INFORMATION

eyecatch_itsecurity.jpg
Tomoyuki HAYASHIDA
19/8月/2017

EU GDPR(一般データ保護規則;Global Data Protection Regulation)を理解するにあたって、現在の情報セキュリティにおける ISMS(ISO/IEC 27001)との差分を知ることが、早いアプローチかもしれません。

ISMS を規格として統制している英国規格協会(BSI)によると、以下の差分を示しています。

  1. 法令変更の認識:個人情報を扱う情報セキュリティに対して責任を負う CIO や CISO ならびに関係者 が、GDPR への理解と共に、必要な教育を受けていることが求められます。
  2. データ保護責任者(DPO)の任命:CIO や CISO は、従来個人情報保護に対する責任を担っていたかもしれませんが、GDPR では、DPO(データ保護責任者)として任命されていることが求められています。
  3. 内部監査:内部監査では、個人情報について、その出所や共有関係などを精査し、評価することが必要となります。
  4. 手順の見直し:個人情報が正確で、収集された目的で使用され、必要以上に長く保管されないようにする方法や要求された場合に個人データを提供または削除する方法の手順を明確にします。
  5. インシデント管理:個人情報の漏えい等のインシデントが発生した際、GDPR で示された時間的制限内で対応出来るよう管理内容および手順等を見直します。
  6. 個人情報管理としての他のマネジメントシステムの確認:BS 10012 ISO/IEC 27018 などは、個人情報マネジメントシステムにおいて、追加のガイダンスとして利用価値がありそうです。

 

 


t_service_021.jpg
Tomoyuki HAYASHIDA
19/8月/2017

2018 年 5 月からスタートする EU の GDPR(一般データ保護規則、General Data Protection Regulation)は、今後の日本の個人情報保護法にも少なからず影響を与えそうです。

違反には、12 億円程度の制裁金が科せられたり、情報漏えい後 72 時間以内に管理局に報告義務があるなど、現在の日本の個人情報保護法やマイナンバー法にも無い厳しい保護規則になっています。

そもそも日本の個人情報保護法と、EU GDPR では個人情報の定義が異なっており、さらにはビッグデータ処理を前提とした匿名化の同意取得運用も違います。

日本の個人情報保護法では同意不要としている、ビッグデータ処理の匿名化データ取り扱いに、今後の運用として迷いが出る処です。

アメリカや日本、イギリスは、EU GDPR に従うのか…
EU の企業は、この厳しい規制に対応出来るのか…
ISMS(ISO27001)は、EU GDPR を意識して改訂されるのか…

一年を切った今、世界の動向が気になります!


scope.jpg
Tomoyuki HAYASHIDA
19/8月/2017

先日のマイナンバー監査セミナーで、受講者の方から、以下のような質問がありました。

質問者:「ウチの会社では、雇用保険関係書類にマイナンバーを記載しないで提出していますが、先生のお話だと、マイナンバー記載は必須と仰られていましたが、いつからですか?…」

小生:「えっ、いや、スタート当初から必須だと考えていますが…」

質問者:「ウチで支援をお願いしている社労士さんは、不要だと仰っていて…」

小生:「うぅ~ん、それは、税務でも同様ですが、義務ではあっても、マイナンバー提供を拒否される従業員の場合には、何度かの督促と拒否の履歴を残し、それを提出種類に添えて出すことで、受理はされるので、同様に、何かの事由を持って提出されたのではないですか?」

質問者:「そのようなことは無かったかと…」

この後に、知り合いの社労士に問い合わせた処、確かに雇用保険法でもうたっており、厚労省から、雇用保険の届け出において義務有という広報書類もあるので、社労士が知らない筈はないとのことでした。

ただ実態は、必要書類の届け出でマイナンバーを記載しているのは、たった 5 % 程度だとか。

ということは、ほとんどの企業で、税務では記載し、雇用保険では記載しないというダブルスタンダードで運用されているということか、担当役所がマイナンバー運用に関して、スルーしているということなのか…

確かに年金事務所のパスワード問題で、年金保険の運用は、今年 1 月から運用が開始されましたが、雇用保険の運用は、スタート当初から義務化の筈だったのが、今は税務にしか、企業のマイナンバー運用がなされていないということが分かった事案でした。


analysis.jpg
Tomoyuki HAYASHIDA
19/8月/2017

以前、設立した一般社団法人のご支援で、事務局理事の方のパソコンのキッティングをお手伝いしたことがありました。

IT リテラシの高い方ではなかったので、Windows 設定、Office 設定、メール設定、セキュリティ設定、ブラウザ設定、必要なソフトのダウンロードなど、自分の PC 設定ではない分、非常に気を使いましたが、法人としての PC 操作において、自宅での PC 作業とのことでしたので、IC カードによる複数要素認証システム(ローレルインテリジェントシステム社)も導入頂きました。

