Pマーク(プライバシーマーク)|JISQ15001:2017の改正、どうすればいいの?

ISO総合研究所の崎山です。

みなさん、ご存知の方もいらっしゃるかもしれませんが、2017年12月20日に一般財団法人日本規格協会よりPマーク(プライバシーマーク)の要求事項である【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売が開始されました。

ただ、気になっているご担当者様も【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について、何がどうなっていて、今後どうすればいいのかわからない。そういったご担当者様も少なからずいると思います。
そこで今回も、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について一緒に見ていきたいと思います。

まずは【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】の改訂によって、何がかわったのかを一緒に見ていきましょう。

改正点

主な改正点は次のとおりである。

3.1 規格票の構成の変更
今回の改正では,マネジメントシステムに関する要求事項を記載した本文と,管理策を記載した附属書
A(規定)とに分離した。さらに,附属書A の理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考),並びにこの規格と旧規格との対応を示した附属書D の構成に変更した。

3.2 個人情報保護法の改正に伴い追加された要求事項
個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
a) “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
b) 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。
c) “開示対象個人情報”を“保有個人データ”に変更した。
d) 外国にある第三者への提供の制限を追加した。
e) 第三者提供に係る記録の作成などを追加した。
f) 第三者提供を受ける際の確認などを追加した。
g) 匿名加工情報を追加した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

これをみると「変更点」と「追加事項」があるのがわかります。

変更点

まず「変更点」としては、旧規格では、規格の構成として、要求事項が書かれている本文のみでした。

ただ、今回は大きく3つ「要求事項を記載した本文」「管理策を記載した付属書A(規定)」「この規格と旧規格との対応を示した付属書D」とに分離しているようです。

その他、付属書Aの参考情報として「付属書B(参考)」「付属書C(参考)」があります。

追加事項

次に7点の「追加事項」があります。

①『“特定の機微な個人情報”を,“要配慮個人情報”に変更した。』

例えば、今まで「健康診断書」が“特定の機微な個人情報”にあたるものだったのですが、“特定の機微な個人情報”の取扱いには同意書を取る必要がありました。
おそらくそういった同意書の文言を“要配慮個人情報”に変更する必要があるかもしれません。

②『旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。』

こちらは例えば、今まで旧規格では「3.4.2.8提供に関する措置」となっていた項番が「A 3.4.2.8 個人データの提供に関する措置」と個人データという文言が一部追記されているようです。

③『“開示対象個人情報”を“保有個人データ”に変更した。』

例えば、こちらも旧規格では、

「3.4.4.3 開示対象個人情報に関する事項の周知など」
「3.4.4.4 開示対象個人情報の利用目的の通知」
「3.4.4.5 開示対象個人情報の開示」
「3.4.4.6 開示対象個人情報の訂正、追加または削除」
「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

となっていたものが、以下のように“保有個人データ”という文言が変更になっております。

「A.3.4.4.3 保有個人データに関する事項の周知など」
「A.3.4.4.4 保有個人データの利用目的の通知」
「A.3.4.4.5 保有個人データの開示」
「A.3.4.4.6 保有個人データの訂正,追加又は削除」
「A.3.4.4.7 保有個人データの利用又は提供の拒否権」

④『外国にある第三者への提供の制限を追加した。』

上記について、旧規格にはなかったものですが、新規格にて管理策として追加されております。
追加項番として以下になります。

「A.3.4.2.8.1 外国にある第三者への提供の制限」
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。

上記を見る限りでは例えば、派遣会社が外国にある派遣先の会社に派遣社員名簿等を提供する場合は、あらかじめ派遣社員より、同意書をもらったりしなければいけないようです。

④『第三者提供に係る記録の作成などを追加した。』

こちらは例えば、4点目でお話しました派遣会社が外国にある派遣先の会社に派遣社員名簿を提供した際に、提供したことを記録に残して保管しておくことが必要になったようです。

⑥『第三者提供を受ける際の確認などを追加した。』

こちらも4点目でお話した例をあげると、外国にある派遣先の会社が派遣会社から派遣社員名簿を提供してもらう際、派遣会社は派遣先の会社が派遣社員名簿を提供してもらったことを確認するための記録を作成し、保管しておかなければいけないようです。

