取得企業の担当者、コンサルタントの方、取得したい社長さん・・・
情報交換しましょう!
∧ ∧
(*‘ω‘ *) ちんぽっぽ
( )
v v
(⌒⌒)
ii!i!i ドカーン
ノ~~~\
,,,,,,,/´・ω・` \,,,,,,,,,,
個人情報を漏らしても、「大手企業ならおk」「次がんばろうね」じゃんwww
プライバシーマーク認定のJIPDEC、大日本印刷に「改善要請」処分
ttp://internet.watch.impress.co.jp/cda/news/2007/03/26/15186.html 他にも、インターネット安全・安心マークもあるが
ttp://www.isp-ss.jp/ 株式会社ケイ・オプティコムの更新審査の検討経緯等について
ttp://www.isp-ss.jp/info/opti_shinsa.html などスカスカ
受託システム開発屋
先頃世間を大騒ぎさせた仕事じゃないけど、○日本印刷の仕事(下請け)はしたことがある。
プライバシーマークなんて持ってないけどね。
お詫びに配布するらしいよ。エライコッチャ・・・
組織の規模が大きかったりすると
許されるんだな
なんだそりゃ
元請けは痛まない… 下請けにそのまま負担させるだけだよ。藻前の問題なんだから…ってね。
だから、大きな会社の下請けは避けるべし。
>9 のケースなら40億以上?(中小企業なら破産だな)
主語ぬけてスマン。
どの程度、コンサルに仕事をして貰うかによる。
どの程度の仕事量をコンサルをお求めで?
設定とかは自分でやるから、合格への指針とかマニュアル作成とかを
してもらいたい、っていうくらいのコンサル代金。
Pマークで設定って何よ??
ISO 会社で取ってる?ドキュメントはどの程度あるの?
(すでにあるドキュメントを精査するのと1から作るのでは大きく違う)
もし何にもなくて0から作るんだったら、最低でも 2人*6ヶ月*120-250万 程度かかると思うが。
漏れなら(規模や現状・範囲によって変わるけど)最低でもこれくらいで見積もると思う。
もちろん会社の規模によって期間が変わるし、依頼した会社によって単価も変わる
あと、教育をどうする?監査は?といったことも任せるかどうかとかによっても変わるわな。
ISO27001も2000社超だってさ。
けっこう浸透してきたな。
漏れには、7000社(2000社)しかないのか・・・ と思う。
逆に言えば、こんな意味も無いものを7000社も取ったともいえる。
ゴールはまだ先か
DTP版 プライバシーマーク
ttp://society6.2ch.net/test/read.cgi/koukoku/1133611308/l50
広告業界版 Pマーク
個人情報保護法ってどうよ?
ttp://school7.2ch.net/test/read.cgi/shikaku/1069652467/l50
ネット上での個人情報の無断公開について
頑張れ!!
プロジェクトの期間、どのくらいでやってます?
ありがと!
去年の6月にキックオフしますた
秋口にはゴールしたいです
もういいやw ノウハウもらったからっていうことかな?
逆に言えば、取ってしまえば勝ちとも・・・。
何浪しても東大卒は強いのと同じか。
派遣業界板 個人情報緊急事態
地方にも審査団体が設置されつつあるからさらに増えそうだ。
これで申請後の待ち期間も短くなりそう。
中堅・中小は早めにPマークを取得しないとだめだね。
大手等の内部統制準備完了
↓
取引先にも体制整備を要求
(Pマークの取得が手っ取り早い)
↓
情報管理の甘い取引先アボーン
持って無くても、意識と徹底がされていて既存顧客から信頼されていれば関係ないな。
個人情報を企業へ預ける際、プライバシーマークの取得やプライバシーポリシーの掲示といった取り組みを評価する消費者が6割以上にのぼることがわかった。
シナジーマーケティングが、消費者2201人を対象に2007年1月から2月にかけて実施した「CRM実態調査」により判明したもの。企業へ個人情報を預ける際、評価する取り組みとして「プライバシーマークの取得」を評価するという声は、64.9%にのぼり、トップだったという。
また、プライバシーポリシーの掲示も63.7%と高い割合を示した一方、口頭による説明は16.2%と低迷し、大きな差が現れている。また専門の問い合わせ窓口の設置を評価するという声も34.7%と低い値だった。
同社では、クレジットカードなどセンシティブ情報を扱う場合、プライバシーマークの有無が消費者の購買を左右すると指摘。さらにB2Cはもちろん、B2Bでもプライバシーマークの有無が取引に影響を与えるjケースがあるとして必須課題になりつつあると分析している。
シナジーマーケティング
ttp://www.synergy-marketing.co.jp/ ttp://news22.2ch.net/test/read.cgi/newsplus/1182433680/
どさくさに紛れて総務省が「ビッグ・ブラザー」化している
ttp://amesei.exblog.jp/d2007-06-20 仁義なきキンタマ ウイルス情報 Part55
ttp://tmp6.2ch.net/test/read.cgi/download/1182376442/534
であって、個人情報等のセンシティブ情報を守る手法ではないから
実は、あんまり意味ないよね。
ただのお守り
コンサル会社を探している最中ですが、取扱会社が多数あり、
取得までの費用も80〜250万前後と幅広いですね。
とりあえず何社か資料請求・・・。
既に取得された企業の皆様は、どういった理由・経緯でコンサル会社を選びましたか?
1.近くで営業していてすぐ来てくれる
2.取得実績
3.コンサルタントの経歴
4.アフターフォロー
5.金額
こんなところかなー。
経験から安すぎるところは怪しいと思われ。
ありがとうございます。
所在地はあまり重要視してませんでしたが
近くに会社があるというのは、確かに安心ですね。
各社のHPを見ていると、取得実績やフォローについて書いてあるところもあったので
その辺もポイントにして探してみます。
現実問題として取得費用は重要なとこですが
維持管理に手間暇がかかるような書類を作ったり、
併せて色々購入させるのに熱心な会社に当たらないか
気をつけて検討します。
コンサルはしょっちゅう代わるし(辞めるし)、営業も辞めるしいかにも素人
といった感じ。
もともとはリサーチ会社でそれが本業。
維持面倒だな・・・
ヨカタナ!!
取れたのはいいんだけど、俺はその会社を年内に辞める予定ですw
引継ぎは当然するとして、今後の自分のキャリアのために
個人情報保護士の資格を取っておくか迷ってるんですが
職歴に「Pマーク取得の担当してた」みたいな事を書いたほうが
個人情報保護士の資格よりも強いですかね?
すぐに辞められると困るよね。
新しいコンサルがまるでダメだった。
以前のコンサルと個人的に付き合いがあったから、乗り換えたかったけど、
予算の関係上あきらめた。
本業はベンダーの会社だったから、人材の層が薄いみたい。
質問にろくに答えられない香具師は氏んでくれ。
このコンサル会社って、カタカナ文字3文字っしょ?
以前営業が来て(どうしてもお伺いしたいというので、しようがなく)、
話しをしていったが、自分でも理解できていないのがあからさま。
訪問するのに遅刻してくるは、ろくな話しもしないわ、で。
そこが見えるからそれ以来、無視している。
うちの会社も来年取得予定。
もちろんバルクには頼みませんが
コンサル契約締結寸前でやめた。本当、やめてよかった。
が囁かれるコンサル(リサーチ)会社ですよね。
そして特別に指示を受けることなく棒読み内容を審査の時に羅列させるだけ。
はっきりいって小学生にも出来る仕事。
こんな手抜き仕事しまくりのせいでクレームがバンバン来てる。
顧客も次々にまともなコンサル会社に蔵代えしてる。
ここより遥かにマシなコンサル会社は山ほどあるからね。
ただ単にパイオニアだったというだけで、中身はグズグズ。
本業はリサーチ業。リサーチ会社。
ttp://news21.2ch.net/test/read.cgi/bizplus/1188870141/
開催するごとにレベルの低さを露呈。
よって各企業はコンサル会社の選定を、株式会社バルク(品)以外の
コンサル会社からに。
他社を優位に立たせてくれる、マヌケな企業れす。
1年あれば取得できると考えていいのか?
半年くらいで取得した会社とか無いの?