このような自宅で作業をされる方々、つまり個人事業主の方々は、一般企業と異なり、会社が守ってくれるわけでない分、実は、パソコン自体に導入しなければならないセキュリティシステムや運用がいくつかあります。

【個人事業主に必須なパソコン環境と運用】
1. PC 本体が、落下衝撃に強いこと
2. IC カードや顔認証などの複数要素認証システムを導入すること
3. アクセスログを保存しておくこと
4. 暗号化システムを導入すること
5. ファイルの完全削除システムを導入すること
6. Windows Update は、毎日確認し、実施すること
7. イメージバックアップは、一ヶ月に一度は実施すること
8. 差分バックアップは、毎日実施すること
9. 完全ウイルススキャンは、二週間に一度は実施すること
10. 簡易ウイルススキャンは、毎日実施すること

特に大企業に勤めていた人がリタイヤしても個人事業主として仕事をするケースでは、今まで会社に全て面倒を見てもらっていたので、上記のような事が会社がやってくれていたなんて思いもよらない方が多いようです。

一般企業のセキュリティレベルでないと、大事なお客様の個人情報は、守れません。上記 10 項目は、最低限実施して下さいね!


t_service_021.jpg
Tomoyuki HAYASHIDA
19/8月/2017


t_service_04.jpg
Tomoyuki HAYASHIDA
19/8月/2017

実施日 セミナー表題 開催場所
2016.12.16 「マイナンバー対応監査(安全管理・利用等)の進め方と留意点」 東京(日本経営協会東京本部)
2016.11.16 「大災害から学ぶ BCP への新たな視点と対応策」 東京(日本経営協会東京本部)
2016.11.11 「ケーススタディから学ぶ!情報セキュリティへの具体的対応策と情報リスクマネジメント」 名古屋(日本経営協会中部本部)
2016.9.16 「BCP (事業継続計画)対策の実務と見直しのポイント」 名古屋(日本経営協会中部本部)
2016.9.14 「知っておきたい!IT-BCP(情報システムにおける事業継続計画)構築の基礎と運用実務」 東京(日本経営協会東京本部)
2016.9.6 「IT・情報システム担当者のための基本実務と課題対応」 名古屋(日本経営協会中部本部)
2016.8.24 「BCP (事業継続計画)策定の基本と実践」 仙台(仙台市役所様)

t_service_04.jpg
Tomoyuki HAYASHIDA
19/8月/2017

実施日 セミナー表題 開催場所
2016.7.15 「BCP (事業継続計画)対策の実務と見直しのポイント」 大阪(日本経営協会関西本部)
2016.7.12 「マイナンバー対応監査(安全管理・利用等)の進め方と留意点」 名古屋(日本経営協会中部本部)
2016.7.8 「ケーススタディから学ぶ!情報セキュリティへの具体的対応策と情報リスクマネジメント」 名古屋(日本経営協会中部本部)
2016.6.8 「BCP 監査の視点と具体的手法 」 東京(日本経営協会東京本部)
2016.5.25 「大災害から学ぶ BCP への新たな視点と対応策 」 東京(日本経営協会東京本部)
2016.3.1 「新型インフルエンザ等に関する BCP 構築」 東京(東京都中央区役所様)
2016.2.23 「知っておきたい!IT-BCP(情報システムにおける事業継続計画)構築の基礎と運用実務」 東京(日本経営協会東京本部)

SERVICE

icon-angle-right 危機管理・BCP
icon-angle-right 情報セキュリティ
icon-angle-right ヘルスケアIT
icon-angle-right 内部監査支援

ABOUT US

icon-angle-right 代表挨拶
icon-angle-right 会社データ
icon-angle-right お問い合わせ
icon-angle-right ニュース&イベント
icon-angle-right ブログ

POLICY

icon-angle-right本WEBサイトご利用にあたって
icon-angle-right 商標
icon-angle-right 個人情報保護と情報セキュリティー
icon-angle-right CSR・ESG

PRINCIPLE CONSULTING GROUP

プリンシプル・コンサルティング
プリンシプルBCP研究所
プリンシプルHRコンサルティング
プリンシプル住まい総研
プリンシプル情報構造化研究所
プリンシプルアセスメント研究所
プリンシプル見える化研究所
プリンシプル・エグゼクティブ・コーチング

COPYRIGHT © 2012-2017, Principle BCP Institute, ALL RIGHTS RESERVED