INFORMATION

eyecatch_itsecurity.jpg
Tomoyuki HAYASHIDA
22/10月/2018

EU の GDPR が施行されて一か月が過ぎた今、私のクライアントの企業から、様々な間接的影響と思われるご相談を頂きます。

例えば、

〇 米国系企業が、個人情報保護に関するシステムや体制について、非常に細かい確認書を送り付けてきた…
〇 医療製品販売会社から、個人情報保護を最低限実現するセキュリティシステムについて相談があった…
〇 製造業の企業から、ステークホルダーに説明可能な情報セキュリティに対する対応文書をどう作れば良いかについて相談があった…

これらは欧州の GDPR とは一見関係が無いように見えますが、風が吹いて桶屋が儲かる的に言えば、

① EU GDPR は、グローバル企業、特に米国のグローバル IT 企業(Google/FB/Microsoft/Amazon等)に影響を与えた
② 彼らはすぐさま GDPR 準拠のポリシー、仕組み、体制、システムを構築する…
③ 彼らの個人情報データ交換に関し、GDPR 準拠を取引先に求める
④ 取引先も GDPR 準拠のポリシー、仕組み、体制、システムを構築する…
⑤ 日本企業にも、今後どんどん影響が広がる…

つまり、遅かれ早かれ、GDPR は、個人情報保護ばかりでなく、情報セキュリティに関して、世界標準になり、実質的に、その取り組みが無い企業とは、取引が許されなくなるということを暗示しています。

今まで、日本の医療データ(個人情報)保護に関しては、三省四ガイドラインを基に、各病院や医療情報を扱う企業などが、仕組みやシステムを構築するよう国から要請があったのにも関わらず、多くの医療現場では、まだ導入している処が少ないという現状もあります。

この三省四ガイドラインのベースである ISO27001 に準拠するということのハードルも少なからず困難さがあったわけですが、罰則規定が無いことでスルーしてきた病院、医療機関も、そろそろ真剣に大きな投資を前提にした情報管理の在り方に舵を切る必要に迫られています。

決して、対岸(欧州)の火事じゃないということですね。


eyecatch_itsecurity.jpg
Tomoyuki HAYASHIDA
22/10月/2018

5 月 25 日、EU の GDPR(General Data Protection Regulation)がスタートしました。

日本でも、マルチナショナルなビジネス展開をしている企業は、その対応が必須なのですが、日本で関係するだろう企業の 10 % 程度しか対応が完了していないという報道もあります。

アメリカでもいくつかの企業で対応が遅れているために、EU では、当該サイトを閲覧できないなど、影響が顕著に表れています。

多くのセキュリティ関連のサプライヤ企業が、GDPR に関する対応セミナーを開いていますが、企業の対応は遅々と進まない状況かもしれません。

そもそも日本の企業の多くは、GDPR が EU 域内の企業を対象としたものと勘違いしている処も少なからずあり、(個人)情報の取り扱いに対して、リスク対応すらしていない大企業もあります。

当初アメリカの企業も GDPR の推移に懐疑的であったのが、今では、GDPR 対応をアピールするほどになり、個人情報取扱いに対して世界のデファクトスタンダードになるものと思われます。

日本の個人情報保護法にも少なからず影響を与えるのは必至であり、今後時を待たず、改訂されるのでないかと思われます。

対応のポイントは、

  1. 個人情報を含むデータの棚卸とデータ種に対応した取り扱い(認証など)
  2. 情報の流れに関するログ収集と解析手法の確立
  3. インシデント発生時の追跡手法の確立と専門組織化(CSIRT)

は最低限ですが、これは何も GDPR に対応するだけではなく、現在の日本国内のサイバーセキュリティでも、本来原則的に求められるものです。

ただ、3.項は、技術的にも運用負荷的にも企業に大きな負担を強いて、多くの企業が二の足を踏んでいる部分でもあります。72 時間以内という制限に叶うシステム対応は、大きな出費が前提となります。ここをサボって摘発されて、2000 万ユーロ(25.6 億円)を払うのかですが…


eyecatch-1200x786.jpg
Tomoyuki HAYASHIDA
22/10月/2018

  • 6/6(水):BCP 監査セミナー in 東京
  • 7/13 (金):AI セミナー in 東京
  • 7/17(火):マイナンバー監査セミナー in 東京
  • 7/27(金):BCP セミナー in 東京
  • 9/19(水):医療機関セキュリティセミナー in 名古屋
  • 9/20(木): BCP セミナー in 名古屋

詳しい内容については、お問い合わせください


hayashida.png
Tomoyuki HAYASHIDA
22/10月/2018

新年、明けましておめでとうございます!

今年も何卒宜しくお願い致します。

昨年中は、多くの皆さまにお世話になり、いろいろな知見を頂けた年でした。

今年は、それらの知見を、皆さまにフィードバックさせて頂くことが使命かと考え、日々精進致します!

