8/28/2007
ECOM(次世代電子商取引推進協議会) の調査レポートです。
HP上におけるプライバシーポリシー表記内容の目視調査結果について
企業におけるプライバシーポリシーは、自己表明ですので、その内容が正しいかどうかや実際に運用されているかどうかは、一般消費者からは分りません。しかしながら、その企業が個人情報について意識しているか・いないかは判別することができます。
この手のポリシーは、ひな形などを入手することは比較的容易ですので、掲載すること自体は難しい作業ではありません。しかし、いろんな企業のポリシーを見ていると、やはり、その企業の姿勢が見えてくると感じています。
一般消費者の方によく見ておいていただきたいポイントとしては、
1. 個人情報の利用目的が明確に描かれているか (理解できるか)
2. 共同利用や第三者提供について記載があるかどうか
もし、提供等を行うと記載されている場合、顧客に対して同意を得るプロセスがあるか
3. 苦情問い合わせ先があるかどうか
となります。
特にクレジットカード認証などを行う場合や、高額商品の購入などの場合の個人情報については、気をつけてみる必要があります。
事務局長 久保田
8/27/2007
私の個人的なことなのですが、自宅で PLC(高速電力線通信) を利用しはじめました。BL-PA100/PA100KT です。
ADSL で、電話線口が変な場所についているので苦慮していたのですが、これで解決です。
パナソニックさんの HP によると、
"AES 128bit暗号技術※1を採用。安全で信頼性の高い通信が確保できます。暗号設定もパソコンを使わずに、簡単な操作で完了します。" とのことですので、ひとまず安心です。
私の自宅では、無線 LAN は使っていないのですが、家の周りには無線LAN用電波が飛び交っています。もちろん、セキュリティパスワードがかかっており、利用はできません。利用する際には気をつけないといけませんね。
日本において、ブロードバンド世帯普及率が 50% を超え、ネットカフェや Hot Spot など、誰でもどこでもインターネットを利用できるようになりました。
"便利さ" ばかりに目がいきがちですが、自分のプライバシーは自分で守れるようにしなければなりませんね。
[参考]
個人情報流出防止 :警視庁
事務局長 久保田
8/20/2007
経済産業省主催の説明会です。入場無料です。
詳細は イベント・行事(METI/経済産業省) をご参照ください。
経産省から直接説明を聞けるのは良い機会です。
法律、各種ガイドラインを誤解釈しないためにも、直接、その見解を聞くことも重要だと考えています。
ということで、私も申し込みました。
事務局長 久保田
8/13/2007
皆様、こんにちは。
私は少々、夏バテ気味ですが、皆様はどのようにお過ごしでしょうか?
さて、
毎日のようにノートPCの紛失や、ファイル共有ソフトによる情報漏えいの事件が報道されています。
その度に、自分がそのような事を起こしてしまったらと考え、身を引き締めています。
まず私はニュースを確認し、保有個人情報 簡易算出ツール を用いて、その情報の額を試算します。
1000 件を超えるような量で、且つ、機微(センシティブ)情報が含まれている場合、軽く 1000 万円を越します。もし、このような情報をノートパソコンに保存し、持ち運んでいるとすると、1000 万円の現金を持ち運ぶのと同等と考えています。
現金の場合、セキュリティを配慮しないまま持ち運ぶことは無いと思われます。ノートPCなどの携帯端末も同様であると、私は考えています。
外回りの業務の方は、ビジネス上、どうしても顧客情報を携行しなければならない事もあると思います。
最低限、パソコンのロック、該当ファイルの暗号化を忘れずにお願いいたします。
[参考情報]
Microsoft Windows Vista: 機能の説明: Windows BitLocker ドライブ暗号化
事務局長 久保田
8/9/2007
(8/9 2 回目の投稿となりますが、被害の拡散を防ぐため、このような情報は広く周知することも重要と考えております。)
振り込め詐欺:61回3775万円被害 埼玉の男性会社員-事件:MSN毎日インタラクティブ