審査団体の都合で待ち期間が発生するので、1年くらいはかかると
思ったほうがいいと思います。
ただしJIPDECから委託されている審査団体が増えてきたので、
団体によっては早く合格できるところもあるかもしれません。
順調に改善されているとのこと・・・。
2年前の個人情報保護法全面施行の大量申請の波が再び押し寄せてきた。
旧JIS認定事業者は今のうちに前倒し申請した方がいい。
ttp://privacymark.jp/news/20070302/ ttp://privacymark.jp/news/20071101/youryoukaisei_071101.pdf 今後、大日本印刷のような事故がおきると、ペナルティが課せられる。
よい傾向だな。。。
新たに設けられた「一時停止」は、「取消し」に至らない場合でも、欠格レベルが高いケースについて適用される措置。
従来は、欠格レベルが高くても付与認定の権利は保有したままとなり、マークを引き続き利用できたが、
改正後に「一時停止」を受けた場合、期間中は名刺やパンフレット、ウェブサイトなどでプライバシーマークを使用できなくなり、
認定されていることを表明できなくなる。
空欄部分に勝手に「P」とか入れる企業が現れたら笑えるww
審査員の質低すぎ。コンピュータのこと何も知らないのばかり。
マニュアル通りに適当にインタビューして、社内ぶらっとして終わり。
その日から時代の先端にいる優良企業の仲間入り!
ソフトバンクモバイルでWINNY流出
孫社長も毎度毎度大変だな
オンラインショッピングにおいて、個人情報の漏洩やクレジットカード番号の盗難など、
セキュリティ面で不安を感じているユーザーが約半数に上ることが、ウェブルート・ソフトウェアの調査でわかった。
不安要素としては、個人情報漏洩が約9割でトップだった。
同社が、過去1年間にオンラインショッピングを1回以上行ったユーザーを対象に実施した
「オンラインショッピングとセキュリティ」に関する調査で判明したもの。有効回答数は618件。
オンラインショッピングを利用する際、気になる点については「送料が高い」
「商品の実物を見て買い物がしたい」という回答に続き、「セキュリティ面に不安がある」とした
ユーザーが48.9%と約半数を占めた。「特にない」としたユーザーはわずか4.5%にとどまり、
何らかの不満や不安を感じているユーザーが多数を占めていることがうかがえる。
具体的な不安要素としては、「個人情報の漏洩」について89.5%が不安を感じると答え、
「クレジットカード番号や銀行の口座番号の盗難」が82.8%、
「ネットオークションやオンラインショッピングサイトのIDの盗難」が78.3%と続いた。
一方、「スパイウェアやウイルスの感染」に不安を感じると答えたのは75.7%で、
情報の漏洩や盗難より割合は低いが、実際に被害に遭った割合は16.7%ともっとも高かった。
また4%がオンライン詐欺の被害に遭ったと回答している。同社では、オンラインショッピング
を安全に利用するためには、セキュリティ対策ソフトの導入や信頼できる店舗を選択すること、
またクレジットカードの請求明細をこまめにチェックするなど、
十分な注意が必要だと呼びかけている。
漏えい事故を起こさないようガンガレ!
重要情報(カード番号とか本籍、病歴とか)の外部委託は原則禁止
の方向で経産省が検討中だって。来年2月から施行されるらしい。
あまりに情報漏えいが多いから遂に国が動き出したか・・・。
罰則強化で各企業のコスト負担増加は避けられないとのこと。
いよいよPマーク取得企業が強みを発揮する状況になってきたか。
強みも何も… orz
認証取得企業が漏洩した問題をすり替えているだけにしか思えんのだが。いい迷惑。
現場では、ますます仕事し難くなるだけジャン。発注する方も受注する方も。
規制が増える度に色々な負担がのし掛かってくる。本末転倒… orz.
「事件は現場で怒っているんだよォ!」
個人情報、外注先への提供制限 経産省が指針
ドコモショップ元店員 顧客情報を外部に漏洩
これからが大変だわ。
個人情報保護法ってどうよ?
時間返せ!ゴルァ!
安くあげたい企業
新規参入したいコンサルもどき
この両者の存在が問題を生むんだろうな〜
ttp://www.nikkei.co.jp/ps/jipdec2007/ 「2007 JIPDEC 個人情報保護に関する国際シンポジウム」
申請後本来なら、もう終了してもいい案件が1000件以上あるらしいよ。
新JISQになって、コンサルも審査員もてんてこまいだってさ。
自前でめちゃくちゃな規定作って申請するとこもあるから、当惑するんだろう。
自分のことくらい自分でできないんなら取るな、それで成り立たないなら廃業しろ。経産省へのお布施だ、ばか者。
格付.com とかないかな(笑)
徹夜だこりゃ。
対策漏れは仕方がない。後日指摘事項が大量に出るかもしれないけど粛々とこなせばいいだけ。
どうしても時間がなかったら、とりあえずどこがダメなのか把握しておくことと、対策と期限を聞かれたときに
即答できるようにしておくこと。
ただ、現地審査で辛辣なことをいわれることは覚悟した方がいい。
自分も対策漏れが直前に発覚して突貫工事で直したけど、審査員は突貫工事したことを簡単に見抜くよ。
誤って送信したのは、JTBパブリッシングが発行する「ノジュール」の定期購読者情報。1月21日にJTBパブリッシングへデータを送信する際、担当者の作業ミスにより、誤って同様に業務を受託している他社に送信してしまったという。
同社では、事故発覚後に誤送信先において担当者以外の閲覧やデータの複製、外部への持ち出しがないことや、データの消去を確認したという。また関連する読者へ書面で謝罪している。
凸版印刷
ttp://www.toppan.co.jp/ 大日本印刷関係者乙
だから、とんまでもコンサルに参入しようとする。
そして、指摘事項(特に現地審査の)くらって、
身の程を知る・・・クライアント泣き寝入り・・・。
ここを改善しないと、毎回同じことが繰り返されるな。
指摘事項も少なかった。
後はボロが出る前に退職するだけ。
社長がルールを守ってくれなくて胃が痛いっす。
昨年12月26日にお知らせしたJIPDECによる昨年11月のプライバシーマーク国際シンポジウムのサイト が公開されましたので、追記します。
各国の代表や、松下電器、ビックカメラ、大丸クレジットなどの企業の発表も掲載されていて、参考になります。
当初お伝えしたときは、新聞の全面広告しかなかったので、著作権の関係で、そのままスキャンして転載するわけにもいきませんでしたが、
サイトで公開されていれば、リンクは問題ありませんので、ご興味のある方はJIPDEC2007のサイト を訪問してみてください。
ちなみにJIPDECの会長の牧野力さんは、元通産省事務次官です。
2007年12月26日掲載:
Gポイントのサイトの下部に表示されているプライバシーマーク。
個人情報を適正に取り扱っている企業を示す信頼のマークです。
インターネット関連会社でも、このプライバシーマークを取得している会社は限られています。
このプラバシーマークは、経済産業省の関連団体の財団法人日本情報処理開発協会(JIPDEC)という第三者機関が認定するものですので、審査が厳しいからです。
先週12月20日の日経新聞にJIPDECによる全面広告が出されていましたが、JIPDEC主催で11月末に個人情報保護に関する国際シンポジウムが開催されたそうです。
日本のプライバシーマークは、アメリカのBBBOnline(BBBとはBetter Business Bureauの略です)や韓国のeプライバシーマークと相互認証を行っており、
日本でプライバシーマークを取れば、アメリカでも韓国でも同等の認証が受けられます。
このシンポジウムでは韓国、中国はじめ、欧州、オーストラリア、日本のビックカメラ、松下電器、大丸クレジット、テンプスタッフなどもプレゼンをしています。
ご自分の個人情報を提供する際には、是非プライバシーマークの有無で企業の信頼性をチェックしてみて下さい。
スポーツでいうと審判とコーチの違いみたいなもん。
3月1日付けで施行した。
業務委託先から個人情報が漏洩する事故など多発していることから、今回の改正では、
委託時における委託元の監督責任について明確な内容を盛り込んだ。
また個人情報を委託する際に、業務に必要のない個人データの提供の禁止している。
委託先の管理強化については、委託先における個人情報の安全管理状況を確認した
上で選定することや、安全管理について契約に盛り込むこと、さらに契約どおりに委託先
で個人データが取り扱われているか実施状況を把握することが望ましいとして、
委託元に具体的な対策を求める。
またクレジットカード情報など、漏洩事故が発生した場合に二次被害へ発展する可能性
が高い個人データについては、より高い水準による監督が必要とした。
経済産業省
ttp://www.meti.go.jp/ ttp://www.jpca-npo.org/ これ怪しい資格
確か10,000人くらいいるし、誰も落ちない
ttp://www.jppa-npo.org/ ∧,,∧ ∧,,∧
(´;ω;) (´;ω;)
[(っ__o)_ [(っ__o)_
|\ ∧,,∧ |\ ∧,,∧
|| || ̄ (´;ω;) || || ̄ (´;ω;) オレハネテタダケナンヨ
|| [(っ__o)_ || [(っ__o)_
|\ ∧,,∧ |\ ∧,,∧
|| || ̄ (´;ω;) || || ̄ (´;ω;)
|| [(っ__o)_ || [(っ__o)_
|\ \ |\ \
|| || ̄ ̄ ̄ ̄|| || || ̄ ̄ ̄ ̄||
\連帯責任です/
 ̄ ̄∨ ̄ ̄
ttp://www.joho-gakushu.or.jp/piip/piip.html ttp://www.jma.go.jp/jma/kishou/minkan/yohoushi.html パブリックコメントを開始した。意見の募集は4月2日まで。
個人情報保護法の施行令では、同法の対象となる個人情報取扱事業者について、
個人情報を5000件以上を所有していることを要件としているが、今回の改正案では、
加工せずに所有している市販名簿について件数から除外する規定を追加した。
市販名簿は、不特定多数が購入できることから安全管理義務を課すことは酷であり、
個人の権利を侵害する可能性が低いとして、従来より除外されているカーナビや
電話帳と同様の扱いにするとしている。
個人情報の保護に関する法律施行令の一部改正案に関する意見の募集について
ttp://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=095080330&OBJCD=100095&GROUP= 共同調査のもと、ウェブサイト上での会員登録に関する調査を実施しました。
≪調査結果サマリー≫
約40%のユーザーが20サイト以上のPCウェブサイトに会員登録経験がある
PCに比べモバイルサイトでの会員登録数は低く、1〜3サイトが35.8%で最多
約80%のユーザーは会員登録時に不安を感じたことがある
「無名な企業」、「プライバシーマークがない」ことに多くのユーザーは不安を感じる
個人情報保護の対応状況について実態調査を実施し、結果を取りまとめて公表した。
同調査は、個人情報の取り扱いや個人情報保護に対する意識、プライバシーマーク
制度、情報漏洩の実態や対策について2007年11月から12月にかけてウェブサイト上で
アンケート調査を実施したもので、今回で3回目を迎えた。
個人情報保護法が全面施行されてからまもなく3年を迎えるが、個人情報保護について
「重要性がますます高まっている」「重要性が高いまま維持されている」など重要視する
声が91.8%と前回同様高い水準であることがわかった。
Pマーク取得した会社はPマークのブランド価値あげたいから
個人情報保護について「重要性がますます高まっている」って答えちゃうよね。
ウェブ上のアンケートだし・・・
個人情報保護が重要でない企業なんか今時あるのか??
