皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

中小企業クラスの場合、取引先などとの兼ね合いの問題もあり、ある程度は情報セキュリティや個人情報保護といったことに無関心ではいられないようですが、零細企業、小規模事業者ともなると、情報セキュリティや個人情報保護といったことには非常に無関心であると感じます。

では、いったい何故そのような状態のままなのでしょうか？

どうせ何もない！という考え方

随分前の話しにはなりますが、士業の先生から驚くべき言葉を聞いたことがあります。

『小さなところなんてどうせ何もない。万が一それがあったとしても、大したお度が目はない。』

国家資格を所持した士業の先生ですら、こういった感じの方もおられます。

しかし、小さいから何も起きないわけではありません。

確かに、ターゲットとされやすいのは知名度のある大企業とは言えますが、問題が起きるのはターゲットとされた時ばかりではありません。

インターネット上に潜んでいるもの、メール経由で問題が起きるもの、踏み台とされるものなど、問題が起きてしまうケースは他にもたくさんあります。

そして、問題が起きてしまった場合、例えば個人情報が漏えいするようなことがあった場合にはどうなるのか？

個人情報取扱事業者としてペナルティを課せられることになります。

これは、5月に改正された個人情報保護法により、小規模事業者であっても適用されることになっています。

ただし、おそらく最初は改善命令という形に留まり、それにも違反した場合においては刑事罰ということになるでしょう。

※だからと言って、業務改善命令を受けた時に対処すれば良いということではありません。

しかし損害はこれだけではすみません。

顧客や取引先などからの信用を失うことになります。

このようなことにならないためにも、正しく認識し、最低限必要なことはモラルとして行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日の記事を読んでいただければお分かり頂けると思いますが、2017年5月30日施行の『改正個人情報保護法』の施行により、事業用のホームページサイトにて個人情報を取得する場合（お問い合わせフォームなど）、その個人情報の利用目的をサイト内にて公表する必要性があることをお話ししました。

これとは別に、個人情報保護法上のガイドラインにある、『安全管理措置』という観点から考えた場合、個人情報取得時における施策は何もなくて良いのでしょうか？

個人情報保護法上のガイドライン

以前、『改正個人情報保護法施行日迫る』という記事でも触れましたが、今回の『改正個人情報保護法』において『5,000人要件』が撤廃されましたので、5,000人以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

そのため、個人情報を保護するための『安全管理措置』は必要です。

ただし、個人情報保護法上のガイドラインにて示されているのはあくまでも手法の例示であり、個別具体的に何が必要であるかは明記されているわけではありません。

※　安全管理措置が何もされておらずに問題が発生した場合は行政指導が入ることがあるでしょう。

個人情報保護法とWEBのhttps化（暗号化）

前述の通り、個人情報保護法上の『安全管理措置』に対して事業者のホームページサイトにおける個人情報の取得にWEBの暗号化が必須条件となっているわけではありません。

しかし、これは今回の個人情報保護法改正以前の問題であり、ホームページサイトなどにおいて個人情報を取得する場合、最低限そのページが暗号化されているのは当り前の話しです。

万が一それが原因で問題が発生した場合（それがなされていれば問題が発生しなかった場合）、そのホームページサイトの運営事業者は民事的に訴えられることもあり得ます。

もし未だWEBのhttps化（暗号化）がされていないのであれば、これを機にSSL証明書を取得してWEBを安全な状態で運営することです。

各ブラウザにおいても、httpsではない、httpのままの非暗号化ページに対しては警告を出しはじめており、近い将来においてユーザーからの信頼を失墜するものにもなり得てしまいます。

それを避けるためにも、このような改正を機に、ホームページサイトに対する『安全管理措置』に対しても考えるべきでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月末より『改正個人情報保護法』が施行されているわけですが、これはウェブサイトを公開している事業者にも影響のある話しですので、今日はそれに関してお話しします。

改正個人情報保護法のWEBへの影響

5月30日に施行された『個人情報保護法』では、すべての事業者（個人事業者を含む）が個人情報を取得する際の利用目的などを本人に告知しなければいけません。

しかし、インターネット上でたまに見かけるものとして、個人情報保護方針（プライバシーポリシー）がウェブサイトのどこにも見当たらないサイトがあったりします。

このようなサイトにおいて『お問い合わせフォーム』などにて個人情報を取得する場合、改正後の現行法においてはNGとなります。

従って、ウェブサイトにおいて個人情報を取得するものが存在し、個人情報の利用目的などが公表されていないサイトに関しては早急にそれを整備する必要があります。

※　お問い合わせのページに必ず存在しなければいけないというルールはありませんので、ウェブサイト内のどこかに記載がされていれば問題はありません。

ただし、お問い合わせ時などにおいてそれがどこに記載されているかのリンク程度は貼っておいた方が良いでしょう。

個人情報保護方針は自社で考えるもの

これもまたよくある話しですが、個人情報保護方針（プライバシーポリシー）の中身をウェブ制作業者に考えさせるクライアントがいます。

ポリシーである以上、それは自社にて策定し、それを公表するものです。

※　一般的なものを掲載しておいて！ではポリシーではありません。

実態としてはこれは非常に多いケースではありますが。。。

書き方などがわからないということであれば専門家に自社の方針を伝え、それを公表できるレベルのものにまとめてもらうと良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、いよいよ改正個人情報保護法が施行されたわけですが、近しいところに聞いた限りでは全くもってその認識はありませんでした。

