プライバシーマークとは
一言でいうと
消費者・お客様が、自分の個人情報を安心して提供できる企業・団体であることの「証明書」がプライバシーマークです。
その基準はJISQ15001であり、そのレベルに達している場合にプライバシーマークが付与されます。
どうやったら取れるの?
プライバシーマークの使用を認める(一財)日本情報経済社会推進協会(略称:JIPDEC)の認定を受けます。
そのためには、JIPDECが指定した「審査機関」の認証を受ける必要があります。
なお、二年に一度、そのレベルが維持されているかどうかの審査を受け、更新していきます。
JaGraで取得することのメリット
- 1. JIPDECが認めた18審査機関のひとつ
- JaGraは、JIPDECが認めた18審査機関の一つです。
- 2. 業態を熟知している役職員審査員が、新規取得と更新の審査
- 業態を熟知している6名の役職員審査員が、新規取得と更新の審査します。
この業界の環境や諸条件を熟知した審査員が公正な判断をすることに意義があります。 - 3. 個人情報関連の情報提供や研修会も開催
- 審査業務のみならず個人情報保護、情報セキュリティ等について必要な情報が逐次提供され、研修会も開かれています。
- 4. 苦情・相談は、東グラが貴社と一緒に解決
- お客様からの苦情・相談には、東グラが個人情報保護法に基づき貴社と一緒に解決にあたります。
プライバシーマーク取得のメリット
信用の増大→取引の拡大
プライバシーマーク制度は、BtoC対消費者だけではなく、実際はBtoB顧客との取引の信用・信頼の証しという性格が強くなっています。
あなたの取引先がプライバシーマークの付与事業者であった場合、その取引先は、委託先であるあなたへの監督責任として、個人情報保護の安全性等を担保できているかどうかを必ず調査しています。
一方、取引の最初の段階でマークの有無を確認されるケースも増えてきているのです。官公庁の入札においても、プライバシーマークを条件にするものが年々拡大しています。
これらの委託契約も、あなたがプライバシーマークを付与されていればスムーズに運びます。
取引の拡大のためにこそ、プライバシーマークを活用しましょう。
事故の防止、そして被害拡大の防止
過去の情報漏洩の例を見ても、その犠牲は多大なものであり、情報が悪用され、その責任が膨大に拡大する危険もあります。
情報漏洩の防止のために、プライバシーマークは明快な遵守事項を示してくれます。
また、万が一事故を起こした場合も、緊急時対応手順やルールを定めているため、二次被害防止、早期解決・信頼回復が容易になります。
ITの時代を生き抜く強い従業員の育成を
取得に当たっての従業員教育、そしてその教育を定期的に実施する。内部監査の実施、代表者の見直し=PDCAサイクルによって、従業員の意識の向上、社内環境の整備、安全性の確保がなされるという効果を生みます。つまり事業者にとっては、ITリテラシーの高い従業員による社会の流れに即応した事業展開、それが継続されることが保証されるのです。
プライバシーマーク取得についてお問い合わせはこちらから
お問い合わせ個人情報保護の基本的な遵守事項
プライバシーマークの基準であるJISQ15001は具体的にどんな内容なのか、その概要を説明します。
1.安全管理の概要
安全管理については、これで充分という基準はありません。
ここでは、個人情報あるいは機密情報の「取得」、「移送・送信」、「利用・加工」、「保管・バックアップ」、「消去・廃棄」の各局面に応じたリスクとその対策の一端を紹介していきます。
取得の局面
- 外部のWebサーバを使う場合は、取得データを暗号化します
- データセンタなどを用いてWebサーバに個人情報を取得する場合は、データセンタの従業者などに内容を見られるリスクがあるため、データを暗号化しましょう。
- お客様ご本人にWeb等からデータ入力(重要なデータは再入力)してもらいます
- 自分で入力することによる誤入力のリスクを回避するため、本人に直接入力してもらいましょう。
- Webから取得したデータへのアクセスは、端末と担当者を制限します
- Webシステムにより取得したデータは、サーバ上に蓄積され、そのデータに不正アクセスされるリスクを回避するため、アクセスできる者は必要最小限の従業者に限定し、また、アクセスできる端末を限定しましょう。
- Webで取得する環境ではSQLインジェクション*1やクロスサイトスクリプティング(XSS)攻撃*2への対策を講じます。
- Webで個人情報を取得する際には、事前に外部からの攻撃への対策を講じましょう。