⑦『匿名加工情報を追加した。』

こちらは下記項番が今回の新規格で追加されています。

「A.3.4.2.9 匿名加工情報*」
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。

上記については例えば、通販等に関わる企業で個人情報に氏名、電話番号などにマスキングを施した情報を取り扱っている情報が匿名加工情報に当たると考えられます。

以上、簡単にではございましたが概要に変更点、追加点についてご案内いたしました。

最後に

これを読まれて、「正直、規格改訂するの大変だし、任せたい!!」とか「とりあえずすぐに相談に乗ってほしい!!」というPマークを運用中、あるいはこれから取得を検討中の企業様は一度当社ISO総合研究所にお問い合わせください!

皆様のご連絡を心よりお待ちしております!

Pマーク(プライバシーマーク)|JISQ15001:2017の改正の目的とは?

こんにちは!ISO総合研究所の崎山です。
いつもご愛読いただきありがとうございます。

2017年12月20日に一般財団法人日本規格協会より、Pマーク(プライバシーマーク)の要求事項である【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売されました!

今回、お話するのは今Pマーク(プライバシーマーク)をすでに運用している企業様の中には、気になっているご担当者様もいるであろう【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について少し触れたいと思います。

わたしもさっそく【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】を購入し、読んでみました!!
すると目に留まったのが、要求事項が書かれた後の≪解説≫ページでした。

そこには

1 今回の改正までの経緯
2 今回の改正の趣旨

の記載がありました。
まだ購入されていない方も多いと思いますので、その部分を一部抜粋し、ご案内いたします。

引用:1 今回の改正までの経緯

この規格は,JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)として平成11年に初版が制定された。

その後,情報技術の発展に伴い,個人情報の保護の必要性が一層高まるとともに,“個人情報の保護に関する法律”(平成15年5月30日法律第57号。以下,個人情報保護法という。)が平成15年に制定され,平成17年4月からの全面施行を迎え,規格を取り巻く環境は大きく変化した。

このような状況の変化を踏まえ,平成18年に,個人情報保護法に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格に改正し,JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)(以下,旧規格という。)とした。

さらに,平成23年には,この規格の要求事項の解釈に関し,個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。

今回,経済産業省は,JIS Q 15001 改正原案作成委員会を組織し,JIS 原案を作成した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

解説:1 今回の改正までの経緯

ここで記載されている中で注目するべき点としては、

「個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。」

上記の部分が今回の改正に至った経緯ではないでしょうか。

要は、改正個人情報保護法に伴って、JISQ15001:2017も変化してきているということかと考えられます。

さらにその部分に触れているのが、下記の抜粋部分になるかと思われます。

引用:2 今回の改正の趣旨

今回の改正は,この規格のマネジメントシステム規格としての位置づけを明確化するとともに,平成29年5月30日に全面施行された改正個人情報保護法に対応する管理策を追加した。

また,旧規格で充実させた解説の内容の中で規格に取り入れる方が適切である内容を精査し,附属書(参考)とした。 なお,改正に当たっては,この規格が民間部門の個人情報保護の促進及び消費者保護に重要な役割を果たしていることから,要求事項の基本的な考え方を変更せず,旧規格に基づいて構築された個人情報保護マネジメントシステムがこの規格の改正によって不適合を生じないことに配慮した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

解説:2 今回の改正の趣旨

今回のJISQ15001:2017改正の趣旨が明確に記載されています。

基本的な考え方は変更せずと書いている通り、やはり改正個人情報保護法に対応するべくJISQ15001:2017の内容も一部修正されていると考えていいでしょう。

最後に

今回は【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が2017年12月20日に発売されたということで、まずは改正された内容ではなく、要求事項が改正された意図に注目して書いてまいりました。

まだ要求事項が発売されたのみで、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】のガイドラインは出ておりません。
次回以降では主な改正点等の内容にも触れていこうと考えておりますので、気になる方は次回以降もご期待くださいませ。

「来年2018年にPマークの審査が控えてるんだけどどうすればいいの?」
「いつまでに規格改訂したらいいの?」
「今からPマークを取得するけど、旧規格、新規格どっちなの?」
「すぐに相談に乗ってほしい!!!!!!!!」

というPマークを運用中、あるいはこれから取得を検討中の企業様は<一度当社ISO総合研究所にお問い合わせください!!!! 皆様のご連絡を心よりお待ちしております!!!

