全管理措置 A.3.4.3.3従業者の監督 A.3.4.3.4委託先の監督 A.3.4.4 個人情報に関する本人の権利 A.3.4.4.1個人情報に関する権利 A.3.4.4.2開示等の請求等に応じる手続 A.3.4.4.3保有個人データに関する事項の周知など A.3.4.4.4保有個人データの利用目的の通知 A.3.4.4.5保有個人データの開示 A.3.4.4.6保有個人データの訂正，追加又は削除 A.3.4.4.7保有個人データの利用又は提供の拒否権 A.3.4.5認識 A.3.5 文書化した情報 A.3.5.1文書化した情報の範囲 A.3.5.2文書化した情報（記録を除く。）の管理 A.3.5.3文書化した情報のうち記録の管理 A.3.6 苦情及び相談への対応 A.3.6苦情及び相談への対応 A.3.7 パフォーマンス評価 A.3.7.1運用の確認 A.3.7.2内部監査 A3.7.3マネジメントレビュー A.3.8 是正処置 A.3.8是正処置  

2021.01.07

福岡県にて新型コロナ陽性患者 約9500人分情報流出

  2021年1月6日福岡県が管理している新型コロナ患者の名前や住所など、およそ9,500人分の個人情報がインターネット上に漏れていたことがわかりました。 今回、インターネット上上で、第3者がアクセスできるようになっていたのは、福岡県が作成した新型コロナの陽性患者に関する複数のファイルとなるようです。 ファイル内容の詳細 確認された内容は下記の通りです。 ・氏名 ・年齢 ・住所 ・症状 上記内容が掲載された患者一覧表になります。   経緯 福岡県は今回の事故の経緯として下記の通り公表しています。 ・ 令和２年４月、新型コロナ陽性者の入院調整のため、調整本部が作成した陽性者のデータを医療関係者間においてクラウド上で共有を開始。 （このクラウドは、調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できない。） ・ １１月３０日、調整本部から医療関係者１名へ患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信。 その際、本来送付するべきアドレスと酷似していた男性のアドレスあてに誤送信。 ・ 同日、同男性から宛先を間違っている旨、調整本部に連絡があり、即日、上記ファイルが含まれるフォルダについて同男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされていなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続。 ・ 令和３年１月６日、一部報道機関からの取材により、個人情報の漏えいが発覚。 ※福岡県公表内容より一部抜粋   本事故の影響 新型コロナ陽性者の情報は個人情報保護法上の要配慮個人情報に該当します。 要配慮個人情報には一般の個人情報より厳しい管理義務（第三者への提供には必ず本人同意が必要など）が課されています。福岡県条例でも、こうした「要配慮個人情報」の収集が原則禁止されています。   今回は個人情報の取扱いにおいて、個人情報保護法ではなく福岡県個人情報保護条例が適用されますが、こうした「要配慮個人情報」の収集が原則禁止されています。 例外的に行政事務目的達成のため広く認められているため、収集・利用されているものと考えられます。   漏えい等が起きてしまった場合、本人への影響としては差別などが考えられます。   以前に愛知県でもコロナ感染者の情報が一時的にインターネット上に公開された事故がありました。 インターネット上に公開され、コピー等されてしまうと完全に削除されることはないものと考える必要があります。   半永久的に漏えいした人の病歴の情報がインターネット上に残ることは精神的な苦痛を伴うものとなります。   今後の対策 まだ、福岡県も再発防止策等の公表までは行っていませんが、クラウドサービス上での共有の際に起きたアクセス権の誤設定なるため、アクセス権付与時の設定確認などが考えれます。   クラウドサービスは便利ですが、要配慮個人情報をクラウドサービスで管理する際には通常以上にリスクを想定・分析し、アクセス権等を付与する人もチェックを厳重にすることが大事と言えるでしょう。          