文書管理・情報公開・個人情報保護その1
まずは、セキュリティの問題です。大事な情報を預けるわけ
ですから、管理がしっかりしていない業者には情報預けるのは
躊躇していまいますよね。プライバシーマーク取得企業であるかの
確認は必要ですよね。
あとは、トラブルに迅速に対応してくれるかも重要!
というよりも、元々トラブルが少ないにこしたことは
ないですけどね。
そしてなんといっても、コストの安さもさることながら、
安い上に多機能だと言うことなしですね☆
情報社会の現代、情報管理の重要性は企業にとって
課題です。
[個人情報保護法]PDA禁持込の人[対策]
個人情報保護法、どうする?(データベース板)
再指摘
再々指摘
再々々指摘・・・
ヘボコンサル氏ね
【顧客】ネットショップのセキュリティー【情報】
うけけけけけ、民間人は靴をなめろ。
審査員なんか、定年後のぼけたアルバイトじいさんだ。なんでもいうこと聞く傭兵だ。
ちゃんとできてたって、何度もやり直しさせてるんだよ。
だってこっちはお役所仕事だから。
コンサルを塚田って使わなくたって、一度や二度じゃ通さないんだよ。
ばーか。調子に乗るな。こっちは天下り団体だぞ。
世の中のためじゃない、お役人様の給料のためにやってるんだバカやろう!
現地審査での指摘2回で済んだよ。
こんなもんじゃないの?
反戦平和を訴える左翼の女の子にもエッチな子はいるんだなw
なかなか取得できない企業の担当者乙www
すげええええええええ
サウンドハウス、外部からの不正アクセスにより利用者の情報が流出
いい審査員でよかった。
HDEが、2007年12月にビジネスでメールを利用しているインターネットユーザー
に対して調査を実施したもの。有効回答数は515。
調査によれば、66.2%がメールの誤送信を経験。ファイルの添付し忘れが45.4%
とトップで、「書きかけのメールを送信」したとの回答が29.9%で続いた。
またアドレス帳の選択ミスにより送信先を誤ったケースも26.8%と多く、4人にひとり
が事故を起こしている。アドレスのタイプミスやメールクライアントの自動補完機能
による宛先違いなど含めると、38.3%に上った。BCCを利用せず、宛先やCCとして
設定し、送信してしまったケースは6.2%だった。
「誤送信」によるビジネスへの影響については、9割以上が「特に影響はなかった」
とする一方、4.1%が謝罪に行っており、1.2%が取り引きに影響が出たと回答している。
また0.3%と少ないが、誤送信により解雇されたケースも報告されている。
誤送信対策としては、目視による複数回のチェックがもっとも多く、6割以上。
「アドレス帳の活用」や「最後に宛先を入力する」「メールを直ぐに送信しない」
といった回答もあった。
HDE
ttp://www.hde.co.jp/ 現場の運用担当者が可哀想だ。アドバイスする人がいなかったんだろう(悲)
ttp://news23.jeez.jp/img/imgnews31734.gif 実際に大切に使っている企業であれば、ご自由にお使いください。
ttp://ns-research.jp/press/11442.html そこで、グループ会社も含めて↓で調べてみた(笑)
ttp://privacymark.jp/certification_info/list/clist.html 1 (07/ 3/13) 大日本印刷株式会社 (8,637,405名)
・Pマーク7つ!(DNPと社名に付く会社は13個w 合計20個!)
2 (06/12/22) 日産自動車株式会社 (最大5,379,909名)
・Pマーク無し、日産と付く会社のは2つ
3 (06/ 6/14) KDDI株式会社 (3,996,789名)
・Pマークは系列コルセンのKDDIエボルバのみ(剥奪?)
4 (06/ 6/30) 朝日航洋株式会社 (約900,000名)
・Pマーク1つ
5 (05/ 9/21) 東京国税局 (約470,000名)
・Pマーク無し、あたりまえですかね?
6 (06/ 3/16) 西日本旅客鉄道株式会社 (436,967名)
・Pマーク無し、ジェイアール西日本と付く会社のは2つ
7 (05/10/24) 株式会社エヌ・ティ・ティ・ドコモ (約320,000名)
・Pマーク無し、NTTと社名に付く会社のは81個!!
8 (06/ 6/27) NHN Japan 株式会社 (297,805名)
・Pマーク無し
9 (06/10/31) 高知医療センター (約260,000名)
・Pマーク無し
10 (07/ 9/18) 徳島大学病院 (約230,000名)
・Pマークは国立大学法人徳島大学 医学部・歯学部付属病院ならあるが…これか?違うのか?
しかし大日本・・・www
審査員も大迷惑だな
について調査を実施し、取りまとめた。
個人情報保護法の施行や情報セキュリティ関連事故の多発といった背景から、
大企業が中小企業へ業務を発注する際、セキュリティ対策の要望を求めるケースが増加。
調査結果によれば、大企業では、55.9%が定められた手順により業務委託先の情報
セキュリティ対策を確認。特に情報通信業では94.7%が確認を実施しており、
金融・保険業やサービス業も8割以上にのぼった。
情報セキュリティ対策について確認する企業の選定基準については、個人情報関連業務
の委託先が66.3%でトップ。重要な技術情報や営業情報を扱う取引先(43.2%)や、
独自ノウハウを共有する取引先(25.3%)などと比較しても非常に高い結果となった。
また、業務内容にかかわらず、すべての取引先を対象としている企業も30.5%あった。
一方中小企業においても、取引先の顧客に関する個人情報については、「重要な情報」
との認識が高く、36.9%が最も厳密な管理が求められていると回答。製造方法といった
技術情報(18.5%)や製品情報(14.9%)、ビジネス上のノウハウ(5.1%)よりも重要視する
声が大企業同様に目立った。
また、63.4%の中小企業が、委託元より情報セキュリティ対策について確認を受けたこと
があると回答。受託した情報の内容を見ると、取引先の顧客に関する個人情報(83.3%)
やビジネスに関するノウハウ(74.0%)のほか、経営情報、従業員の個人情報など
いずれも7割を越えた。
情報処理推進機構
ttp://www.ipa.go.jp/ ま、滅多に現れないような気がするから大丈夫でしょうww
長期化して担当者の本来の仕事が進まなくなり、泥沼化するような。
結局はコンサル頼みか。
P、ISMSで天下りコンサルは見たことないYO
2:Pマークの発行所にまず顔を出しておこう。
3:次にナントカカントカ省とかに営業に逝きます。
4:ついでに、ワイロを贈りましょう。
5:最後にPマークの発行所に現金を差し上げれば、立派なコンサル担当のできあがり。
ISMS 5000人 2500社
Pマーク 500人 10000社
コンサル人数もおそらく比例しているのでは?