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

こんにちは!
もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。
ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!
都会にもホタルっているんですね!感激!!!!!

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。
世知辛い世の中です。

話が脱線してしまいましたね。
こんにちは。こんばんは。ISO総合研究所コンサルタントの野村です。

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。
いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

委託先について

まず初めに。

「委託先ってなーーーにーーーー????」

ここから始めましょう。「委託先」でググってみました。

委託先とは、業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)らしいです。

税理士さんや労務士さんがあてはまりますね。そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。
なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

委託先の監督

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。
委託先の監督は、大きく分けて2つです。実は簡単なんです

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

①個人情報をちゃんと取り扱っているか

まずは①の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

物理的安全管理措置
人的安全管理措置
組織的安全管理措置
技術的安全管理措置

漢字がいっぱいですね。難しそうですね。読む気が失せますね。
これをもう少しわかりやすく解説していきます。

物理的安全管理措置

これは物理的に個人情報を守っているかです
具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。
そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

人的安全管理措置

これは人ですね。人。
つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。
説明がかなり雑ですが、まあ、なんか、そんな感じです。

組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。
思いませんか?私が最近コナンの映画を見たからかもしれませんね。

今年のコナンの映画は素敵でした。
すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。
ちなみに私は安室さんがタイプです。たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

話がそれました。
組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。
なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

技術的安全管理措置

これはなんとなくわかる気がしますね。
技術的。
たとえばアクセスログをとっているか、ウイルス対策は実施されているか、IDやPASSをつけているか等です。

途中脱線しかけましたがこれが「個人情報をちゃんととりあつかっているか」の四項目でした!!!!

②契約書は締結しているか

次に「契約書は締結しているか」
これはJISの規格で7つの項目を記載することが義務付けられています。

JISの規格通り書くと難しいです。きっとみなさんも読む気が失せると思います。
なので噛み砕いてお伝えしますね。

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????
b)もらった個人情報を安全に管理します宣言!
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
d)業務報告してくれるか(あんま気にしなくていいやつ)
e)この契約を守ります宣言!
f)破っちゃったらどうする?そんなときの対応を記載しているか
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。
再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。
難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。
だいたいどんな同意書や誓約書にもかかれているやつです。

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

g)はもし何か漏えいや事故があった際にどうするかです。
裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

ちなみに、これ、契約書でよく抜けている項目があるんです。それが、

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ここですね。
契約書を作る際には気を付けましょう!!!!

先述した、

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

この2つがを確認するのが3.4.3.4委託先の監督です。

これでもうあなたも委託先マスター★
また来月もよろしくお願いします★★★

ご観覧いただきありがとうございました!!!!!!!!!!!!

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

こんにちは!
もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。
ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!
都会にもホタルっているんですね!感激!!!!!

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。
世知辛い世の中です。

話が脱線してしまいましたね。
こんにちは。こんばんは。ISO総合研究所コンサルタントの野村です。

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。
いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

委託先について

まず初めに。

「委託先ってなーーーにーーーー????」

ここから始めましょう。「委託先」でググってみました。

委託先とは、業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)らしいです。

税理士さんや労務士さんがあてはまりますね。そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。
なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

委託先の監督

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。
委託先の監督は、大きく分けて2つです。実は簡単なんです

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

①個人情報をちゃんと取り扱っているか

まずは①の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

物理的安全管理措置
人的安全管理措置
組織的安全管理措置
技術的安全管理措置

漢字がいっぱいですね。難しそうですね。読む気が失せますね。
これをもう少しわかりやすく解説していきます。

物理的安全管理措置

これは物理的に個人情報を守っているかです
具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。
そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

人的安全管理措置

これは人ですね。人。
つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。
説明がかなり雑ですが、まあ、なんか、そんな感じです。

組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。
思いませんか?私が最近コナンの映画を見たからかもしれませんね。

今年のコナンの映画は素敵でした。
すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。
ちなみに私は安室さんがタイプです。たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

話がそれました。
組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。
なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

技術的安全管理措置

これはなんとなくわかる気がしますね。
技術的。
たとえばアクセスログをとっているか、ウイルス対策は実施されているか、IDやPASSをつけているか等です。

途中脱線しかけましたがこれが「個人情報をちゃんととりあつかっているか」の四項目でした!!!!

