皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日の投稿の文末で、「『セブンｰイレブン』ともあろう大手企業が何故これほどまでにお粗末なミステイクを犯してしまったのかは謎である」ことを書きましたが、報道で流れる記者会見の内容を見る限りでは『単なるわかっていない方達』という印象しかありませんでした。

そんな彼らの『犯した罪』は彼らが想像している以上に大きな問題です。

7payはスマホ決済への信頼を損ねた

昨日に続き『個人向け』のような記事なってしまいますが、これは『事業者』にとっても他人事ではないような気もします。

さて、今回の『7pay』の『アカウント乗っ取り』、『不正利用』問題に関してですが、彼らは『モバイル決済（キャッシュレス）サービス』を行ってはいけないタイプの考え方に受け取れます。

それは『脆弱性は見つからなかった』という発言がすべてです。

『システム』や『セキュリティ』というものを知らない方々なのか、あのような仕様でそのようなことを繰り返し強調できるというのは非常に恐ろしい方々であるとしか言いようがないと思えます。

また、『クレジットカード会社に連絡を！』＆『警察に被害届を出して！』の一点張りで『コールセンター』の対応にもがっかりし、もう『モバイル決済（キャッシュレス）サービス』を使いたくないという意見も出ています。

この問題、『7pay』だけの問題ではなくなりそうです。

『○○Pay』という『モバイル決済（キャッシュレス）サービス』全体に対する信頼を損ねてしまったような状況になってしまっています。

今後このような『大失態』が繰り返されないよう、『モバイル決済（キャッシュレス）サービス』に対する『ガイドライン』を設け、それをクリアしたものだけがリリースされるくらいにした方が良いのではないでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、2年数ヵ月ぶりに大幅改訂された『中小企業の情報セキュリティ対策ガイドライン（第3版）』がIPA（独立行政法人情報処理推進機構）から公開されましたので、それをお伝えします。

中小企業の情報セキュリティ対策ガイドライン第3版

＜概要＞

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。
　第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです。
　例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
　中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。 また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。
　本ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

このように、昨今の『サイバー攻撃の巧妙化』や『中小企業などにおけるIT環境の変化』などを受け、『経営者が認識し実施すべき指針』、『社内において対策を実施する際の手順や手法』などがわかりやすくまとめられています。

改めて確認し直す良い機会でもありますので、是非読んでみて下さい。

『中小企業の情報セキュリティ対策ガイドライン第3版（全62ページ、7.00MB） /PDF』

・付録1：『情報セキュリティ5か条（全2ページ、726KB） /PDF』

・付録2：『情報セキュリティ基本方針（サンプル）（全1ページ、34KB） /Word』

・付録3：『5分でできる！情報セキュリティ自社診断（全8ページ、3.9MB） /PDF』

・付録4：『情報セキュリティハンドブック（ひな型）（全10ページ、212KB） /PowerPoint』

・付録5：『情報セキュリティ関連規程（サンプル）（全50ページ、171KB） /Word』

・付録6：『クラウドサービス安全利用の手引き（全8ページ、2.8MB） /PDF』

・付録7：『リスク分析シート（全5シート、92KB） /Excel』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

事業を営んでいればその多くは融資を受けていることが多いかと思います。

そして、その融資には『経営者による個人保証（経営者保証）』が必要だと思われがちですが、『経営者保証なし』で融資を受けられるケースがあることも事実です。

では、どのようなケースであれば『経営者保証なし』で融資が受けられるのでしょうか？

経営者保証なしで融資を受ける

『経営者保証なし』で融資を受ける条件に法的な拘束力はありませんが、金融機関を含め自主的なルールとしてある一定のガイドラインが設けられています。

例えば、新規融資においては以下のようなガイドラインがあります。

１．法人と経営者の関係の明確な区分・分離

・融資を受けたい企業は、役員報酬・賞与・配当、オーナーへの貸付など、法人と経営者の間の資金のやりとりを、「社会通念上適切な範囲」を超えないようにする体制を整備し、適切な運用を図る。
・そうした体制の整備・運用状況について、公認会計士・税理士などの外部専門家による検証を行い、その結果を債権者に適切に開示することが望ましい。

２．財務基盤の強化

・融資を受けたい企業は、財務状況や業績の改善を通じた返済能力の向上に取り組み、信用力を強化する。

３．経営の透明性
・融資を受けたい企業は、自社の財務状況を正確に把握し、金融機関などからの情報開示要請に応じて、資産負債の状況や事業計画、業績見通し及びその進捗状況などの情報を正確かつ丁寧に説明することで、経営の透明性を確保する。
・情報を開示した後に、事業計画・業績見通し等に変動が起きた場合は、自発的に金融機関に報告するなど、適時適切な情報開示に努める。
・情報開示は、公認会計士・税理士など外部専門家による検証結果と合わせた開示が望ましい。