2021.01.04

センシティブ・機微・要配慮・・それぞれの違いってなんですか？

  個人情報の取扱いに関連した言葉として「よく耳にするが、意味が分からない。」というお声をもらう用語は沢山あります。 個人情報保護に関連する用語は個人情報保護法上で定められた法律用語もあれば、プライバシーマーク独自の用語などもあります。 そう言った独特なものでも「要配慮個人情報」、「特定の機微な個人情報」、「センシティブ情報」はそれぞれ微妙に定義が違うが、どう違うのかなど、違いの把握ができない用語として特徴的です。   【それぞれの言葉の定義】 ・要配慮個人情報 要配慮個人情報ですが、これは個人情報保護法の定義で定められた用語になります。 法律上は下記のように定義されています。   「要配慮個人情報」とは、 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにいその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報 (個人情報保護に関する法律　第2条3項から一部抜粋)   具体的には 人種、信条、社会的身分 障害に関する情報 病歴 健康診断の結果 医師による心身の状態の改善のための指導・診療や調剤が行われたことを示す情報 犯罪歴 犯罪被害を受けた事実 上記のようなものが要配慮個人情報となります。 プライバシーマークの要求事項でも要配慮個人情報の定義はなされていますが、個人情報保護法と同じものとなっています。   要配慮個人情報の具体的な内容は他のブログでも紹介しています。   ・特定の機微な個人情報 次に「特定の機微な個人情報」です。   これもなかなか聞きなれない言葉です。 言葉の大元はプライバシーマークになります。 JISQ15001:2006の中で定義されており、この頃の個人情報保護法では「特定の機微な個人情報」については定義されていませんでしたので、定義はプライバシーマークの要求事項がメインとなります。   辞書には「表面からは知りにくい微妙な心の動きや物事の趣」と書かれています。噛み砕く機微とは「あまり知られたくないこと」ということになり、機微な個人情報とは個人情報の中でも「他人に知られたくない情報」と言えます。   具体的には下記のような内容となります。 思想，信条又は宗教に関する事項 人種，民族，門地，本籍地（所在都道府県に関する情報を除く。），身体・精神障害，犯罪歴その他社会的差別の原因となる事項 勤労者の団結権，団体交渉その他団体行動の行為に関する事項 集団示威行為への参加，請願権の行使その他の政治的権利の行使に関する事項 保健医療又は性生活に関する事項 ※個人情報保護マネジメントシステム要求事項JISQ15001:2006から一部抜粋   基本的には「要配慮個人情報」の昔の言葉として考えてもらってOKです。 違いと言うと「要配慮個人情報」には「犯罪被害を受けた事実」は含まれるが「特定の機微な個人情報」には含まれない。というものになります。   ・センシティブ情報 センシティブってどんな意味でしょうか。英語で書くと「sensitive」です。 意味としては「敏感な」「感じやすい」「過敏な」「傷つきやすい」を指しています。 ※ 今回は「金融分野における個人情報保護に関するガイドライン」に定義される「センシティブ(機微)情報」ではなく、広く使われるセンシティブ情報を指すものとします。   敏感な情報、傷つきやすい情報という意味になりますね。 これだとイメージが付きづらいと思うので詳細を解説すると下記のようなイメージです。   "本人の信条や社会的身分、病歴など、漏洩した場合に犯罪に悪用される、もしくは重大な不利益を本人に及ぼす可能性のある情報"   上で述べた「要配慮個人情報」や「特定の機微な個人情報」は具体的にどのようなものが該当するのか定義されていますが、「センシティブ情報」は具体的な定義はありません。   「センシティブ情報」には上で述べた「要配慮個人情報」や「特定の機微な個人情報」の具体的例は当然に含まれた上でそれ以外でも「重大な不利益を本人に及ぼす可能性のある情報」と言えるものにが含まれると言えます。   【センシティブ情報の具体例】 では、「要配慮個人情報」や「特定の機微な個人情報」に含まれないセンシティブ情報とはどんなものがあるのでしょうか。   「重大な不利益を本人に及ぼす可能性のある情報」と言えるものですが、下記のようなものが具体的なものとして列挙されます。   ・クレジットカード情報 ・銀行口座に関連する情報(ネットバンクのIDやパスワードを含む) ・信用情報   例にあげているのは金融に関連するものになりますが、基本的には「人の内面に関わる情報」はセンシティブであると考えてもらえると差異はないです。   全体的なイメージとしては下記の図のようなものになります。 このように「センシティブ情報」の中に「要配慮個人情報」や「特定の機微な個人情報」があると言えます。   また、「特定の機微な個人情報」については定義として根拠となるプライバシーマークの要求事項が要配慮個人情報に変わっているので、現在は使われない言葉であると考えてもらればと思います。  