②契約書は締結しているか

次に「契約書は締結しているか」
これはJISの規格で7つの項目を記載することが義務付けられています。

JISの規格通り書くと難しいです。きっとみなさんも読む気が失せると思います。
なので噛み砕いてお伝えしますね。

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????
b)もらった個人情報を安全に管理します宣言!
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
d)業務報告してくれるか(あんま気にしなくていいやつ)
e)この契約を守ります宣言!
f)破っちゃったらどうする?そんなときの対応を記載しているか
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。
再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。
難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。
だいたいどんな同意書や誓約書にもかかれているやつです。

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

g)はもし何か漏えいや事故があった際にどうするかです。
裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

ちなみに、これ、契約書でよく抜けている項目があるんです。それが、

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ここですね。
契約書を作る際には気を付けましょう!!!!

先述した、

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

この2つがを確認するのが3.4.3.4委託先の監督です。

これでもうあなたも委託先マスター★
また来月もよろしくお願いします★★★

ご観覧いただきありがとうございました!!!!!!!!!!!!

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの高木です。

C(チェック)

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。

PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。
個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。
・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。
・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

では、まず幾つか点検項目をご紹介させて頂きます。

日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

日常点検その③『アクセスログの記録』

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。

入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。
このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。

点検と監査

そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。
Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。
監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。

頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

以上、今回ご紹介した項目は全てではありませんが、御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク)における必要な役割と権限と責任

JY742_shinbashi_TP_V

いつも弊社ブログをご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの本間仁志(ほんまひとし)と申します。

今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。

マイナンバーの役割設定

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)が成立し(平成25年5月31日公布)、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか?
今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。

要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン(特定個人情報ガイドライン)では特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めています。
よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。

こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。
また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

個人情報保護管理者の定義

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です。

JIS Q 15001:2006の規格では以下の通り定義されています。

「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」

1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。

さらには、以下のような責任権限を持つことが求まれている。

「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステム(PMS)を理解し,実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。また「監査」と「見直し」がその役割に含まれてはならないとされている。

個人情報保護管理者の役割

大まかな役割としては、

①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。

つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。
またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。

ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

個人情報保護監査責任者

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。

①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①~④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)で要求される法令について

N934_akusyuwomotomerubijinesuman_TP_V

いつもご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの保住です。

今回は、Pマーク(プライバシーマーク)の新規取得や、取得後の運用の際に必ず必要となる「法令・国が定める指針その他の規範」について詳しくお話しさせて頂きます。

Pマーク(プライバシーマーク)の要求事項

Pマーク(プライバシーマーク)の要求事項は下記のように記されています。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

この要求事項の概要としては、事業者は、個人情報保護方針で「法令、国が定める指針その他の規範を遵守する」と宣言したように、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守しなければなしません。

したがって、事業者の自らの業務に関連のある範囲で、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、常に最新版を維持・参照する手順を定め、それを実施している必要があります。

つまり、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということです。
そのためにはまず、「自社にどのような法規制が関連しているのか?」ということを明確にしなくてはなりません。

明確にする対象は「法律」だけではない?

ここで、明確にする対象が「法律」だけでよいと思った方、残念ながらそれでは審査で指摘を受けてしまします。

要求事項は「法令、国が定める指針その他の規範」となっています。
つまり「法令」だけではないのです。「国が定める指針」や「その他の規範」も特定の対象なのです。

つまり、「法令」「管轄省庁のガイドライン」「加盟団体の指針やガイドライン」「地方自治体の条例」4つの特定が必要になるのです。

この4つの中から、自社が関連するものを特定しなければならいのです。
世の中には想像以上に法律、ガイドライン等がありますから、しんどいですよね。

ここで審査の着眼点として下記の法令は必ず必須とされています

・「個人情報の保護に関する法律」(平成15年5月)
・「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
・「雇用管理分野における個人情報保護に関するガイドライン」
・「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」

特定漏れがあった方は今すぐ、法令一覧に特定しましょう!