さらに今年の抱負と致しましては、より AI に注視して、いくつかのプロジェクトに携わりたいと考えております。

既に複数の AI プロジェクトに関わっておりますが、健康や医療、BCP やセキュリティ、コンプライアンス等にも、AI の利用を展開出来るよう積極的に提案やシステム構築を行う所存です。

末筆ながら、皆様の新しい一年が、より良きものとなりますよう、お祈りいたしております。


analysis.jpg
Tomoyuki HAYASHIDA
22/10月/2018

働き方改革」という言葉が様々な業界で叫ばれていますが、IT 業界でも、ベンダーの展示会に行くと「○○○の IT 技術を活用した働き方改革を!」というフレーズを、少し前からあるような技術テーマにさえ使われることを目にします。

個人的な考えですが、世の中のほとんどの業種において、確かに IT を利活用することに長けた企業は、既に今言っているような働き方改革は出来ていて、そうでない企業は、今後、IT を更に活用することで、今までと違う働き方を実践出来る筈なのですが、この部分の障壁として、その企業の IT リテラシが大きく立ちはだかっているように思えます。

ある研究会で、有名大企業がある部門の働き方改革の実践例を講演されている内容を伺って、この部門に対する IT リテラシは高いなと感じたことがありました。ただ私がここで言う「IT リテラシ」とは、従業員の個々の総合力の事では無く、どちらかと言えば、CIO や CTO のような経営陣と管理職・従業員の総合力として定義しています。

その意味で、日本の IT ベンダ(外資系を除く)では、大企業でさえ、ほとんど彼らの IT リテラシは高いとは言えません。従業員のリテラシの差も大きく、CIO/CTO は更にレベルが低いのが現状です。

ここで気を付けたいのは、IT の利便性を上げると、情報セキュリティのリスクも高くなるため、そこのバランスを取りつつ、新しい IT 技術を導入し運用することは、プロジェクト全体のシステム構成のセンス、巨額のコスト、従業員のスキル、役員・管理職の IT 業務理解を含めた、企業全体に大きな影響があるため、大 IT ベンダでさえ躊躇してしまうのも理解は出来ます。

しかも、このような絵を描けるセンスのある CIO/CTO は、もう日本には人材が居なくなってしまっているようにも思えます…

私が昔働いていた某外資系企業のアメリカのオフィスでは、金曜日の午後 3 時には、既に管理職も含めて、従業員は、誰も居なくなっていたことを思い出します。もちろんアメリカにはプレミアムフライデーという考え方は無いわけですが!?

 


eyecatch_itsecurity.jpg
Tomoyuki HAYASHIDA
22/10月/2018

EU GDPR(一般データ保護規則;Global Data Protection Regulation)を理解するにあたって、現在の情報セキュリティにおける ISMS(ISO/IEC 27001)との差分を知ることが、早いアプローチかもしれません。

ISMS を規格として統制している英国規格協会(BSI)によると、以下の差分を示しています。

  1. 法令変更の認識:個人情報を扱う情報セキュリティに対して責任を負う CIO や CISO ならびに関係者 が、GDPR への理解と共に、必要な教育を受けていることが求められます。
  2. データ保護責任者(DPO)の任命:CIO や CISO は、従来個人情報保護に対する責任を担っていたかもしれませんが、GDPR では、DPO(データ保護責任者)として任命されていることが求められています。
  3. 内部監査:内部監査では、個人情報について、その出所や共有関係などを精査し、評価することが必要となります。
  4. 手順の見直し:個人情報が正確で、収集された目的で使用され、必要以上に長く保管されないようにする方法や要求された場合に個人データを提供または削除する方法の手順を明確にします。
  5. インシデント管理:個人情報の漏えい等のインシデントが発生した際、GDPR で示された時間的制限内で対応出来るよう管理内容および手順等を見直します。
  6. 個人情報管理としての他のマネジメントシステムの確認:BS 10012 ISO/IEC 27018 などは、個人情報マネジメントシステムにおいて、追加のガイダンスとして利用価値がありそうです。

 

 


t_service_021.jpg
Tomoyuki HAYASHIDA
22/10月/2018

2018 年 5 月からスタートする EU の GDPR(一般データ保護規則、General Data Protection Regulation)は、今後の日本の個人情報保護法にも少なからず影響を与えそうです。

違反には、12 億円程度の制裁金が科せられたり、情報漏えい後 72 時間以内に管理局に報告義務があるなど、現在の日本の個人情報保護法やマイナンバー法にも無い厳しい保護規則になっています。