*1 SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことです。
*2 クロスサイトスクリプティング(XSS)とは、Webサイトへの有力な攻撃(ハッキング)手法になり、簡単にいうと「他人のWebサイトへ、悪意のあるスクリプトを埋め込む」ことです。
移送・送信の局面
- 通信経路はSSL*1やVPN等でデータを暗号化する、あるいは専用線にします
- オープンなネットワークでは盗聴のリスクがあるため、送信するデータの重要度に合わせて送受信するデータは暗号化する、あるいは盗聴のリスクの少ない専用線を利用しましょう。
*1 SSL(Secure Sockets Layer)とは、インターネット上でデータを暗号化して送受信する仕組み(プロトコル)です。個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ~PC間での通信を安全に行なうことができます。
- 重要なメールについては、宛先を複数人で確認してから送信します
- メールに添付するファイルにはPW(パスワード)を設定、かつ暗号化します
- メールの誤送信や盗聴により、第三者が添付ファイルを取得しても利用できないようにPWを設定、かつ暗号化しましょう。
- リモートアクセスさせる場合は、複数の認証機能(具体的な装置等を記述)を設定します
- 成りすましを防止するため、複数の認証機能により本人確認を厳格に行いましょう
- 知らせる必要のない者同士でメールアドレスが漏えいするため、BCCの機能を使います
- メールソフトの送信前確認機能を設定します
- メールアドレスや内容の間違いは、送信直後に気づく場合が多いために、送信前確認機能を利用しましょう。
利用・加工の局面
- データの操作場所には許可していない媒体(電子媒体、カメラ、スマホ等)を持ち込みません
- データのコピーを盗られないようにするため、許可していない媒体は利用場所に持込ませないようにしましょう。
- セキュリティパッチやウイルス対策ソフトのパターンファイル等は随時更新します
- パッチやパターンファイルは随時更新し、不正アクセスやウイルス感染に対するリスクを低減しましょう。
- システムのログを取得しておき、万が一の際に追跡できるように保管しておきます
- ID・PWは共有させない
- どの社員が利用したのか特定できなくなるため、IDは共有しない。また、どのIDでも利用できるようにしないため、PWは共有しないようにしましょう。
- PWを付ける際には、長さ、使う文字種などを規定に基づいて設定します
- 総務省からは、英数記号混合で10ケタ以上ならば変更の必要はないとしています。
- アクセス権限は適切に設定し、定期的に見直します
- ユーザには必要以上の権限を持たせないようにするため、アクセス権限は適切に設定し、定期的に見直しましょう。
- ID・PWは他人に容易に知られないよう本人が管理します
- 他人に知られないようにID・PWは自分自身で管理しましょう。
- データの削除・消去・誤り等を戻せるようにするため、データを戻せる仕組みを持たせます
- 重要な操作を行う際には、誤操作をシステムで防止する仕組みを持たせます
- 重要な操作には異なる認証機能を持たせます
- 成りすまし防止や意思の確認を確実に行うため、重要な操作を行う際には、異なる認証を実施しましょう。
- 重要な操作をしたときは、上長にいつ、誰が、何を行ったのかの記録を残します
- 離席時はPC画面をロックする、ログオフする、PW付スクリーンセーバーを起動する等、第三者による盗み見や成りすましを防止します
- サーバとのセッションを切る、端末を操作できないようにする、表示画面を見えないようにするなどの対策を行いましょう。
- リモートアクセスさせる場合は、複数の認証機能(具体的な装置等を記述)を設定します
- 複数の認証機能により本人確認を厳格に行いましょう。
- 無線LANを利用する時は、安全性を有する仕組みを導入します
- 無線LANを利用する時は、ネットワークワークを切り分ける、安全な暗号方式を装備している装置を使いましょう。
保管・バックアップの局面
- 可用性リスクのためRAID技術(ミラーリング、分散記録等)を使います
- 障害時でも業務の継続性を維持するために、RAID技術でデータを保持しましょう。
- データにはPWを設定する、もしくは暗号化します