事業ごとに当てはまる法令やガイドラインの特定

次は事業ごとに当てはまる法令やガイドラインの特定ですね。

業界や事業により、適用される法令や、ガイドラインは様々です。

例えば、派遣事業でしたら、「派遣元事業主が講ずべき措置に関する指針」があげられます。
メルマガ等の配信事業でしたら「特定電子メールの送信の適正化等に関する法律」が、ネット販売、通信販売の事業では「特定商取引に関する法律」が当てはまります。

また、事業所が置かれている都道府県、市町村によって当てはまる法令は異なってきます。

例えば、東京都新宿と大阪府大阪市に事業所を置かれている会社ですと東京都の条例にある「東京都個人情報の保護に関する条例」と大阪府の「大阪府個人情報保護条例」と大阪市の「大阪市個人情報保護条例」の三つを洗い出して管理しなければなりません。

ですので、自分の会社の事業や事業所が置かれている都道府県、市町村に合わせて、必要な法令等をピックアップしておきましょう!

一度法令を特定すれば終わり、ではない?

さて、特定が終わればその結果を台帳等にまとめ、従業者が閲覧できるようにするだけです。

しかしPマーク(プライバシーマーク)では一度法令を特定すれば終わり!ではないのです。

もう一度要求事項の確認してみましょう。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

最後の文言に注目です。そう、維持しなければいけません。
つまり、法令を見直して改正されていたら、最新版に更新しなければいけないのです。

ではどのようにして法令を見直していけばよいか?
基本的には、特定された法令に関して一ずつ見直していく必要があります。

Pマーク(プライバシーマーク)認証機関のJIPDEC(ジプデック)がガイドラインや指針に関してHPにて公表していることもありますが、事業者が置かれている都道府県、市町村の条例に関しては各ホームページで確認するのが必要になってきます。

先ほども話した通り、事業者ごとに参照すべき法令も異なってくるため、必要に応じて業界の関連法令を確認できるようにしておく必要があります。

基本的には年に一回、見直し月を定め、法令やガイドラインが改正されていないかどうかを確認します。
改正されていたら直近の改正日を記録として残しておくのが良いでしょう。

弊社では、

・特定した法令の名称
・法令の発行元・参照場所となるURL
・直近の改正日

上記三つの項目で法令を記録・管理しております。
そうすることで、見たい法令のサイトにすぐにアクセスができ、改正日もすぐに確認できます。

また、よく「法令を遵守している= Pマーク(プライバシーマーク)を取得できる」と認識されている方がいますが、それは大きな間違いです。

確かにPマーク(プライバシーマーク)の要求事項であるJISQ(ジスキュー)15001:2006は個人情報保護法の影響を受けている面もありますし、Pマーク(プライバシーマーク)取得に必要な法令に含まれていますが、個人情報保護法とPマーク(プライバシーマーク)異なるものです。気を付けましょう!

まとめ

最後に法令の見直しはとても大変ですが、Pマーク(プライバシーマーク)を運用していくためだけでなく、会社運営においても重要な事項です。
できるだけ定期的な見直しをしていくことおすすめします。

以上、「法令・国が定める指針その他の規範」についての解説でした!

今回はPマーク(プライバシーマーク)の規格について

-shared-img-thumb-N811_notepcwosawarubiz_TP_V

いつもお読み頂きましてありがとうございます。
ISO総合研究所の前田です。

今回はPマーク(プライバシーマーク)の規格について、ご説明していきたいと思います。

3 要求事項

3.1 一般要求事項
事業者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善しなければならない。その要求事項は,箇条3 で規定する。

JIS規格には1項からありますが、今回は箇条3の要求事項からご説明します。
要求事項とあるように要求されていることとなります。この要求事項を全て満たすことで個人情報保護マネジメントシステムを構築し、運用した上で、Pマークを取得することができるということになります。

3.2 個人情報保護方針
事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方>針を定めるとともに,これを実行し,かつ,維持しなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。)。
b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名
事業者の代表者は,この方針を文書(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下,同じ。)化し,従業者に周知させるとともに,一般の人が入手可能な措置を講じなければならない。

個人情報保護マネジメントシステムを運用していくときにまずは事業者の代表者が方向性を決めることを求めています。
それを個人情報保護方針という形でa~fの内容を盛り込んだ方向性を打ち出すということになります。