そのようなこともあり、今日は改正個人情報保護法のおさらいです。

改正個人情報保護法の基本をチェック

まず、今まで適用除外とされていた小規模事業者（保有する個人情報が5000人以下の企業）に対しても個人情報保護法の対象になります。

個人事業主も例外ではなく、『個人情報を取得して、事業の用に供する者』すべてが対象になります。

そして、以下のことが必要になってきます。

１．個人情報を取得する際、利用目的を定め、本人に告知する

予め利用目的を特定し、本人に伝えるか、ホームページや店頭での掲示などにて公表する必要がある

２．取得した個人情報は定めた目的以外には使用しない

取得した個人情報は特定した利用目的の範囲内で利用する

取得済みの個人情報を特定の目的以外で利用したい場合、予め本人の同意が必要

３．取得した個人情報は安全に管理する

電子ファイルのパスワード保護、セキュリティソフトの活用、紙媒体は施錠可能なところに保管など

４．個人情報を第三者に提供する際、本人の同意を得る

個人情報を第三者に提供する場合は、原則、本人の同意が必要

法令に基づく『警察からの照会』などの場合、災害時などの人命に関わる場合で本人から同意を得るのが困難な場合、商品配送時の配送業者への業務委託などは同意が不要

５．本人からの『個人情報の開示請求』に応じる

保有している個人情報に関して、本人からの開示、訂正等の請求に応じる必要がある

これらのことを基本に、個人情報を保護しなければいけません。

当然、個人情報保護に対する社員教育も必要になります。

参考として、以下の記事もご覧ください。

『改正個人情報保護法施行日迫る』

『個人情報保護法を再度確認する』

そして平成29年5月30日より、改正個人情報保護法が全面施行されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

まもなく改正個人情報保護法が施行されるわけですが、それに際して個人情報取扱事業者の定義が変わります。

個人情報取扱事業者は大半の事業者に該当

まず、個人情報保護法上の義務を負う個人情報取扱事業者とは、個人情報データベース等をその事業活動に利用している者のことですが、実際のところほとんどの事業者はこの定義に当てはまります。

例えば、顧客管理情報として会社名、住所、電話番号、担当者名が管理されていたとすると、この担当者名が個人名であることから個人情報を取り扱っていることになるわけです。

そして、今回の改正において『個人情報取扱事業者への対応（5,000件要件の撤廃）』があり、5,000件以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

個人情報保護法ガイドライン

個人情報保護法上のガイドラインに関して、中小規模事業者の場合においては『安全管理措置』が少々緩和された内容になっています。

例えば、外部からの不正アクセス等の防止における手法の例示としては以下のような違いがあります。

＜通常の手法の例示＞

・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ログ等の定期的な分析により、不正アクセス等を検知する。

＜中小規模事業者における手法の例示＞

・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

ごく一部ですが、このような違いがあります。

『中小規模事業者』とは、従業員（※）の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者

（※）中小企業基本法（昭和 38 年法律第 154 号）における従業員をいい、労働基準法（昭和 22 年法律第 49 号）第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

これらを踏まえ、中小・零細企業、小規模事業者であっても個人情報保護に関する見直しをする必要があります。

情報流出した可能性があるのは、『JTBホームページ』『るるぶトラベル』『JAPANiCAN』のサイトもしくは販売提携先のサイトを利用し、2007年9月28日から2016年3月21日までの間にオンライン予約をした顧客の個人情報。

この中には、NTTドコモが提供している『dトラベル』を利用した約33万人分の個人情報も含まれている。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

またもや標的型攻撃メールによる事件が起きました。

この標的型攻撃メールは大企業や公官庁だけが標的として攻撃されるわけではなく、標的となる組織と関係がある中小企業なども攻撃を受けた事例もありますので注意が必要です。

標的型攻撃メールとは

標的型攻撃メールとは、ターゲットである企業などから重要な情報を盗むことなどを目的として、企業の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたコンピュータウイルスが添付された電子メールを送ることなどによって始まります。