2020.12.18

悪しき慣習だった!?PPAPとは何か

  皆さんPPAPという言葉をご存知ですか？   数年前に流行った歌のことではありませんよ(笑)   情報セキュリティ・個人情報保護の領域でもPPAPという言葉が存在しています。 下記の内容の頭文字を取った言葉になります。 P：パスワード付きZIP暗号化ファイルを送ります P：パスワードを送ります A：暗号化 P：プロトコル これを具体的なメールのやり取りに落とし込むと下記のような流れです。 A(メール送信者)は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付してB(受信者)に送信する。 A(メール送信者)は、1.で送信した添付ファイルのパスワードを、別途メールにてB(受信者)に送信する。 B(受信者)には、送信者から受け取った添付ファイルとパスワードによってファイルを解凍し、添付ファイルの中身を確認する。   これまではこの形式が情報セキュリティ・個人情報保護の観点から正しいルールであると信じられてきました。   いまはこれがリスクがある行為として見直しされて来ています。 具体的にどういったことなのかを少しご紹介していきます。   【PPAP方式のリスク】 では、実際にPPAP方式を使い続けるリスクとはどんなものがあるのでしょうか。 想定されるリスクとしては下記のようなことが挙げられます。 メールを盗聴している人がzipファイルを添付したメールを入手したら、同じ手段で送られるパスワードも入手できる可能性が高い。 ●別のメールで指定されたパスワードを入力するという手間は、無駄が多い。 ●最近はファイルのzip化とパスワードの送信を自動で行っているツールが多い。手動であればパスワード送信前に誤送信に気付く可能性もあるが、児童の場合はそうも行かない。 ●添付ファイルのzip化によって、もし添付ファイルがコンピュータウイルス等に感染していたとしても、脅威に気付くことが出来ない可能性が高まる。 ●パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされている。暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない。と以前から指摘されている。 ●スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要となり、利便性を損なう。 ざっと例を挙げるだけでもこれだけのリスクが想定出来てしまいます。   【なぜ、利用され続けたのか】 2012年にはIPAでもPPAP方式は有用な情報セキュリティ・個人情報保護の施策として挙がっていました。 ですが、大きな理由としてはプライバシーマーク制度などの認証制度がPPAP形式を推奨し、認証上の基準として盛り込んでいたことが要因の1つだと考えられます。 認証を取得する企業は自ずとPPAP形式を利用することになってしまい、グループ会社や取引先にも広がっていった。という流れです。   【今後どうすべきか】 別の記事にも詳細を記載しているので、内容はそちらにゆずります。   ですが、今後は会社ごとに取り組むべき方式が変わってくることは事実です。 自社の規模、文化や業務上のリスクに応じた取り組みが必要になってくるため、専門家に相談・支援を受けることが効果的な取り組みだと考えます。  

2020.11.27

好きに変えて良いの？利用目的変更の条件。

  個人情報の利用目的は決まっているものと、以前の記事でも触れていますが実は法律上・プライバシーマーク上で利用目的は変更しても構わない。となっています。 ある程度具体的に利用目的を定めなければならないのに変えていいの？と疑問に思う人もいるのでないでしょうか。 ルール・制限はありますが、実のところは利用目的を変更して扱うことは違法でもルール違反でもありません。 今回は利用目的の変更に関する内容や手順について触れてみたいと思います。   【利用目的変更がOKな根拠】 そもそも、個人情報の利用目的は変更することができるのでしょうか・・・ 個人情報保護法には根拠となる条文があります。 「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」 ※個人情報保護に関する法律　15条　2項から抜粋   元々の利用目的と関連性があれば、利用目的を変更することは法律上認めています。 言い換えると本人が予想できないような、利用目的への変更は不可になります。 【利用目的の変更がOKな例】 対象：A社に勤める従業員の情報 元々の利用目的：給与計算、雇用の管理に関する手続き 変更(追加)する利用目的：A社HPでのスタッフ紹介や会社イベントの写真の掲載   【利用目的の変更がNGな例】 対象：A社に勤める従業員の情報 元々の利用目的：給与計算、雇用の管理に関する手続き 変更(追加)する利用目的：A社が新たに取り扱いを始めた美容商材のカタログを送付、会員登録   OKな例は働いている内容の紹介と言える内容となっており、利用目的変更の例としては関連性があると判断されます。 一方、NGな例は従業員の情報のサービス・事業の内容に変更する形になっているので、関連性があるとは認められない例となってきます。   【どうやって変更するの？】 では、具体的にどうやって変更するのでしょうか。 個人情報保護法では、以下のような条文があります。 16条　利用目的による制限 第十六条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 ※個人情報保護に関する法律　16条　1項から抜粋   条文に記載のある通りなのですが、「あらかじめ本人の同意を得る」ことが求められています。この場合ですが、口頭の同意でもOKなのか、書面などでの同意が必要なのか。 条文上では明確な定めがありませんが、書面での同意があった方がベストだと考えられます。   【プライバシーマーク上必要な手順】 一方プライバシーマークを取得している会社で利用目的の変更を行う場合はどうでしょうか。 同意を得ることまでは変わりありません。同意においては書面などで明確に同意を得ることが求められています。 それ以外にも同意を得る以前に社内で利用目的の変更を行う上での承認を書面で個人情報保護管理者(Pマークの責任者)から得ることが必要となってきます。   【終わりに】 会社で持っている個人情報について利用目的を変更できることにビックリされている方もいあるかと思います。 個人情報保護法を作っている国としても個人情報の利活用をして経済を回すことが目的でもあるので、関連性があればうまくその情報を使うことでビジネスの発展に繋げていきたいと考えています。   違法・不当にならないように専門家の意見を聞きながら会社の個人情報を使っていけれるとビジネス活用がうまくいくことにもなります。        