- ファイルの中にどのような個人情報があるのかを見られる、あるいは盗まれて利用されることを防ぐため、PWの設定、もしくは暗号化の措置をとりましょう。
- ログを監視します
- データにアクセスした記録を取り、不正アクセスが無いか監視しましょう。
- バックアップは十分復元可能な世代分を取得します
- データの毀損やウイルス感染した場合の復旧のため、必要な過去の時点に戻れるように世代管理しましょう。
- 作業者が行ったことを第三者が確認します
- 確実に廃棄されたかどうか、第三者が確認するようにしましょう。
- バックアップから復元する手順書を作ります
- バックアップデータを迅速かつ適切に復旧し、事業を継続できるよう手順書を整備しましょう。
消去・廃棄の局面
- 完全に復元できない方法で消去を行います
- データを復元できないように、専用のソフト等で確実に消去しましょう。
- 確実に廃棄されたかどうか、第三者が確認するようにします
- チェックデータ等は作業終了後に消去します
- 作業中に作成したチェック用のデータ等の消去は忘れがちであるため、忘れずに消去しましょう。
- 誤操作しないように複数回確認します
- 一度に大量のデータを消去できるため、操作する前に自身で複数回確認しましょう。
- 誤操作してもデータを戻す仕組みがあります
- 誤操作して消去しても、一定時間内であればその操作を取り消すことができる仕組みを作りましょう。
- 廃棄記録をとります
- いつ、誰が、どのような個人情報を廃棄したのか、後で追跡できるように記録を取りましょう。
- 設備を外部に委託している場合は、消去記録(消去証明書を含む)を取ります
- 漏えい等のリスクを回避するために、外部の専門業者に消去業務を委託する。委託に際しては消去記録(消去証明書を含む)を取りましょう。
2.プライバシーマーク付与事業者が守る10の約束
プライバシーマーク付与事業者は、個人情報の適正な管理と活用を行う努力(約束)をしています。その内の10項目を取り上げます。
- 個人情報を取得する際には、その利用目的などを通知します。
- 利用目的などについて本人の同意がなければ個人情報は取得しません(直接書面などで取得する場合)。
- 本人と交わした約束通りに個人情報を利用します。
- 利用目的などを変更する場合は、事前に通知し、同意を取り直します。
- 個人情報の開示、訂正、削除、利用の停止などの求めがあればそれぞれの手続きの要件に基づき、対応します。
- 取得した個人情報を安全かつ正確に管理します。
- 他社に個人情報の取扱いを委託する場合は、自社と同等の個人情報保護体制ができている事業者を選びます。また委託している間は、適正に管理と監督を行います。
- 他社から個人情報の提供を受ける場合には、適正に取得したものかをあらかじめ確認します。
- 問合せや苦情などに迅速に対応します。
- 「個人情報保護方針」や「個人情報の取り扱いについて」などをホームページなどで公表します。
また、プライバシーマークは個人情報保護法よりも厳しい基準を設けております。
- 直接書面取得の場合は本人の同意を必要とします。
- 同意なく取得した個人情報を利用して本人に連絡又は接触する際は、取得方法を通知した上で、その利用について本人の同意を得ます。
- 本人から利用停止などの求めがあったときは、原則として応じます。
- 一時的に保有しているに過ぎない個人情報についても開示などの請求に対応します。
また、プライバシーマークは、事業者が個人情報保護について一定以上の水準にあることを客観的に証明します。 - 組織的に管理・運用する仕組み(マネジメントシステム)であることの証明です。
- 第三者による審査によって客観的な評価を受けています。
プライバシーマーク取得費用
プライバシーマーク料金表【新規申請の場合】
事業者規模 | 小規模 | 中規模 | 大規模 |
---|---|---|---|
申請料 | 52,382円 | 52,382円 | 52,382円 |
審査料 | 209,524円 | 471,429円 | 995,238円 |
付与登録料 | 52,382円 | 104,762円 | 209,524円 |
合計 | 314,288円 | 628,573円 | 1,257,144円 |
小規模:従業者20人以下
中規模:従業者21人以上
大規模:JaGra会員企業に該当社はおりません。
プライバシーマーク料金表【更新申請の場合】
事業者規模 | 小規模 | 中規模 | 大規模 |
---|---|---|---|
申請料 | 52,382円 | 52,382円 | 52,382円 |