非常に悪質な例です。
個人情報保護法における利用停止に関わる条項を無視した、若しくは、単純に被害者本人に対し不正な事由で金品を請求する詐欺行為と考えられます。(事件の詳細がわかりませんので、どのような罪状となるのか断言できませんが)
この報道を通して、覚えておきたい点は以下となります。
- 個人情報の利用停止措置
不正取得・利用された個人情報について、企業は遅滞なく利用停止をしなければなりません。
- 個人情報保護法 27条など
- JIS Q 15001:2006 3.4.4.7 - 手数料
利用目的の通知、開示については、本人から手数料を徴収できることとなっています。
個人情報保護法では、「実費を勘案して、合理的な範囲」と決められています。
”個人情報 手数料” などのキーワードで、各社の手数料が検索できます。概ね300円~1000円ぐらいのようです。マイクロソフトでは手数料はいただいておりません。
- 個人情報保護法 30条など
怪しい電話がかかってきた場合は、自分からは情報を提供せず、まずどのようにして自分の個人情報を入手したのかを聞き、次に利用停止を要求する事が大切です。
相手が悪質な業者である場合、脅迫や押し切られる形で金銭を要求されることもあると思われます。そういった場合は、まず、冷静に法律で定められている事項を検討し、国民消費者生活センターなどに相談されるのが良いでしょう。
事務局長 久保田
経済産業省からの発表です。
情報システムの信頼性向上のための緊急点検結果と今後の対応について
その中で私が気になった点は、BCP (Business Continuity Plan) です。
今回の結果によると、(以下抜粋)
事故や災害など不足の緊急事態に陥った場合、重要業務が中断しない、あるいは最小限の被害にとどめて事業を継続するための事業継続計画(BCP:Business Continuity Plan)が、約31%の企業で不十分。
ということです。
BCP であり、DRP(Disaster Recovery Plan) でもあるのですが、社会の基幹となっている業務であればある程、その重要度が増してきます。 Plan の有無だけで、実際に遭遇した場合の混乱具合が違ってくることは明白です。
社会に対しても、勤務している従業者の安全確保についても、経営者は真剣に考えていかなければなりません。
マイクロソフトにおいても、自社はもちろん、業務委託先企業の安全体制についても契約前に確認しています。書類だけでも膨大な量となるのですが、
以下のマイクロソフトのサイトにて、一般的なリスク管理について紹介しています。
セキュリティ リスク管理ガイドの概要
> セキュリティ リスク管理ガイド : 付録 C: 一般的な脅威
リスク管理の第一歩として、チェックシート的な使い方をしてもらえればと思います。
事務局長 久保田
8/8/2007
今ではビジネスでもプライベートでも欠かせない携帯電話。
その中には多くの情報が含まれています。連絡手段としての電話番号、メールアドレスはもちろんのこと、写真、予定表などが保存されています。
もちろん、それらの中には個人情報も含まれています。
先日、JISA から携帯端末の紛失等についての通達がありました。
個人情報に係る事故等のJISAへの報告について
ちょっと抜粋します。
- 個人情報を社外に漏洩した場合、または漏洩したおそれがある場合
- 個人情報または個人情報を含む情報システム機器(パソコン、記録媒体、携帯電話など)を紛失した場合、または盗難に遭った場合 *1/*2
- 個人情報が不正使用された形跡がある場合、または不正使用されたおそれがある場合
- 委託先業者で上記1.~3.の事例が発覚した場合
マイクロソフトにおいては、ローカルのパソコンには個人情報は保存しないというルールで行っておりますが、携帯電話については、保存しないと用をなさなくなってしまうこともあるため禁止にはしていません。
そこで、可能なかぎりテクノロジーで解決できるようにしています。
Exhange Server 2007 のリモートデバイスワイプ機能を使うというのが、一例です。
技術的なことは、以下のページを見てもらうとして、
http://technet.microsoft.com/ja-jp/library/bb124591.aspx