こんなに安定職に就いてて態度のでかい貧源が存在すると思うと、腹立つな
何回か会ううちに慣れると思いますよw
(正)人間
当スレの読者の皆様に限りお詫びして、訂正します。
www
取締役が社員一個人の病歴を他の社員に漏らした場合って
どうなるのでしょう?
Pマーク取得企業が病歴など機微な個人情報を取得する場合は
本人の同意が必要になりますね。
なければこの時点でJIS違反です。
同意を書面でとっていれば、書面上の利用目的にしか利用できないので
他の社員に話す業務上の必然性がなければ、JIS違反になるでしょう。
マジレスありがとうございます。
元同僚の善意で、そのような事があったことを知ることが
できたのですが、もし苦情申し立てを行う場合匿名できる
のでしょうか?
何にせよ逆恨みされるのが怖いです。
匿名でもできると思いますが、病名がわかったときに
誰だか特定されてしまうんじゃないでしょうか?
「あんたのとこの社員情報が漏れてるよ。Pマーク管理体制に
問題があるんじゃないか?」
というように問題提起するくらいなら、匿名でもいいかもしれませんね。
JIPDECに訴えるぞ、と某企業に言ってもいんでねーの?
いえ、今は社員でもありませんし、善意で教えてくれた元同僚に迷惑がかかるようなことはしたくないのでJIPDECにとりあえず言ってみます。
が5月30日、参議院で全会一致で可決され、成立した。年度内にも施行される見通し。
改正法では、広告メールに送信する際に利用者の事前同意(オプトイン方式)が義務付けられるほか、
同意内容の作成・保管が義務付けられる。違反した法人への罰金が強化され、現行の100万円以下から
3000万円以下に、虚偽報告の場合も同30万円以下から100万円以下に引き上げられた。
むしろメールよりも資源を勝手に使われるしね。
不特定者に送信することが原則できない…と受け取れるよね。
…とすると、一般的な広告メールはどうやって送信者情報を入手するのだろうか… (*_*)?
実効性は疑わしいかもな。
希望者には解除…なんて、インターネット鎖国が起きたりしてね(笑)
消費者意識調査の結果を発表した。それによると、インターネットで電子商取引(EC)など
のサービスを利用して情報漏えいの被害に遭った人のうち、39.3%はそのサービスの利用
を中止していることが分かった。この割合は、1年前に行った前回の調査の28.8%に比べ
大幅に増加しており、「情報漏えいに対する消費者の目が厳しくなっている」(同社)という。
調査は2005年9月30日にインターネット上で実施した。有効回答数は2000。
日本のプライバシーマークの相互承認の調印式が行われる。
個人情報保護制度において、日本と中国が相互認証を行うのは今回が初めてとなる。
個人情報保護評価制度(PIPA)は大連がアウトソーシングやソフトウェアの輸出で、
日本企業との業務提携をスムーズに進めるために立ち上げた制度で、中国では初めての
個人情報保護制度でもある。
フォーラム参加の日本経済産業省の山本かなえ政務官は、この動きを前向きに評価し、
「大連発のこの制度が中国全土で使える」よう期待を述べている。
近年、中国でもプライバシー保護という概念が持ち上がっている。
ISMS 5,000人 2,500社
Pマーク 500人 10,000社
これが正しい。UKAS分入れるとISO取得企業は10万社超える。
ISOはさすがに行き渡った感じか。
ISMSは完全な伸び悩み、ISTMSだかも同じ傾向。
Pマークはまだ伸びそうか。
しかし審査員少ないなw
コンサルも怪しいコンサルを差っ引けば、実際は少なさそう。
うちの会社取ってるけど、個人情報取り扱いに関するセミナーつか
講習みたいなものも受けたことにして、社員のサインだけ集めて
体裁繕えば取れんじゃない?
うちもそんな感じだし、個人情報の取り扱いよくワカンネw
セキュリティホール君乙w
某日本印刷ですね、わかります。
それやったとして、架空の教育や内部監査の報告書で代表取締役の印鑑をもらうことができるのか?
まさか社長ぐる(ry
ttp://up2.viploader.net/pic/src/viploader688479.gif 自分たちの認定が不適切だったと認めることになるから
取り消したくないんだろうけど・・・
次にでかい事故を起こした企業が、適用第一号になるかもな。
7個も取得してくれる(た)お得意様ですもんね。
迷惑だからさっさと廃業汁!
誰もコンサルもどきになんか、依頼しないんだしな
報告書では、情報セキュリティ関連市場の動きについて、ひとつの産業と呼べる規模に
成長してきているものの、攻撃の複雑化や経済犯への移行、対策製品の多様化、
情報漏洩リスクの拡大、情報セキュリティ対策に対する要求の高まりといった背景から、
安全面では改善が進んでいないと分析。
また世間一般では、情報セキュリティが重要な経営課題として認識され、企業価値を高める
積極的な価値へ位置づけの変換しつつあり、バランスのとれた市場の発展を予測する一方、
中小企業にとっては荷が重い現状があり、社会的枠組みから情報セキュリティを評価し、
支援する取り組みが必要と指摘した。
経済産業省
ttp://www.meti.go.jp/ >>支援する取り組みが必要と指摘した。
補助金とかできないもんかね?
ISMSは、企業の持つ情報を包括的に守るセキュリティの規格ですよね。
基本的には、企業が持つ個人情報も、その中に含まれるはずですよね。
カバー範囲は、ISMSがPマークを含有していると考えてよろしいですか?
Pマークというのは、個人情報という限定的(狭い)領域に特化して、
ISMSより厳重な(深い)管理が求められるもの、と考えてよろしいですか?
例えば、公開前の決算資料が漏洩した場合、当然ISMS的には大問題ですが、
Pマーク的には問題無いですよね。
逆に、Pマーク的には大問題だけど、ISMS的には漏えいしても問題無い情報って
有り得るんでしょうか?
ないよ。PマークはISMSで包括されているもの。
やはり、「領域は包括されているが、より深い」という認識でよろしいのですね。
PマークはISMS(ISO27001)に包括されていないよ。
例えば、ISMSはJISQ15001を適用されてはいないから、
個人情報を書面で取得するとき、利用目的の同意を取得しなくても問題ない。
個人情報保護法レベルで、通知・公表をするだけでよい。
Pマークではこれはほぼ絶対必要となる。
ISMSは個人情報に限れば、緩やかな規制になっている。
ただし個人情報が漏洩すればISMS的にも当然大問題となる。
あとポイントとしては、Pマークは法人一括取得しか認められていない。
全支店、全拠点にルールを適用して申請する必要がある。
ISMSは本店のみとか、データセンターのみで取得することも可能である。
ただし、この場合、支店で情報流出するリスクも当然発生する。
>>支援する取り組みが必要と指摘した。
天下り先の増設ですね。わかります。
コンプライアンス的な決め事が多いんだよ。
情報管理だけの問題でなくなる点も、ISMSとの違いだな。
>>ISMSは個人情報に限れば、緩やかな規制になっている。
>>ただし個人情報が漏洩すればISMS的にも当然大問題となる。
それを包括というのだろうがw
領域の話をしているんだよw
>>ただし、この場合、支店で情報流出するリスクも当然発生する。
発生するんじゃなくて、もともとあったリスクに対して
何もしないだけだろw
情報管理だけの問題ではないから包括ではないよ。
ちなみにリスクの大小もPマークでは無関係となる。
流れからも、領域の話に限定する意味はない。
「差異」を知りたいという文脈と理解したから、説明したまで。
子供じゃないんだから、言葉じりで抵抗しないように。
中学生ですか?さっさと寝るように。
NTT西日本沖縄支店が業務を委託する大生通信の協力会社において、那覇市内の顧客情報63件が
インターネット上へ流出したもの。
パソコン設定業務に関連する顧客情報を地図検索情報に登録していたが、誤って外部へ
公開したという。流出した個人情報の不正利用は確認されておらず、NTT西日本では
関連する顧客を直接訪問し、謝罪している。
NTT西日本
ttp://www.ntt-west.co.jp/ ※NTTグルでは、電話帳に企業情報を載せると、自動的に企業情報が販売されるシステムがあります。
痰ページだかの巻末に小さい文字でこっそり書いてある
顧客情報と個人情報って違うの?