審査料 | 125,714円 | 314,286円 | 680,952円 |
付与登録料 | 52,382円 | 104,762円 | 209,524円 |
合計 | 230,478円 | 471,430円 | 942,858円 |
情報漏洩の恐ろしさ
(独法)情報処理推進機構(略称:IPA)では2019年3月に2年振りに「中小企業の情報セキュリティ対策ガイドライン 第3版」を改訂、発行しました。
同パンフレットを参考に『情報セキュリティ対策の必要性』に対する理解を深めるために、対策が不十分なために起きる事故と、それにより企業が被る主な不利益を説明します。
自社で起きかねない情報セキュリティ上の事故とは何か、どの業務にそのような心配があるか、経営上、最も懸念される事態は何か、などを具体的に思い描くことが、経営者が情報セキュリティ対策を認識する第一歩です。このような思考実験が経営者によるリスク認識の基礎となります。
起こりうるリスクは次の三つです。
以下説明していきます。
1.金銭の損失
取引先などから預かった機密情報や個人情報を万一漏えいさせてしまった場合は、取引先や顧客などから損害賠償請求を受けるなど、大きな経済的損失を受けることになります。
一方、こうした損害賠償などによる損失だけでなく、インターネットバンキングに関連した不正送金やクレジットカードの不正利用などで直接的な損失を被る企業の数も増えています。
事例1. ウイルス感染で数日間業務が停止し、数千万円の被害が発生
(所在地:東京都/業種:情報通信業/従業員規模:101 ~ 300 名)
社内のパソコンやサーバがウイルスに感染し、数日間に亘った業務停止に至る障害が発生した。復旧のために徹夜で対応したが、その間の会社としての被害額は推計で数千万円に上る。
原因は、被害が発生するまで、セキュリティ対策ソフトを全く導入していなかったことである。
その後、同社はウイルス対策ソフトや技術的な対策の導入、情報セキュリティ規則の制定、プライバシーマークやISMS 認証取得に取り組み、再発防止に努めている。
2.顧客の喪失
重要な情報に関する事故を発生させると、その原因が何であれ、事故を起こした企業に対する管理責任が問われ、社会的評価は低下します。同じ製品やサービスを提供している企業が他にあれば、事故を起こしていない企業の製品やサービスを選択する顧客が増えるのは自然なことであり、事故の発覚直後には大きなダメージを受けることになります。
大手メーカーのサプライチェーンに位置する企業の場合は、これまで継続してきた受注が停止に追い込まれることにもなりかねません。事故を起こした企業は再発防止に努め、事故を起こさずに事業を続けていくことが必要ですが、低下した社会的信用の回復には時間を要するため、事業の存続が困難になる場合もあります。
事例2. 顧客情報の入ったパソコンの紛失事故により取引先の信用を失墜
(所在地:東京都/業種:情報通信業/従業員規模:101 ~ 300 名)
従業員が顧客情報の入ったパソコンを持ち出した時に、紛失事故が発生した。顧客に対して、紛失の報告をしたが信用を失うこととなった。原因は、会社として情報セキュリティに対する意識が高くなかったため、持ち出しに関する明確なルールや手続きを定めておらず、従業員がパソコンを自由に持ち出せる環境であったことである。その後、情報機器の暗号化などの対策を実施するとともに、パソコンの持ち出しルールを含めた情報セキュリティ規程を整備して、従業員へ情報セキュリティ教育を行った。
3.業務の停滞
日常業務で使用している業務システムに事故が発生すると、原因調査や被害の拡大防止のために、運用中の情報システムを停止したり、インターネット接続を遮断しなければならないことがあります。その結果、電子メールが使えなくなるなど、業務が停滞し、納期遅れや営業機会の損失が生じるなど、事業全体に影響が出てしまいます。
事例3. ウイルス感染により基幹システムが一週間停止
(所在地:静岡県/業種:製造業/従業員規模:51 ~ 100 名)
従業員がメールに添付されていたウイルス付きのファイルを不用意に開いたことで感染し、基幹システムで障害が発生した。システムベンダーの協力を得て障害対応を行ったが、復旧するまでの一週間、基幹システムが使用できなくなった。原因は、不審メールを受信した際の対処方法を詳しく教育していなかったことである。その後、朝礼などを利用して従業員へ情報セキュリティ教育を行うとともに、迷惑メール除去ツールを導入した。
プライバシーマーク取得についてお問い合わせはこちらから
お問い合わせ