こういったガイドラインを利用したい場合は、商工会や商工会議所、中小企業基盤整備機構の地域相談窓口などに相談してみると良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

EU圏や対象地域において事業拠点があるとか、その地域向けにサービス提供を行っている場合においては行政などが掲載しているガイドラインである程度理解ができるかもしれませんが、そうでない場合、つまり、日本国内向けに公開しているウェブサイトなどにおいては一切何の対象にもならないのか？という疑問があります。

しかし、現時点においてこの疑問に答えられるところは見つかりませんでした。

GDPRは国内向けであっても対象になるか

多くのウェブサイトではGoogleが提供する『Google Analytics』というものでアクセス解析を行ったりしています。

これはある意味GDPRの対象となるのでは？という考え方もできます。

そこで、GoogleのAnalyticsサポート担当の方にお聞きしたところ、『現時点において日本国内向けの場合は何も影響はない』という回答でした。

では、ウェブサイトを運営するために広告表示を行っている場合はどうなるのでしょうか？

経済産業省、個人情報保護委員会GDPR専門窓口などの行政機関においても情報は持ち合わせておらず、弁護士などの専門家にご相談して欲しいという言葉だけが返ってきます。

極論、お問い合わせフォームからEU圏の方が問い合わせを行ってきた場合、それはどうなるのか？ということも疑問として浮かぶでしょう。

アクセス解析を見たことがある方ならわかると思いますが、日本国内向けのウェブサイトなどであったとしても、好む好まざるに関わらず海外からのアクセスは多少あったりします。

そして、その中にはEU圏からのアクセスもあったりします。

このようなケースの場合、日本国内向けのウェブサイト運営者は何をすべきなのでしょうか？

何か情報を得ることができれば後日掲載したいと思いますが、暫くは様子見の期間が続きそうな気もします。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人 情報処理推進機構）は、『安全・安心なIT社会を実現する』ため、昨年から新たな取組みを始めています。

セキュリティアクションとは

IT社会において企業経営においても欠かせない『情報セキュリティ』。

特に中小企業においては大手企業に比べて『情報セキュリティ対策』への取組みは遅れており、自ら宣言をしてもらうことによって普及・拡大を促すことを目的としたものと思われます。

企業側にとっては取組み目標を決め、自己宣言することによって『☆一つ星』もしくは『☆☆二つ星』のロゴマークが使用可能となるため、従業員の意識向上や対外的な信頼性の向上に役立てることができます。

『☆一つ星』では、以下の『情報セキュリティ5か条』に取組むことを宣言した中小企業等であればロゴマークの使用が可能です。

１．OSやソフトウェアは常に最新の状態にしよう！

２．ウイルス対策ソフトを導入しよう！

３．パスワードを強化しよう！

４．共有設定を見直そう！

５．脅威や攻撃の手口を知ろう！

これらへの対策例は以下の資料から確認できます。

参考：『情報セキュリティ5か条(PDF)』

『☆☆二つ星』では、中小企業の情報セキュリティ対策ガイドライン付録の『5分でできる！情報セキュリティ自社診断』で自社の状況を把握したうえで、情報セキュリティポリシー（基本方針）を定め、外部に公開したことを宣言した中小企業等であればロゴマークの使用が可能です。

参考：『5分でできる！情報セキュリティ自社診断パンフレット(PDF)』

　　　『5分でできる！情報セキュリティ自社診断シート(PDF)』

　　　『中小企業の情報セキュリティ対策ガイドライン(PDF)』

中小企業・零細企業・小規模事業者の方々、こういったものから着手し、まずは意識改革から行われるのも良いかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日の記事を読んでいただければお分かり頂けると思いますが、2017年5月30日施行の『改正個人情報保護法』の施行により、事業用のホームページサイトにて個人情報を取得する場合（お問い合わせフォームなど）、その個人情報の利用目的をサイト内にて公表する必要性があることをお話ししました。

これとは別に、個人情報保護法上のガイドラインにある、『安全管理措置』という観点から考えた場合、個人情報取得時における施策は何もなくて良いのでしょうか？

個人情報保護法上のガイドライン

以前、『改正個人情報保護法施行日迫る』という記事でも触れましたが、今回の『改正個人情報保護法』において『5,000人要件』が撤廃されましたので、5,000人以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