2020.11.23

添付ファイルはそのまま送ってOK？パスワード付きzipファイル廃止の発表についての見解

先日、中央官庁でパスワード付きzipファイルによるメールでの添付ファイルの送信を廃止する旨の発表がありました。 それに伴い、プライバシーマーク制度を扱っているJIPDECなどもパスワード付きzipファイルでのセキュリティ対策を推奨しないことを発表するなど、情報セキュリティ・個人情報保護の世界にかなりの衝撃が走っています。   無駄を省く意味では画期的な発表でもあります。   そもそも多くの会社で使われているこのセキュリティ対策ですが、下記のような流れになります。 ①添付するファイルを､適当なパスワードを使って暗号化したZIPファイルに変換する。 ②zipファイルをメールに添付して送信する。 ③続いてそのzipファイルのパスワードをメール送信する。   企業のセキュリティ基準にも明記されているものとなるので、「効果あるのかな？」と思いつつも、毎日行っている方も多い人もいるのではないでしょうか。   この画期的な発表により、今後会社でのメールでの情報送信はどのように変わってくるのでしょうか。 添付ファイルはどんなものであっても、そのまま送ってしまって大丈夫？？それとも昔に戻って紙やCD-Rなどを郵送する？？ 今回はパスワード付きzipファイルの扱いについて、書いてみたいと思います。   【なぜ、パスワード付きzipファイルを廃止するのか】 河野太郎大臣がはじめた「目安箱」のデジタル庁版「デジタル改革アイデアボックス」は、広くデジタル化への意見やアイデアを広く募っているものとして注目を集めています。 「パスワード付きZIPファイルの添付廃止」の廃止のキッカケはこちらでの提案であり、そこから平井デジタル改革担当大臣の発表にいたります。     暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPと言われる日本特有のメールの悪慣習。 セキュリティ上も意味がないと言われているし、管理を煩雑にしている。 行政はPPAPをやめるとともに、PPAPメールは受け取らないとしたらどうか。 ※デジタル改革アイデアボックスPPAP(暗号化zipの添付廃止)から引用   廃止の理由として、下記を挙げています。 zipファイルのパスワードの扱いは、セキュリティレベルを担保するための暗号化ではない 押印廃止と同様に「今までやってきたからみんなやって」ことにすぎない。 スマホでメール内容を確認できないのも致命的 廃止の会見時に「パスワード付きzipファイルに代わる新しい手段については、デジタル改革アイデアボックスで募集したい」とも話をされていました。   それ以外にも下記のような懸念事項が考えられます。 誤送信の対策として意味がない　※最近はパスワードが自動送付されるツールも多く意味をなさない セキュリティの対策として意味がない　※パスワード自体は10桁程度であればフリーソフトによる総当りで開いてしまうため クライアントへマルウェア付きの添付ファイルを送ってしまった場合、暗号化されるためスキャンができず素通りしてしまう　※最近流行っているemotetで悪用されており、後続のicedIDでも添付ファイル暗号化が確認されている   ではこれらについて解説を加えて行きたいと思います。   情報セキュリティ上、意味のない作業 添付ファイルを暗号化すること自体は情報セキュリティ上有効なものではあります。 1つ付け加えると暗号化を解除するパスワードはメール以外の方法で相手に渡すことが出来てようやく担保されることです。   ですが、「同じメールで続けてパスワードを送る」ことは、「メールは盗聴される可能性があるので危ない」ので、実は何の意味もないこと作業になっているのです。 企業における情報セキュリティ・個人情報保護の意識の向上により、メール暗号化の一種であるS/MIMEの方式などはなかなか手間もかかり大変なものでもありました。   そんななか、多くの企業で採用されたのが、「誤送信対策上有効である」と推奨されてきた「パスワード付きZIPファイル」になります。 これはプライバシーマークの審査機関でも推奨されるリスク対応策として認知され、プライバシーマークを取得している企業の多くで実施され、実施されていない場合は指摘されたりもしていました。   JIPDECの突然の発表 プライバシーマークの認証機関でもある一般財団法人日本情報経済社会推進協会（JIPDEC）が「パスワード付きファイルのメール送信は以前から推奨していない」と突然見解を公表しました。     ※一般財団法人日本情報経済社会推進協会（JIPDEC）からの公表文引用 これは画期的な発表でもありますが、多くの審査においては「パスワード付きZIPファイル」を行うことを審査で指導していた実情もありますし、推奨していないにしても行っているプライバシーマーク取得企業に対して、「推奨していない」旨をこれまで一度も話をしていなかったことは、少し無責任だと考えます。     ※情報サービス産業協会審査基準から引用   実際に一部のプライバシーマーク審査機関では上記の23条に記載の通りで、「個人情報を含む添付ファイルにはパスワードの設定などの措置を講じること」と審査の基準にも記載されています。 JIPDECにはプライバシーマークの認証機関として正しい指導をしてもらいたいところです。   添付ファイルのセキュリティチェックのすり抜け 最近、EMOTETやIcedIDと言ったマルウェア(ウイルス)が世間を賑わせ、猛威を奮っています。 これらのマルウェアは添付ファイルに身を潜め、受信者に添付ファイルを開かせることで感染するのですが、「パスワード付きZIPファイル」で送られてくることも多いのです。   パスワード付きZIPファイルはパスワードがないと開くことが出来ないのは当然のことです。 そのため、ウイルス対策ソフト等によるチェックが効かずマルウェアが仕込まれた添付ファイルを受信していしまうリスクが高まってきます。   欧米などでは「パスワード付きZIPファイル」をブロックしている状況も増えてきています。 日本でもfreeeがパスワード付きファイルのメールを受信拒否を公表しています。 ※freee株式会社によるプレスリリースから引用 業務効率の低下 「パスワード付きZIPファイル」は送信者・受信者ともに作業への負担をかなり多くします。 1か月手作業でパスワード設定やメールを送信する行為をすることで5時間～6時間時間を使ってしまう。という見解もあります。   また、スマートフォンでは「パスワード付きZIPファイル」を開くことにも一苦労するため、現代の仕事の仕方には合っていない可能性も高いと言えます。     これからの電子ファイルの送付方法 では、今後はどのように電子ファイルを送付することになるのでしょうか。 下記のような方法が考えられます。 メール以外の手段でパスワードを伝える 従来通り。パスワードロックはしつつもパスワードは別手段で送付する。これは従来通りの手段である意味一番安全かもしれません。 ショートメッセージ、電話、チャットツールなど、メールとは別の手段でパスワードを伝える形です。 事前に示し合わせていれば、都度変える必要もないかと思います。 ですが、上述した「パスワード付きZIPファイル」を受信拒否する企業に対しては無意味なものです。   別のコミュニケーションツールの利用 最近はチャットワークやslackと言ったチャットツールがメールに代わるコミュニケーションツールとして利用されています。 こういったものでファイルを送付することに完全切り替えることも1つです。 ツール内は暗号化もされており、安全でもあると言えます。   オンラインストレージの利用 box、GoogleDriveと言ったオンラインストレージを使い、ファイルのリンクを送ることも1つの手段になります。 この方法でもやり方はいろいろとあります。 共有ストレージの作成 送り先とファイルを共有するフォルダを作っておき、送付を目的とするファイルのリンクを送る形です。 この方法ですと万が一メールを誤送信してしまったとしても、共有フォルダにアクセスする権限がなければファイルを開くことも出来ないので安心です。 ファイル送付用サービスの作成 もう1つはファイル送付に特化したサービスの利用です。 以前からファイル容量の多いものを送る時に使われていたものを常時利用に転用する形です。   そのまま添付して送る 極論かもしれませんがZIPも何もせずそのまま送る形です。 EMOTETやIcedIDといったマルウェアが流行している現状ですとウイルス対策ソフトなどで検査が行われる添付ファイルの方が安全ある可能性が高いという考えです。 「パスワード付きZIPファイル」を受け取り拒否する会社が増えつつある状況ですと、さほど機密性が高くないファイルはそのまま送ることも安全かつ確実かもしれません。   まとめ 意味があるのか。と悩みながらやってきた「パスワード付きZIPファイル」ですが、今回のデジタル化の流れの中で身近なところが大きく変わった。と思われる方も多いのではないかと思います。 ですが、これまで長年やってきたことにもなるので、いきなり廃止となると戸惑い、不安も多いのではないかと思います。 自分の会社ではどうすべきなのか。など悩まれる方はぜひご相談ください。   関連記事：PPAP形式とは何か