ちょっとは自分の頭で考えてみろよ。
でも欲しいんだろw
取りまとめた。
相談は年々減少しており、過剰反応もやや沈静化の方向に向かっているという。
同センターでは、個人情報保護法が施行された2005年4月から個人情報に関する相談窓口
を設け、対応を進めてきたが、個人情報保護法が完全施行となってから3年が経過したこと
から、相談の受け付け状況を取りまとめたもの。
同センターや全国の消費生活センターが受け付けた相談件数は、3年間で3万7542件。
初年度となる2005年度の1万3238件をピークに、2006年度の1万2277件、2007年度の
1万2027件と全体的に減少傾向が続いている。しかしながら「情報通信分野」については、
2005年度、2006年度と2000件弱で推移していたが、2007年度に3311件と大きく上昇した。
寄せられる相談で最も多いのが「不適正な取得」に関するもので47.6%と半数近くを占め、
次いで25.5%の漏洩や紛失被害だった。さらに目的外利用(15.4%)、同意のない提供
(14.5%)が続く。
いわゆる「過剰反応」については、個人情報の提供について必要以上に拒否したり、
あらゆる状況においても保護されると思いこみ、事業者とトラブルに発展するケースが
報告されているものの、全体的に相談件数は減少しており、沈静化に向かっているという。
国民生活センター
ttp://www.kokusen.go.jp/ 今いろいろと比較資料を作っているのですけど
Pマークの取得にはメールのアーカイブって必須になってるんですか?
その場合、「この場合はこのメールを何年間の保存義務がある」とか、体系的に分かれたりはしてるんでしょうか?
どなた様か、お分かりになる方がいらっしゃいましたら宜しくお願いします
内部統制では、アーカイブの必要もあるかもしれないけど、
Pマークでは関係ないと思うよ。
社員が添付ファイルで個人情報を送るときに、きちんとパスワードや
暗号化をしているかどうか、社内監査のときに証明できればいい程度かな。
むしろ、定期的に削除した方が安全かと思われます。
重要なものはバックアップをとってからですが。
メールを体系的に分けるなんて、アホみたいに手間がかかるだけやろ。。。
まとめて全部バックアップしておくのが一番かな?
ストレージを用意するのが大変だ。。。
ありがとうございます!
Pマーク取得にアーカイブ必要とずーと思ってました、、、
ちなみに私アーカイブを「売る側」で、お客さんにどうアプローチしようか考えていたとこでして。
もう一度調べなおしてみることにします。ありがとうございました!
しかし、ISOにしても次から次へと新しい規格作っては認証制度…
第三者機関が認証する…と言う制度で認証機関がある訳だが、
お金儲けのための商品化…としてしか見られなくなってきた。
「取得したがる」というより、取得しないと顧客先との契約が煩雑になるから。下手をすると仕事の契約そのもの
が獲得できない場合がある。
Pマークをとっていると「○」をつけていればよいものを、獲得していないと個人情報保護責任者とか体制とか
組織図とかポリシーの提出を先方に求められることがあり、とても大変。
しかし、さんの後ろ3行には同意。
環境問題もそうだけど、信頼性確保を隠れ蓑にして、新たな天下り先とか利益確保の温床にしかなっていないと思う。
ちょっと前の郵便貯金みたいで、突然制度がなくなる心配もなさそう。
ほっといても消えるw
ttp://money6.2ch.net/test/read.cgi/tax/1168348988/
ttp://news24.2ch.net/test/read.cgi/bizplus/1217803999/
内部によるセキュリティの侵害行為が大幅に増加していることが、
米CAと加The Strategic Counselが実施した調査によりわかった。
同調査は、米国の500組織や消費者400人を対象にセキュリティに関する調査を実施
したもので、ウイルスや不正アクセスなど外部からの攻撃は、今回実施した2008年の
調査実施前の12カ月で平均11%減少したことが判明した。
一方で、組織の内部による侵害行為は2006年の42%から2008年は44%へ増加。
さらに実際に侵害行為を行ったと回答した人も2003年の15%から44%へ大きく増加した
という。
また今回の調査では、企業や組織におけるセキュリティやプライバシー対策に対する投資
が不十分と感じる消費者が多いことも明らかになっている。
小売業、政府、大手金融機関いずれについても6割から7割の人が足りないと感じており、
米国企業のセキュリティ関連役員の32%も自社のセキュリティに対する投資が不十分
であると回答している。
個人情報については、事業者や政府、銀行などにおいて十分保護されていると感じる人は
わずか8%で、実際に22%が個人情報漏洩の被害を経験。
79%がセキュリティやプライバシー侵害の被害にあった組織に対して、信頼や評判、
顧客満足度が低下すると考えているという。
日本CA
ttp://www.ca.com/jp/ 宣伝などの商用利用は有料サービスとなっております。
商用利用料として800まんえんを御請求申し上げます。
ご利用ありがとうございました。
しろゆき
夢くらい見させてあげなよ。
バカが夢を見ると回りが迷惑なんだよ
馬鹿乙
ここで一言
8月20日付け会員メールにおいて、CSAJがプライバシーマークの指定機関(審査機関)の
認定を受けて約1年が経過し、この間の活動実績を公表した。
・CSAJが、この1年間で申請を受理したプライバシーマークの取得・更新は、48社。
・うち24社が既に審査を終了し、認定事業者となっている。
・平均審査期間は3ヵ月、最短のケースでは申請から1.5ヵ月で認定されているとのこと。
差があるって事は金を多く払ったり、接待漬けにすれば早く認定されるんですね。わかります。
ヒント:業種、規模、人数、システム構成、コンサルの有無と水準、審査員の性格、相性、審査機関の選択など
かなりの期間たったのにまだ更新終了していないぞ???
更新のほうが大変なのかね〜
大日本印刷(=DNP、北島義俊社長)は、日本工業規格「JISQ15001
個人情報保護マネジメントシステム−要求事項」に適合して、個人情報について
適切な保護措置を講ずる体制を整備している事業者であることが認定され、
7月24日付で財団法人日本情報処理開発協会からプライバシーマークの認証を取得した。
DNPでは、2000年9月にIPS事業部でのプライバシーマーク認証取得をはじめとして、
C&I事業部、情報コミュニケーション関西事業部、商印事業部、中部事業部の5事業部で
認証取得をしてきた。
JISQ15001に適合した個人情報保護体制を全社に拡大するにあたっては、
本社専門組織の改組による検査指導体制の強化、電算処理室の物理的対応策の一層の
強化と共通ルール化など、様々な体制強化を図り、今回の全社プライバシーマーク認証
取得に至った。
今後も個人情報の重要性を充分認識し、個人情報保護方針に従い、引き続き厳密な
個人情報の管理を維持・継続していく。
更新辞退した企業がそんなに多いわけでもない。
考えられるとすると、
現地審査後なかなか、合格できない会社がたまっている、とかか。
自力取得組や、あやしいコンサル依頼組が、ゴール前で団子状態になってるっぽい。
申請までは誰でもできるからな。
そもそも2年更新だから、キックオフから2年経過したマニュアルは古すぎ。
連絡自体は大したことないんだけど、株主名簿ってそう簡単に見られるもんなんですかね?
その会社のHP見るとプライバシーマークが貼ってあるんだけど
これってゴラァ電したら取り消しになんの?
あくまで“プライバシー”というのは「個人情報」の事を逝ってるので、「法人情報」は垂れ流し放題でも合法です。
事実、NTT(の関連会社)はインサーダー的に入手した電話帳掲載前のデータを無断※で売って大儲けしています。
※当時の郵政省の許可は得ているそうですが…
オレは東急リバブル(Pマーク認定)から、
「不動産登記簿を拝見してご案内をお送りさせていただきました」
とDMが送られてきた。
2回ほど苦情窓口にDM送付停止を請求しているが、いつまで経っても止めないし・・・。
こんなクソ会社でもPマークが取れるんだよな。
JIPDECの審査員から聞いたところ、
> 現地審査後なかなか、合格できない会社がたまっている、とかか。
>
> 自力取得組や、あやしいコンサル依頼組が、ゴール前で団子状態になってるっぽい。
↑モロに図星。
今年3月には認定事業者数(使用契約が生きてる会社)が1万社を超える予定だったが、
Sセンター長のツルの一声で、現地審査実施済みのもたついてる会社をバッサリ切り捨てる
方針にしたらしい。
いい加減に気づけよな、情報収集力なさ杉w
DMの発送の是非はともかく、窓口は開示要求に対する明確な説明と対応がなければ明らかに違反だから
担当者と直談判して対応を直接問いただすか、JIPDECにちくれ。
規程や細則に「要求があった場合でも対応はしない」と書かれていてそれが審査で通ってしまったのなら話は別だがw
タクシー内に置き忘れて紛失したと発表した。
紛失したのは、同校の5、6年生5人が提出した「社会を明るくする運動」標語5作品。
作品には提出した生徒の氏名、学校名、学年などが含まれる。
9月19日夜、帰宅するためタクシーに乗車したが車内に置き忘れた。
乗車したタクシー会社を特定できなかったことから、電話帳に記載されているタクシー会社
すべてに電話をして問い合わせたが作品は発見できず、警察に遺失物届を提出。
対象となる生徒の家庭を訪問して説明と謝罪を行った。
横浜市
ttp://www.city.yokohama.jp/ 直接
(わかれば)受けた人間の名前
(だいたいでもいいので)DM送付停止を請求した日時
を通報してPマークを取り消してもらいましょう。
同社が、2008年5月から9月にかけてセキュリティ製品やサービスのを専業ベンダー、システムインテグレーターを対象に調査を実施し、
結果を取りまとめたもの。
大規模企業では、先行してセキュリティ対策が進められてきたことから需要が一巡したとの見方も出ているものの、
ログ管理やエンドポイントセキュリティの案件が増加。さらに導入が遅れている中小企業における需要の伸びが期待されており、
ベンダーも小規模なネットワーク環境向けの製品、サービスに力を入れているという。
矢野経済研究所
ttp://www.yano.co.jp/ 技術知識だけでは合格させられないから、ほとんど対応できていない。
HPでやたら金額が高いのは、依頼させないための防衛工作www
ISOコンサルもPマークはほとんどやっていないようだ。
これは単に、能力、知識不足から。www
もともとISOは、単なる手順のマニュアル化が売りなので、工場勤務30年とか、
建設会社勤務25年など現場経験のほうが重視されるような仕事。
セキュリティや法律にくわしい奴はもともといない。
Pマーク、ISMSの専門コンサルが手堅く対応しているように感じる。
しかし、リーダー企業といえるところがないので、いまいち動向がつかみづらい。
確かに、Pマークコンサルで評判がいい会社は、ISMSのコンサルの実績があるところが多いよ。
Pマークだけでメシを食ってる会社は聞いたことがない。
どこのコンサルが売上が一番高いかなんて分からないよな。
出所不明な評判だけが頼り。
知ってる範囲のISMSコンサルはJISQ(個人情報保護法)にくわしくなくて、使えなかった。
Pマーク専業のコンサルなんているのか?