これは簡単に言うと事業者の代表者がうちは個人情報をきちんと取り扱うということを宣言するということです。

3.3計画
3.3項は要求事項があるわけではないですが、項番は階層構造になっていて、番号のつき方に意味があります。
一番頭の3の数字は最初に記載した通り、要求事項であるということなので、頭に3がついている限りは要求されていることととして、やらないといけないというものです。

今回2つ目についている3という項番は計画であるということを指しています。
したがって、3.3.○というような記載のある項番は、全て計画にあたる事項であることを指しています。
そのため運用をする前にしておくべきことがここで要求されていることになります。

3.3.1 個人情報の特定
事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,かつ,維持しなければならない。

ここでは事業で取扱いする範囲の個人情報を特定することを求めています。
これはまず単純にどんな個人情報があるか把握しなければ、事故が起きないように守ることもできないからです。

個人情報とは個人を特定し得る情報、例えば名前等です。
また、名前だけで特定できない場合にある情報との組み合わせで特定できる場合はその情報も含みます。例えば、勤務先や電話番号等です。
これからは免許証の番号や指紋情報等も個人を特定し得る情報として、特定が必要なってくると言われています。

Pマーク運用上ではこの要求事項において、台帳を作ることがほとんどだと思います。
良く勘違いされているのは、特定した個人情報すべてを台帳に載せないといけないと思っていることです。

実際ガイドラインには、特定した個人情報を全て載せることではないと書いていたりします。
どういうことかというと、個人情報を洗い出すことと、管理の範囲に入れることは違うということです。

どんな個人情報があるか把握することは大切ですが、その特定した個人情報をどこまで管理するのか決定して、その決定した個人情報を台帳に載せるということになります。

基本的には取り扱う個人情報を管理しないといけないということになるので、Pマークの審査場では現状ほぼニアイコールではあります。

3.3.2 法令,国が定める指針その他の規範
事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。

次に法令や国が定める指針を特定して、いつでも見られるようにしておかないといけないという要求です。

これがこの次の要求に出てくるリスク分析より手前にあるのは、法令などの国が定めることを守れないということもリスクになりえるからです。
そのためリスク分析より先に国の決まりである法律などを特定して守れるようにしておく必要があります。

Pマークの実務、審査レベルでは、個人情報保護法や各業界に関わるガイドライン、最近ではマイナンバーに関わる法律などを特定するように言われます。

Pマーク(プライバシーマーク):個人情報保護法の改正と第三者提供

_shared_img_thumb_TSUCH160130540I9A6568_TP_V(1)

いつもブログをご愛読いただきまして誠にありがとうございます。
ISO総合研究所コンサルタントの遠藤です。

関東ではゴールデンウィークは天候に恵まれ、絶好の行楽日和が続きましたね。
弊社コンサルタントも、温泉旅行に行く者、実家に帰省する者、インド旅行に行く者などなど、思い思いの休日を過ごしていたようです。
私は、家内が体調を崩したこともあり、比較的おとなしく過ごすことになりました。

さて、今回のテーマは、「個人情報保護法の改正と第三者提供」です。

Pマーク(プライバシーマーク)の審査に反映されるのはまだ先のことになりますが、改正法の要点を押さえていただき、スムーズに対応していく一助になればと思います。

改正個人情報保護法、どんな対応が必要?

すでに改正個人情報保護法は成立し、遅くとも2017年(平成29年)からは全面施行されることになります。

今回の法改正は、たとえば、従来5000人を超える個人情報を保有する事業者のみが個人情報保護法の規制対象であったものが、改正後は5000人以下でも規制対象となるため、中小企業も含めた全事業者において対応が必要になります。
つまり、これまで関係ないと考えていた事業者においても対応が必要になります。

とはいっても、細かなルールについては、今回の法改正で新たに設置された「個人情報保護委員会」に委ねられており、内容はこれから明確になっていくところです。
今慌てて対応する必要はありませんが、今後の動向には注視が必要となります。

今回の法改正、背景には、ビッグデータの活用、大手交通系企業からのデータ提供問題、大手教育出版系企業の個人情報大量流出問題などがあるようです。

苦い過去と同じ轍を踏まないようにするとともに、膨大なパーソナルデータの利活用を促進することで、革新的なサービスやビジネスモデル、新たな市場の創出などが期待され、グローバル競争を勝ち抜く鍵になるという、「世界最先端IT国家創造宣言」に寄り添ったものでもあります。