そのため、個人情報を保護するための『安全管理措置』は必要です。

ただし、個人情報保護法上のガイドラインにて示されているのはあくまでも手法の例示であり、個別具体的に何が必要であるかは明記されているわけではありません。

※　安全管理措置が何もされておらずに問題が発生した場合は行政指導が入ることがあるでしょう。

個人情報保護法とWEBのhttps化（暗号化）

前述の通り、個人情報保護法上の『安全管理措置』に対して事業者のホームページサイトにおける個人情報の取得にWEBの暗号化が必須条件となっているわけではありません。

しかし、これは今回の個人情報保護法改正以前の問題であり、ホームページサイトなどにおいて個人情報を取得する場合、最低限そのページが暗号化されているのは当り前の話しです。

万が一それが原因で問題が発生した場合（それがなされていれば問題が発生しなかった場合）、そのホームページサイトの運営事業者は民事的に訴えられることもあり得ます。

もし未だWEBのhttps化（暗号化）がされていないのであれば、これを機にSSL証明書を取得してWEBを安全な状態で運営することです。

各ブラウザにおいても、httpsではない、httpのままの非暗号化ページに対しては警告を出しはじめており、近い将来においてユーザーからの信頼を失墜するものにもなり得てしまいます。

それを避けるためにも、このような改正を機に、ホームページサイトに対する『安全管理措置』に対しても考えるべきでしょう。

そして平成29年5月30日より、改正個人情報保護法が全面施行されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

まもなく改正個人情報保護法が施行されるわけですが、それに際して個人情報取扱事業者の定義が変わります。

個人情報取扱事業者は大半の事業者に該当

まず、個人情報保護法上の義務を負う個人情報取扱事業者とは、個人情報データベース等をその事業活動に利用している者のことですが、実際のところほとんどの事業者はこの定義に当てはまります。

例えば、顧客管理情報として会社名、住所、電話番号、担当者名が管理されていたとすると、この担当者名が個人名であることから個人情報を取り扱っていることになるわけです。

そして、今回の改正において『個人情報取扱事業者への対応（5,000件要件の撤廃）』があり、5,000件以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

個人情報保護法ガイドライン

個人情報保護法上のガイドラインに関して、中小規模事業者の場合においては『安全管理措置』が少々緩和された内容になっています。

例えば、外部からの不正アクセス等の防止における手法の例示としては以下のような違いがあります。

＜通常の手法の例示＞

・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ログ等の定期的な分析により、不正アクセス等を検知する。

＜中小規模事業者における手法の例示＞

・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

ごく一部ですが、このような違いがあります。

『中小規模事業者』とは、従業員（※）の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者

（※）中小企業基本法（昭和 38 年法律第 154 号）における従業員をいい、労働基準法（昭和 22 年法律第 49 号）第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

これらを踏まえ、中小・零細企業、小規模事業者であっても個人情報保護に関する見直しをする必要があります。

立ち上げられたサイトのことですが、これは使い方を間違えるとスパム行為として

認識される可能性があります。

皆さん、こんにちは。

業務コンサルタントの高橋です。

サテライトサイト（衛星サイト）という言葉を耳にしたことがある方も今では多く

なったと思いますが、このサテライトサイト、使い方によっては大きな失敗になって

しまいます。

検索の世界を主導しているGoogleは、サテライトサイトに対して何らかの定義付け

をしているわけではありませんが、世の中に膨大なサテライトサイトが存在している

ことは認識しています。

また、そのサテライトサイトについて、どのようなサテライトサイトであれば

問題がなく、どのようなサテライトサイトだとNGとなるかは明かされていません。

明かされていないということは、実際には判断基準は存在するということです。

そこで考えなければいけないのは、そのサテライトサイトが単なる誘導を行う

サイトになっているとすれば、それはGoogleのガイドラインに違反するという

ことになります。

つまり、そういった誘導サイトになってしまっているサテライトサイトはスパム

として扱われ、結果的にはマイナスのサイトを立ち上げていることになるという

残念なことになってしまいます。

しかし、サテライトサイトとして立ち上げたもの全てがNGということではありません。

単なる誘導サイトではなく、そのサイト単体であってもユーザーに良質な情報を

提供している、本来のウェブサイトに対する適切な考えのもとに立ち上げられた

サイトであれば問題はありません。

また、そこからメインサイトに対してリンクを貼ったりしていることに関しても

問題ないものと考えて良いでしょう。

まとめとして、メインサイトに対して補助的・支援的な役割をしてくれるような

サイトであればサテライトサイトとしても良いものとなると考えます。