個人事業主みたいなコンサル?
だって、Pマークだけじゃ食えないだろ?
ttp://pjc.earthinter.co.jp/ User:todo
Pass:todo
Prease check other member's name and try password crack atack.
そりゃぁ、一度認証されたら、ちょっとやそっとじゃ認証剥奪されないもんねw
その中で、外部機関から認定されるプライバシーマークを取得することは、最も信用のおけるものだけに企業は、取得必須になってきているのではないでしょうか〜
私もこのプライバシー、マークをよく見かけるようになってきました。主にネット関係ですが、このマークがあるということはきちんとセキュリティ診断と構築をしているしっかりした企業なんだと、やはり安心できるんですよね
そんな信頼感が出てくるので、セキュリティは最重要事項なのは言うまでもありません。
優秀なコンサルタントは利用価値があるぞ、トータルの大幅な時間短縮とか。
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1225080037/
マスコミは例外なのかね・?
社員からは歓迎されないし。役員は意味わかっていないし。
いまいち普及しないね。
確か適用除外だったはず。
お疲れ様です・・・。でもとても貴重な経験ですよ。
ttp://namidame.2ch.net/test/read.cgi/haken/1198822267/
おれも担当者だけど、導入や教育、コンプライアンスの徹底をしようとしたとき、一部の古参社員からいろいろ抵抗にあったよ。
「そんな利益を生まないことよりも、通常の仕事をしろ」とか。若手社員は真面目によく守ってくれたけど。
しかし、その古参社員の部署から機密情報漏れ騒ぎ(個人情報でなかったので、Pマークには影響なし)が発生するや否や
「徹底してやるように」と態度が豹変してしまった。一度痛い目に遭わないと分からないと思う。
その人がコンプライアンスの内容にいちいち口出ししてきたりするのは正直腹立たしい。最初から理解した上で先頭に立ってくれよと・・・
ISMSはIT業界(ソフト開発など)ではかなり普及してるけど。
認定取消しは、マスコミが飛びつくようなよっぽど大きな事件でない限り、ありえない。
うっかり取り消したら、マスコミからも審査側に対して集中砲火を浴びるので、
下手をすると制度が崩壊するおそれが高い。
似たような例として、HACCPで雪印、不二家の取り消しを行った際にマスコミバッシングが
あったよな。
>認定取消しは、マスコミが飛びつくようなよっぽど大きな事件でない限り、ありえない。
>うっかり取り消したら、マスコミからも審査側に対して集中砲火を浴びるので、
>下手をすると制度が崩壊するおそれが高い。
大事件が起きても認定取り消しなんて起きないよきっと。
そして、Pマークも結局形骸化していく。
俺なんて、せいぜい1500件だから、ちょろいもんだw
通報しませんですたw
通報しないから、kwsk
Bcc: 欄に入れないで一括送信… orz.
青ざめて取引先あちこちに謝って、削除依頼して、新聞にのるね(笑)と嫌味言われ、上司に説教され、始末書かかされ・・・
2年前の11月、旧JIS対応の駆け込み申請で急増した以降、申請は明らかに
減少傾向だ。そして、ここに来て、新JIS対応による更新時期を迎えて更新辞退
する会社が急増するだろうな。
また、認定企業には、ブームに乗ってに認定を受けた”情報処理業者”が多いが、
そうした企業も更新を尻込みしているらしい。
なぜなら、実際には自社管理下にある顧客情報等(JISQ15001の中で言う「開示
対象個人情報」)を殆ど保有しないため、完成したPMSは、従業員の個人情報を
管理するためのPMSとなってしまっていることに気が付いたからだ。
その危機感からか、JIPDECでは、制度の説明会や、更には、個人情報保護
マネジメントシステム(PMS)構築相談会にも力を入れだした。
まだ暫くは、微増が続くかも知れないが、個人情報保護法の熱は冷めてきたこと
だし、本当に情報漏洩が怖いなら、ISO27001に目を向けたほうが良いのではない?
個人情報漏洩事件一覧をご覧あれ。
ttp://www.security-next.com/cat_cat25.html 出るは出るは・・・Pマーク付与認定事業者。
Pマーク=個人情報漏洩の証w
クォーレは電話で直接占い師に相談できるサービス。経済産業省の外郭団体である財団法人日本情報処理開発協会(JIPDEC)より、日本で初めてプライバシーマークを付与された占い事業者です。
料金は占い料金のみ、時間の引き延ばしはせず、物品の押し売りはしません。秘密を厳守、個人情報を安全に取り扱い、後日クォーレ及び占い師から勧誘の電話はしません。ちょっと試してみたい方におすすめですね。
>個人情報保護法の熱は冷めてきたことだし、
何を言ってるんだ藻前は・・・
どこの企業でも個人情報保護は最重要項目だろう。
株価下落、資金調達困難、売上低下に不買運動、
委託先が事故を起こしただけで何億損失すると思ってるんだ?
310はメルマガの宣伝サイトの宣伝。
というようなことを聞かれるときってありませんか?