今回の改正の5つのポイント

では、いよいよ今回の改正のポイントを見ていきましょう。

(1)個人情報の定義の明確化
(2)適正な規律の下での個人情報等の有用性を確保
(3)個人情報の保護を強化(名簿屋対策)
(4)個人情報保護委員会の新設
(5)個人情報の取り扱いのグローバル化

一つずつご説明いたします。

(1)個人情報の定義の明確化

何が個人情報にあたるかという「グレーゾーン」の解消を意図したものです。

改正法では、個人情報の定義として、「個人識別符号が含まれるもの」も個人情報ということが明確化されました(改正法第2条)。
具体的には、以下ようなものが該当します。

・身体の一部の特徴を変換した符号で、特定の個人を識別することができるもの
例)個人の身体的特徴をデジタル化した情報(生体認証に使われる指紋や虹彩、声紋等)

・サービスの利用や商品の購入に関して割り当てられ、または個人に発行されるカード等に記載されるなどした符号で、利用者や購入者などを識別できるもの
例)運転免許証番号やマイナンバー、旅券番号、基礎年金番号など

携帯電話番号、クレジットカード番号、メールアドレス、サービス提供のための会員IDなど、最終的にどのような情報までが「個人識別符号」に該当するのかは、今後定められることになっています。

(2)適正な規律の下での個人情報等の有用性を確保

ルールを明確にして、個人情報を有効に活用しようというものです。
つまりは、ビッグデータの利活用です。

ビッグデータビジネスをはじめとする様々な分野での情報の活用を促すために、「匿名加工情報」が新設されます。
「匿名加工情報」は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」と定義されています。

「個人情報の加工」について、どのように、どこまで加工すれば良いのかという具体的な基準は、これから定められることになっています。

そして、大きなポイント!
以下の条件を満たせば、「匿名加工情報」は本人の同意がなくても第三者に提供を行うことができることが明確に規定されました。

・第三者に提供するときは、匿名加工情報に含まれる個人に関する情報の項目や提供方法をあらかじめ公表する
・提供先に対して、匿名加工情報であることを明示する

つまり、ビッグデータの自由な利活用が期待されています。

(3)個人情報の保護を強化(名簿屋対策)

2014年に、いわゆる名簿業者からの個人情報流出が社会問題となりました。
今回の改正法では、その対策としてトレーサビリティの確保を打ち出しています。

個人情報を第三者に提供する際には、提供者・受領者双方に義務が課されることになりました。

提供者:個人データを提供した年月日、受領者の氏名などの記録を作成・保存
受領者:提供元の氏名と受領日、個人情報取得の経緯を相手方に確認した記録を作成・保存

記録・保存・確認の方法など細かなルールは今後定められることになっています。

また、個人情報の意図的な持ち出しへの対策として、「データベース提供罪」も新たに設けられましたが、どの程度の抑止効果が期待できるかは正直分かりません。

(4)個人情報保護委員会の新設

繰り返し「細かなルールは今後定められる」と記載してきました。「個人情報保護委員会」がプライバシー保護の監督・監視役となる第三者機関として新設されます。
この個人情報保護委員会で、細かなルールを定めていくことになります。

個人情報の取扱い等について、事業者への監督は、これまで各業界を所管する主務大臣が行ってきましたが、今後は個人情報保護委員会に一元化されます。

(5)個人情報の取り扱いのグローバル化

日本国内だけでなく、国家間の取り扱い規定についても整備されました。

・日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用。また、執行に際して外国執行当局への情報提供を可能とする。
・個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能。

事業者ではどんな対応が必要かというと、外国の第三者に情報を提供することについても、本人からの同意取得が必要になります。ただし、これについても、個人情報保護委員会で基準が作成されますので、具体的な対応はその状況を見ながらということになります。

まとめ

いかがでしたでしょうか?