実際問題どういうことになっているのかといいますと、
携帯端末を紛失した場合、メールサーバーから削除指令を出すというものです。
その指令は、自分自身で行うことができます。
以下は Outlook Web Access (OWA) での画面です。OWA はインターネットの SSL 通信で自社のサーバーに接続できる機能です。
この画面で消去を実行すると、本当に削除されてしまいます。
おかげさまで、幸い、この機能を実際に使ったことはありません。一生、使わない機能でありたいものです。
注: この機能を使うには、携帯端末も Windows Mobile で、MSFP (Messaging and Security Feature Pack) に対応している必要があります。
事務局長 久保田
8/6/2007
皆様、こんにちは。
個人情報保護の仕事というと、個人情報保護法やプライバシーマーク(JIS Q 15001:2006) のみ参照すれば良いよいように思われがちなのですが、それ以外にも多数把握しておかなければならない法令があります。
そのうちの一つが、特定電子メールの送信の適正化等に関する法律 いわゆる 特定電子メール法 です。
総務省が 迷惑メール対策 というページを公開しておりますので、一読いただければ参考になるかと思います。
この10年のインターネット普及に伴い、電子メールの利用法についても、そのあり方が変わってきました。
電子メールアドレスの所持者が少ない頃は、アドレスを外部に一般公開している方も多く見受けられました。これは電子メールに限らず、メッセンジャーもそうでした。自ら立ち上げたホームページの連絡先欄に、何の疑念もなく、メールアドレスを掲載し、見た方も何の疑念もなくメールを送るといういう文化が成り立っていました。 E コマース、IT 上でのオンライン広告が隆盛になり、B to C のメールの流れができたころから、やはり、犯罪も目立つようになり、自ずと連絡先も秘匿し、守備意識のために身分を偽り、といったスパイラルになってきました。
昨今は、Social Networking Service (SNS) が流行っています。当初は限られた輪の中でということで、実名公開されている方も多くいましたが、広がるに連れて、やはり匿名性が高いものと変容してきています。
匿名じゃなければ発言できない、実名だと発言しにくい、といった風潮になってきているのも事実で、良くも悪くも解決していかなければならない課題でしょう。
さて、皆さんはどのぐらい迷惑メールを受信しているのでしょうか?
私が個人で利用している Hotmail は、確かに迷惑メールも来ますが、いつ申し込んだのか覚えていないメールマガジンや、一度利用した通販会社からのDMやら、迷惑なのか・自分で購読しているのかよく分からなくなってしまっているものが多数あります。 "迷惑なのか、そうじゃないのか、自分でも判断できない" というのが正直なところで、つくづく、自身の管理能力のなさにあきれる次第です。
一方、会社のメールアドレスについては、会社側のサーバーでかなり弾いているため、迷惑メールがまったく入ってきません。
プロバイダーによっては、迷惑メールフィルタの機能を付加させているところもありますので、有効に活用して、迷惑メールによる無駄な時間は無くしていきたいですね。
事務局長 久保田
8/2/2007
皆様、こんにちは。
東京では暑い日が続いております。
社団法人コンピュータソフトウェア協会 (CSAJ) がプライバシーマーク付与認定指定機関の12番目の機関として認定されました。 8/1 から審査業務を行っているとのことです。
詳細は CSAJ/Pマーク審査 をご参照ください。
マイクロソフトの付与番号は、B820219(02) です。
この番号の先頭の数字が審査機関となりますので、以下の一覧を見ていただければ、お分かりいただけると思います。プライバシーマーク制度 - 指定機関情報:指定機関一覧
それぞれの産業分野によって、ビジネスにおける個人情報の扱いの性質が違いますので、それぞれに合わせた適切な審査が必要です。
明日、3 回目の更新手続きをしてきます。
事務局長 久保田
Tools 