そもそも日本の個人情報保護法と、EU GDPR では個人情報の定義が異なっており、さらにはビッグデータ処理を前提とした匿名化の同意取得運用も違います。

日本の個人情報保護法では同意不要としている、ビッグデータ処理の匿名化データ取り扱いに、今後の運用として迷いが出る処です。

アメリカや日本、イギリスは、EU GDPR に従うのか…
EU の企業は、この厳しい規制に対応出来るのか…
ISMS(ISO27001)は、EU GDPR を意識して改訂されるのか…

一年を切った今、世界の動向が気になります!


scope.jpg
Tomoyuki HAYASHIDA
22/10月/2018

先日のマイナンバー監査セミナーで、受講者の方から、以下のような質問がありました。

質問者:「ウチの会社では、雇用保険関係書類にマイナンバーを記載しないで提出していますが、先生のお話だと、マイナンバー記載は必須と仰られていましたが、いつからですか?…」

小生:「えっ、いや、スタート当初から必須だと考えていますが…」

質問者:「ウチで支援をお願いしている社労士さんは、不要だと仰っていて…」

小生:「うぅ~ん、それは、税務でも同様ですが、義務ではあっても、マイナンバー提供を拒否される従業員の場合には、何度かの督促と拒否の履歴を残し、それを提出種類に添えて出すことで、受理はされるので、同様に、何かの事由を持って提出されたのではないですか?」

質問者:「そのようなことは無かったかと…」

この後に、知り合いの社労士に問い合わせた処、確かに雇用保険法でもうたっており、厚労省から、雇用保険の届け出において義務有という広報書類もあるので、社労士が知らない筈はないとのことでした。

ただ実態は、必要書類の届け出でマイナンバーを記載しているのは、たった 5 % 程度だとか。

ということは、ほとんどの企業で、税務では記載し、雇用保険では記載しないというダブルスタンダードで運用されているということか、担当役所がマイナンバー運用に関して、スルーしているということなのか…

確かに年金事務所のパスワード問題で、年金保険の運用は、今年 1 月から運用が開始されましたが、雇用保険の運用は、スタート当初から義務化の筈だったのが、今は税務にしか、企業のマイナンバー運用がなされていないということが分かった事案でした。


analysis.jpg
Tomoyuki HAYASHIDA
22/10月/2018

以前、設立した一般社団法人のご支援で、事務局理事の方のパソコンのキッティングをお手伝いしたことがありました。

IT リテラシの高い方ではなかったので、Windows 設定、Office 設定、メール設定、セキュリティ設定、ブラウザ設定、必要なソフトのダウンロードなど、自分の PC 設定ではない分、非常に気を使いましたが、法人としての PC 操作において、自宅での PC 作業とのことでしたので、IC カードによる複数要素認証システム(ローレルインテリジェントシステム社)も導入頂きました。

このような自宅で作業をされる方々、つまり個人事業主の方々は、一般企業と異なり、会社が守ってくれるわけでない分、実は、パソコン自体に導入しなければならないセキュリティシステムや運用がいくつかあります。

【個人事業主に必須なパソコン環境と運用】
1. PC 本体が、落下衝撃に強いこと
2. IC カードや顔認証などの複数要素認証システムを導入すること
3. アクセスログを保存しておくこと
4. 暗号化システムを導入すること
5. ファイルの完全削除システムを導入すること
6. Windows Update は、毎日確認し、実施すること
7. イメージバックアップは、一ヶ月に一度は実施すること
8. 差分バックアップは、毎日実施すること
9. 完全ウイルススキャンは、二週間に一度は実施すること
10. 簡易ウイルススキャンは、毎日実施すること

特に大企業に勤めていた人がリタイヤしても個人事業主として仕事をするケースでは、今まで会社に全て面倒を見てもらっていたので、上記のような事が会社がやってくれていたなんて思いもよらない方が多いようです。

一般企業のセキュリティレベルでないと、大事なお客様の個人情報は、守れません。上記 10 項目は、最低限実施して下さいね!


t_service_021.jpg
Tomoyuki HAYASHIDA
22/10月/2018


SERVICE

icon-angle-right 危機管理・BCP
icon-angle-right 情報セキュリティ
icon-angle-right ヘルスケアIT
icon-angle-right 内部監査支援

ABOUT US

icon-angle-right 代表挨拶
icon-angle-right 会社データ
icon-angle-right お問い合わせ
icon-angle-right ニュース&イベント
icon-angle-right ブログ

POLICY

icon-angle-right本WEBサイトご利用にあたって
icon-angle-right 商標
icon-angle-right 個人情報保護と情報セキュリティー
icon-angle-right CSR・ESG

PRINCIPLE CONSULTING GROUP

プリンシプル・コンサルティング
プリンシプルBCP研究所
プリンシプルHRコンサルティング
プリンシプル住まい総研
プリンシプル情報構造化研究所
プリンシプルアセスメント研究所
プリンシプル見える化研究所
プリンシプル・エグゼクティブ・コーチング

COPYRIGHT © 2012-2017, Principle BCP Institute, ALL RIGHTS RESERVED