別に知られて困ることはないんですが、こちらからしゃべっていないのに、そんなことまで知ってるの?なんて思うこともあります。
短大の後輩だったりすると、それで話が盛り上がったりすることもありますが、あんまりプライベートに踏み込まれそうになると、スルーするときもあります。
派遣先に入りたてで、まだ人間関係が希薄な時期や、あまりお近づきになりたくない人たちに、プライベートのことでいろいろ話したくないときもありますよね。
派遣社員が派遣会社や派遣先の企業秘密を口外しないのと同じように、派遣会社も大切な派遣社員の個人情報を必要以外のことに漏らしてはいけません。
気持ちよくお仕事ができるように、本来のお仕事ができてスキルアップできるように、派遣会社のプライバシー保護はこれからも大切なことだと思います。
元従業員の不正アクセスが原因で、出会い系サイトのメールが届くなど被害が発生しているという。
同社ASPサービス「MediaMagic」により運営されているジグノシステムジャパンの無料コンテンツサイト「@もちこ」の利用者より、
10月28日に出会い系サイトのメールが届いたとの指摘を受け、情報流出が判明したもの。
エンターモーションによれば、最大6サイトに登録していた会員情報23万2970件が流出した可能性があるという。
流出した情報は、メールアドレスやニックネーム、性別、生年月日、都道府県、職業のほか、一部では趣味や未既婚、店舗ID、店舗パスワードなども含まれる。
流出発覚後に同社が調査したところ、元管理職の従業員が、外部環境よりIDやパスワードを利用して不正アクセスした可能性が高いことが判明。
警視庁が取り調べを行っており、容疑が確定し次第、刑事告訴する方針だという。
同社では、6サイト以外における個人情報の流出は否定。また個人情報が流出した出会い系サイトの運営会社に対し、メール配信の停止や個人情報の破棄を要請しているという。
エンターモーション
ttp://www.entermotion.jp/ 更新を自主的に辞退するのもあるけど、会社のレベル的に新JISについていけず、
審査機関に切り捨てられる中小企業も多いぞ。
【速報headline】[実+]裸画像も…KDDIまた顧客データ200人ウィニー流出
1 Ψ [] 2008/11/10(月) 17:33:26 ID:V00xm9DP0
通信大手KDDI(東京・飯田橋)の京都市内の携帯電話販売店の男性社員が、顧客氏名
や携帯番号などの個人情報を大量に流出させていたことが10日、分かった。KDDIにからむ
個人情報流出は今回で3度目。流出データには販売手数料などの社内資料のほか、知人と
おぼしき女性のヌード画像も存在し、改めて情報管理の甘さが問われる事態となりそうだ。
今回、ファイル共有ソフト「ウィニー」を通じて流出が発覚したのは、2003年から04年に
かけて同店で携帯を購入した少なくとも200人前後のリスト。顧客の氏名、誕生日、携帯
番号などが含まれていたほか、契約者の通話記録、機種ごとの販売奨励金、契約手数料
などの内部資料一式も一挙に流出した。
デジタル音声圧縮ファイル(MP3)で、社内のパソコン(PC)から大量にダウンロードしたと
みられる楽曲リストも存在し、「着うた」などとして不正転送を繰り返していたとみられる。
さらには、複数女性との写真付きメールもご開帳。看護婦や風俗嬢、不倫関係を思わせる
女性との“エロメール”や、カーセックス中の“ハメ撮り画像”も存在した。
楽曲やメールはショップのアドレスが送信元。社内の重要資料や勤務中にダウンロードした
楽曲を勤務先から、暴露ウイルスに感染した自宅PCや携帯に不正転送した結果、一気に
ネット上に流出した可能性が高い。
KDDIでは06年末、03年12月18日までにインターネット接続サービス「DION」に申し込ん
だ約400万人分の個人情報が流出。07年春にも、03年1月にダイレクトメールを発送した
11万3000人あまりの顧客情報が流出した。
ttp://www.zakzak.co.jp/top/200811/t2008111038_all.html 同大によれば、9月29日に同大職員が、学生向けウェブサイトへ後期の講座日程などを業務用PCからFTPでアップロードしたが、その際に操作ミスが発生。
PC内に保存されていた個人情報を含むファイルを、誤ってウェブサーバの公開ディレクトリ上にアップロードしてしまったという。
流出したファイルには、在学生、保証人、および2002年から2007年までの卒業生など3198人の氏名、住所、電話番号などが記載されていた。
11月11日に卒業生から指摘を受け、問題が発覚。問題のファイルを削除した。
さらに同大では、検索エンジンサイトへキャッシュの削除を依頼。14日にキャッシュの削除を確認し、15日に最終的な点検を終了したという。
同大学では今回の事故を受け、全サーバの点検を実施。不適切なファイルが公開されていないか確認を進める。
甲南女子大学
ttp://www.konan-wu.ac.jp/ 今回の事故を受けて、すでに神奈川県では12日より相談窓口を設置しているが、日本IBMでも問い合わせを受け付けるフリーダイアルを17日より設置。
平日はもちろん、年末年始を除く土日祝日についても、9時から18時まで電話で対応する。
今回の事故では、生徒の氏名や住所、電話番号にくわえ、口座情報が流出しているが、同社や神奈川県教育委員会が、
情報が流出した関係者に銀行口座について問い合わせを行うことはないとして、不審なメールや電話へ注意するよう呼びかけている。
日本IBM
ttp://www.ibm.com/jp/ Pマーク市場的にはいいことだ。
もし個人情報が漏洩するような事態が起これば、お客様に迷惑をかけるのはもちろんですが、
社会的信用を失って商売ができなくなるでしょう。
だから、二重・三重の対策を講じる必要があります。
まず、Webサーバーや顧客情報を処理するPCは外部から遮断された部屋に置き、
この部屋に入退室できる人は権限を与えられた最小限の人数に限定します。
この部屋へはフロッピーディスクやUSBメモリーなどの外部媒体の持ち込みは厳禁とします。
社員および関係者とは、機密保持契約を交わします。
そして、条件が整えば、プライバシーマーク の取得も考えたいと思います。
もし焙煎豆が漏洩するような事態が起これば、お客様に迷惑をかけるのはもちろんですが、
社会的信用を失って焙煎豆ができなくなるでしょう。
だから、二重・三重の対策を講じる必要があります。
まず、Webサーバーや焙煎豆を処理するPCは外部から遮断された部屋に置き、
この部屋に入退室できる人は焙煎豆を与えられた最小限の焙煎豆に限定します。
この部屋へは焙煎豆やUSB焙煎豆などの外部媒体の持ち込みは厳禁とします。
社員および焙煎豆とは、機密保持契約を交わします。
そして、焙煎豆が整えば、フライパンーマーク取得も考えたいと思います。
41点
ウェブサイトのセキュリティに対するユーザーの不安を挙げていまして、ベリサインのEV SSLを活用することにより、そのユーザーの不安を払拭し、コンバージョン率の向上に効果を発揮するという記事がありました。
確かにSSLの証明書、とくにネームバリューのある証明書が目につけばプラスに働くことは間違いなと思います。SEO対策には直接関係ありませんが、サイト自体の最適化には役に立つでしょう。
それと同等以上の効果を発揮すると思われるのがPマークです。最近このPマークを付けているサイトをよくみます。
Pマークとは個人情報の取扱いに関して、適切な保護措置を講じていると認められた民間企業に対し、第三者によって付与されるマークです。
当社にあなたの個人情報を預けてもそれが外部に漏れたり、改ざんされるような危険はありません、ということが、ひと目でわかるようマークをつけます。
業種的に言うとシステム開発、人材派遣業、広告業、印刷業、福祉介護業、産業廃棄物処理業など情報セキュリティに関わる業種が取得しています。
Pマークの認証取得が、個人情報取扱いにおいて業務の前提条件となるケースも増えています。
これはもちろんサイトに表示ためだけのものではないですが、サイトに表示されれば効果を発揮することは間違いないでしょう。
中央区日本橋馬喰町にあるコンサル会社はDQN。
コンサルはしょっちゅう代わるし(辞めるし)、営業も辞めるしいかにも素人
といった感じ。
もともとはリサーチ会社でそれが本業。
52 :名無しさん@お腹いっぱい。:2007/07/22(日) 19:43:57
セミナー参加したからといって、騙されないように。
58 :名無しさん@お腹いっぱい。:2007/08/07(火) 18:15:20
すぐに辞められると困るよね。
新しいコンサルがまるでダメだった。
以前のコンサルと個人的に付き合いがあったから、乗り換えたかったけど、
予算の関係上あきらめた。
本業はベンダーの会社だったから、人材の層が薄いみたい。
60 :名無しさん@お腹いっぱい。:2007/08/09(木) 21:26:33
このコンサル会社って、カタカナ文字3文字っしょ?
以前営業が来て(どうしてもお伺いしたいというので、しようがなく)、
話しをしていったが、自分でも理解できていないのがあからさま。
訪問するのに遅刻してくるは、ろくな話しもしないわ、で。
そこが見えるからそれ以来、無視している。
スレ違い。いいかげんにしろよ
OSKのことか?
低学歴バカの集団だろそこ。
ttp://fx.121sec.com/ この証券会社のメンバーログインとか、口座開設とかSSLが掛かってない
ようなんだけど、危ない?
2年生54人分の答案用紙を紛失したと発表した。学年全員177人を対象に再試験を実施する。
同校によると、講師は3日夜、浦安市内で後ろから来たバイクの2人組にバッグをひったくられた。
答案用紙は2日に実施した後期中間試験「数学B」で、学年、クラス、出席番号、名前が書いてあった。
直後に警察へ被害届を出したが、答案用紙は見つかっていない。
生徒らには5日の学年集会で謝罪し、保護者あての文書でも経緯を説明したという。
答案用紙は講師が自宅で採点するために持ち帰り、同校は自宅での採点を認めていた。
ちゃんとペースソースまで確認したか?
金融庁がうるさいから、証券会社で未対応はありえないはずだが。
仮に1万社に達しても、すぐに目減りするはず。
新たな利権作りのためのマッチポンプだよな
どこか大企業が「Pマークなんかくだらねえ! もう止めた!」と投げ出してくれれば追随できるが。
企業にはやや浸透したとは言え、一般消費者にはまだまだ浸透してないだろうよ。
経済産業省には逆らいづらいんだよ
まだ居るのかなw
208 :名無しさん@ご利用は計画的に:2008/12/31(水) 17:01:38
強姦事件は忘れろ。
どこの会社にも不祥事があるだろうに。
強姦事件・強姦事件ってウゼ〜よカスども。
不祥事がゼロの会社なんてあるのかよカス。
213 :名無しさん@ご利用は計画的に:2008/12/31(水) 18:53:42
不祥事容認発言だww
本社の方ですか?