まだまだ具体的な基準が不明確ではありますが、法改正の方向性、また、小規模取扱事業者が今回の法改正により規制の対象になる点をご認識いただければと思います。

Pマーク(プライバシーマーク):脆弱性対策ってなんですか

_shared_img_thumb_YUKA150701098458_TP_V(1)

いつもご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの小林です。

今回はPマーク(プライバシーマーク)取得時や更新時の現地審査で、審査員が必ず確認してくる内容についてお伝えいたします。

ウェブアプリケーションのセキュリティ対策

Pマーク(プライバシーマーク)は主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリ ティ対策についても説明されています。

一般財団法人 日本情報経済社会推進協会 プライバシーマーク推進センターから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」では、以下の項目についてウェブアプリケーションのセキュリティ対策が、望ましい対策手法として掲載されています。

「Ⅱ技術的安全管理措置として講じなければならない事例と望ましい手法の例示」より抜粋

(P104)
2:個人情報へのアクセス制御
→ 「(8)個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること」 の具体例の一つとして、 「ウェブアプリケーションの脆弱性の有無を検証すること」 が挙げられています。

(P107)
6:個人情報の移送・通信時の対策
→ 「(3)盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」 の具体例の一つとして、 「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。

つまりPマークでは、ウェブサイトで個人情報を取得する場合は、Webアプリケーションに脆弱性がないか確認することや、代表的な脆弱性であるSQLインジェクションやクロスサイトスクリプティングへの対策を実施するよう求めているということになります。

さあ、でてきました、この聞きなれない単語!!!
SQLインジェクションクロスサイトスクリプティング!!!!

では一つ一つどんなことなのかをご説明します。

SQLインジェクションとは??

SQLインジェクションは、一言で言うと不正にSQLを書き換えてしまう攻撃手法です。
名前からするとデータベース上のセキュリティ脆弱性のように思ってしまうかも知れませんが、実はそうではなく、Webアプリケーション側の問題のようです。

データベースは、安全なSQLであるか不正に書き換えられたSQLであるかを見分けることは出来ず、文法さえ正しければSQLを実行して結果をしまうのです。
それはデータベースにとって期待通りの動作であり、文法的に正しいSQLを実行するのは欠陥でも何もなく、むしろ実行出来ないのが欠陥であると言えてしまいます。
つまり、Webアプリケーション側でSQLが書き換えられた時点で、時はもう既に遅しとなってしまいます。

まとめると、データベースへの命令の組み立て方に問題があり、データベースを不正に操作されてしまう可能性があるということです。

では、その対策はどうすればよいのでしょうか?
難しい言葉が多くでてきて、ご担当者の方もわけがわからなくなると思います。ですが、重要なことは、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

大抵の場合は、ホームページを委託している企業に「当社のホームページについて、SQLインジェクションの対策はどうなっていますか?」と聞いていただければ答えはでるはずです。

現地審査の際にはその確認したメールの内容を手元に置き、委託先に確認したところ、このような回答がありましたと、メールの文面を見せれば審査員は納得します。

もう一度言います。
SQLインジェクションについて理解をしたり、説明できたりする必要はありません!SQLインジェクションの対策がどのようにされているか確認をしておけばよいのです。

クロスサイトスクリプティングとは??

では次にもう一つでてきた聞きなれない言葉についてです。

ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいいます。
また経緯上、それを許してしまう脆弱性についても、このように呼ばれています。

典型的には、攻撃者が攻略対象となるウェブサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させるので、「クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)」と呼ばれます。

ウェブアプリケーションが入力したデータ(フォーム入力など)を適切にエスケープしないままHTML中に出力することにより、入力中に存在するタグ等文字がそのままHTMLとして解釈されます。
ここでスクリプトを起動させることにより、以下に挙げるような攻撃が成立します。

はい、また難しい言葉がたくさんでてきましたね。
もうお気づきかも知れませんが、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

クロスサイトスクリプティングについても、上記のSQLインジェクションと同じです。
委託先へ連絡していただき、「当社のホームページについて、クロスサイトスクリプティングの対策はどうなっていますか?」と聞いていただくだけで大丈夫です。

最後に

現地審査前は不安になることも多いと思います。
確認事項がたくさんあって担当者のみでは確認しきれないこと、見落としていることもあるかもしれません。

当社では、上記のお客様にやっていただかないと当社ではできないことを「お願い事項」として、お客様に実施していただいています。

何をやるべきか、現地審査の対策、チェックについても当社へご連絡ください。
一緒に現地審査の対策を実施してきましょう。