また、その時だけではなく潜伏して持続的に行われるAPT攻撃と呼ばれるものもあります。

標的型攻撃メール対策

標的型攻撃メールには下記のような特徴があります。

・取材申込、セミナー依頼、公的機関、業務的、航空券の予約、荷物の配達などを装っている

・フリーメールアドレスから送信されたものや差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

・メール本文の日本語の言い回しが不自然であったり日本語では使われない漢字が使われている

これらにファイルが添付されているといったことがあります。

（今回のJTBにおける事件もそうで、件名は『航空券控え添付のご連絡』という業務的なメールに添付されたファイルを開いてしまい感染したもので、取引のある航空会社系列の販売会社のドメインではあったもののユーザー名は知らない人であった。）

これらのことをよく理解し、社内において運用ルールを徹底する（教育も行う）必要があります。

つまり、標的型攻撃メールの手口を理解し、疑わしいメールが届いた場合には添付ファイルを開封したりリンクをクリックしたりは絶対にしないことが重要です。

また、標的型攻撃メールを発見した場合には速やかに情報を集約し、企業内で情報を共有することが重要です。

追伸：個人情報保護法の改正により5,000人要件は撤廃になっておりますのでご注意を。

また、今回のJTBにおける事件は、個人情報保護法第20条（安全管理措置）、同第21条（従業者の監督）に抵触している気もします。

個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨今、マイナンバー制度が開始されていることもありマイナンバーの取り扱いに対することばかりに注目が集まっていますが、マイナンバーの取り扱いがない場合においても個人情報は非常に大切なものです。

そこで、『個人情報保護とは』を改めて確認しておきましょう。

個人情報・個人データ・保有個人データ

『個人情報』とは、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）』をいいます。
また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に『個人データ』といい、そのうち、事業者が開示等の権限を有し６か月以上にわたって保有する個人情報を、特に『保有個人データ』といいます。

個人情報取扱事業者

『個人情報取扱事業者』とは、個人情報データベース等（紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの）を事業活動に利用している者のことをいい、個人情報保護法に定める各種義務が課されています。
（※）改正前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の事業者は、個人情報取扱事業者に該当せず、義務の対象から除外されています。しかし、インターネットの急速な普及等により、取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害するリスクが高まっていることから、改正後は、5,000人分以下の個人情報を取り扱う事業者についても個人情報保護法の義務の対象となるため、注意が必要です。

上記の赤字で記載した部分に注目してください。

昨年の9月、個人情報取扱事業者の5,000人要件が撤廃される法案が成立しました。まだ施行はされていませんが、成立から2年以内には施行されますので今後は人数に関係なく義務の対象となります。

利用目的の特定・目的外利用の禁止

個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。また、原則として、あらかじめ本人の同意を得ずに、その利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。

適正な取得・取得時の利用目的の通知等

偽りその他不正な手段によって個人情報を取得することは禁止されています。また、個人情報の取得に当たっては、取得前にあらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知又は公表しなければなりません。

安全管理措置・従業者や委託先の監督

個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません。また安全にデータを管理するため、従業者や委託先に対し必要かつ適切な監督を行わなければなりません。

第三者提供の制限

原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています。ただし、委託、事業承継及び共同利用に該当する場合は、第三者提供に該当しないこととされています。

開示、訂正、利用停止等の求め

本人からの求めに応じて、保有個人データを開示し、内容に誤りのあるときは訂正等を行い、法律上の義務に違反する取扱い（目的外利用（法16条）、不適正な取得（法17条）、本人同意のない第三者提供（法23条１項））については利用停止等を行わなければなりません。

このように、ITの進化や環境の変化などとともに個人情報保護はより厳格に取り扱うべきものとなっています。

マイナンバーの取り扱いに限らず、個人情報は全てにおいて細心の注意を払って取り扱わなければいけません。

されますが、そのマイナンバーの整備を外部委託する際には注意が必要です。

皆さん、こんにちは。

業務コンサルタントの高橋です。

中小・零細企業においては大手企業ほどマイナンバー制度に対して投資をできる

余裕がありません。

その際、マイナンバーの整備に関して外部委託するところが増えてきていますが、

委託先のセキュリティは大丈夫でしょうか？

今回の特定個人情報においては、従来の個人情報にあった５，０００名以上の

情報保有の場合のみ発生する『個人情報取扱事業者』としての厳格管理とは違い、

件数に関わらずマイナンバー法で各種義務が発生します。

また、それを委託した場合において、委託先でトラブルが発生してしまった場合、

委託先の責任だけでは済みません。

委託元は、委託先を監督する義務が有るため、監督責任を問われることになります。

委託先は事務所全体に警備会社のセキュリティがかけられていますか？

スタッフルーム内へはIDカードなどでのセキュリティ認証が行われていますか？

預り書類を保管するキャビネットは鍵がついているものでしょうか？

コンピュータのセキュリティはどうなっているのか聞かれましたか？

などなど、委託先が何故安全であるか？の確認を行った上で委託先を決める

べきであって、『マイナンバーの整備を請負います！』といったような表面的な

謳い文句だけの業者であるか否かをよく見極める必要性があります。

トラブルに巻き込まれる前に、よく考えた上で外部委託を検討してください。