215 :名無しさん@ご利用は計画的に:2008/12/31(水) 20:43:05
不祥事の何が悪い?
不祥事なんてどこの組織でもあるのにウゼ〜よこのサイマーどもが。
一括返済なんてしなくて良いから利息だけ期日に入金してくれサイマーども。
「Pマーク企業だから安心」
ということはなくとも
「あえてPマーク無し企業を選ぶ理由はない」
というところだと思うが
Pマーク代分は盗られてるが、TVCM代と同じような考え方だろうな
横浜駅西口にも2年前からゴロゴロいるよ。
1回だけ騙されたフリしてついていったら、ビール新商品の試飲調査だった。
節子、それビールやない、ホーリージュースやw
腹減った〜
また今日も同じニュースがありましたね。
で、同法が施行されて、一般個人の情報の闇の値段が跳ね上がり、
データ入力の会社とかがそれを売って大もうけするようになった。
バレても、最高6か月以下の懲役とかで、せいぜい数万円の罰金。
何かの懸賞とかに応募したり、住宅の賃貸借契約をしたりすると、必ず個人情報が漏れて、
ワンクリック詐欺まがいのメールが来たり、毛皮屋の電話がかかってきたりするようになった。
個人情報保護法とかPマークって、そういう怪しい裏社会や、変なコンサルをもうけさせただけ。
それと、上級役人の悪事が表に出にくくなっただけ。
無茶苦茶な持論を展開する人、乙
カウントダウン開始!
全面的なシステム変更でありながら、業務に大きな影響を与えないように、
少しずつ移行する点がポイントです。
既存のネットワークはひとつのセグメント上に何でもあります。
新しいネットワークではVLANを使ってセグメントを増やし、新しいネットワークアドレス
体系に移行し情報の流れを整理します。
とはいえ、過去のネットワークを組んでいないので、新しいネットワークに移行すると
予定外の事態が起こり得ます。
それを避けるために、いきなりVLANを使うことなく、現行のネットワークとの混在環境を
作り、正常動作を確認しつつ移行します。
安全を確認したところで、新しいVLANを使ったネットワークに完全移行します。
君はPマーク取らなくていいよ
どうやらネットショッピングにクレジット決済システムは必須なようです。
クレジット決済システムは、クレジット決済代行会社に手続きしてもらえます。
その際には、やはり個人情報の流失などが心配ですよね?
安全なクレジット決済システムを導入している会社の目安としては、個人情報の取扱いを
適切に行っている事業者を認定する『プライバシーマーク』を取得している会社などを選びましょう。
パチンコ関係者乙
カタチの見えないものにお金を払う訳だから。
どうされてます?
その辺も含めて現在勉強中
コンサルに頼らないで取る場合
どのくらい時間が掛かるのかも気になるところです
指摘対応をしない(申請まで)の紺猿には注意が必要。
前者は、指摘対応をしつつノウハウを蓄積し、雛形に
も反映しているので顧客にムダな労力を掛けさせない。
後者、つまり指摘対応の経験がない/あっても少ない
紺猿の雛形の中にはズレズレのもの(無駄な規定が
矢鱈ある割に、必要なこと、それもごく基本的なこと
すら規定していなかったり)もある。まぁ、保護法の
前後の大騒ぎも沈静化し、06年の改訂を経てこの手の
知ったか紺猿はだいぶ淘汰されたみたいだけれど。
その通りだが、それが難しい。
現場でいろいろ見て来たけど、情報セキュリティの関心なんか社員は全くない。
そんな資格取るよりも、徹底して強制的にルールで縛るしかないと思うね。
大体資格更新のために、あの下らなさすぎるアンケート廃止しろよ
ダメ社員乙
うるせーよばか
「資格」じゃなくて「付与認定」な。
今日は鳴らないなあ・・・と思っていたら、鳴りました!!
とりあえずインターホンを取ったら、「市場調査の○○調査会社と
言いますが・・・」と言うおばちゃんの声!
調査員のおばちゃんは、私を見るなり「ドアを開けてくれて本当に
ありがとう!!」と、のっけからとっても感謝されてしまいましたが・・・
もちろん、私も最低限のチェックはしました!・・・と言うのは、
調査員の方が首からかけてる証明書を確認し、最初にもらった
用紙に調査会社のHPや電話番号が書いてあるかを見て、
最後は、「プライバシーマーク」のマークがついてるのを確認して
から、「アンケート、引き受けます」と返事しました(*^_^*)。
調査員さんも言っておられましたが、用紙や証明書は偽造する
事はできても、プライバシーマークの認定は正式に登録してる
調査会社しかしてもらえないので、絶対に安心してとの事。
ここを省いて、早期取得を売りにしてりところは×だ。
取得したあとで、クライアントだけで運用しきれなくて、大変なことになる。
こういう当たり前のことを、いい加減にするコンサルが結構多い。
ttp://privacymark.jp/privacy_mark/guidance/images/pmark_sample.gif こ、これはプライバシーマークじゃなくてポニーテールなんだから、
変な勘違いしないでよね!
295 :名無しさん@お腹いっぱい。:2008/10/29(水) 22:46:16
もう疲れましたね。担当者はきついよ。これ。
社員からは歓迎されないし。役員は意味わかっていないし。
この投稿、自分が書いたのかと思った。Pマークの担当者の苦悩ですね。
委託先の監督、教育、監査、同意書関係の管理、第三者提供の管理
ほんとに本社部門のすべてを敵にするし、前線部署とも対立。
これはなんのための仕事なんだろうか。理論上は理解しているが、たまにわからなくなる。
同意。自分のところは取得準備中に新JISQになっちまったのでてんやわんやだった。
事実上、トップが強力に推進していないと浸透は相当きついね。
うちはトップが導入に積極的(というか導入しないと契約が立ちゆかなくなりそうな内容が出てきてしまった)だったので、
Pマーク担当が推進する内容に一般社員がブーイングすると、その瞬間に役員が「てめぇら言うこときけや!ヴォケども」と登場するので
だいぶ助かったw
その代わり役員の担当者に対するプレッシャーもかなりきついけど。
上手くいって当たり前・・・担当者はつらいよ。
気合でV字回復目指すか?
ボーナスも期待できなきゃ士気さがるよねー。
役員報酬削ってでも人材強化したらいいのに。
うちの会社でもPMS取るぞ!といって、その準備を始めているのですが、
作っている社員向け承諾証がこんな感じなのです。(おおまか)
・住所や名前などの情報を会社の営業目的で使う場合があるが、構わないか
・健康状態や写真などの情報を社員の健康管理に関する資料として病院などに提示する場合があるが、構わないか
これらの表現で気になるのが「など」という部分です。
「など」というのが、ここに書かれている項目に対して、複数の情報であるという意味の「など」なのか、
「これらを例とし、他にも色々使うかもしれない」の意味の「など」であるかを確認したところ、
「ひとつひとつの項目を書いていては書ききれないので省略するようになっている」と言われました。
はて?
どんな個人情報を会社が収集し、それらの情報のどれを使うかを明確にしなければ、
承諾も何もないのでは? 「これを使うとは聞いていなかった」→「など、って書いているだろう」とかいうのは
PMSを取る意味がないのでは? と思って聞いたが、「他の企業もみんなそうしている」と言われました。
これに対して、きちんと異議を唱えたいので、どなたか適切な情報やアドバイスをいただけませんか。
もちろん、私の考え方が間違っているなら、そう指摘をお願いいたします。
それが「委託」か「提供」かで異なるんでないか?
委託であれば「〜など」の括りでもいいが、提供だと提供先をすべて列記しないとNG。
意外と管理部門の連中は委託と提供の区別がついていないので、「他の企業もみんなそうしている」
と勘違いすることも多い。
委託・・・名刺印刷、産業医契約
提供・・・派遣の引き合い、団体生命保険の加入、給与計算の外注とか
法律に基づく提供(本人同意が不要)だと、社会保険事務所とかハローワークというのもある。
>委託・・・名刺印刷、産業医契約
>提供・・・派遣の引き合い、団体生命保険の加入、給与計算の外注とか
間違えた。
正しくは、これ。
委託・・・名刺印刷、産業医契約、給与計算の外注とか
提供・・・派遣の引き合い、団体生命保険の加入とか
承諾書類では、別に委託・提供の区別を行わず、全項目について
このように記載していました。
ぶっちゃけると私個人は、こういうごちゃごちゃした規定で縛るのは
あまり好きじゃなく、人情や人脈による情報で仕事を達成していくのに
生き甲斐を感じるのですが、会社が世間の流れに従い、きちんと認定を
取るというのであれば、落ち度なしにきっちりしたいと思っています。
なので、「〜など」とか「周りもみんなそうだし(笑)」みたいな曖昧な気持ちで
挑まれてもなあ、って思ってまして・・・
もちっと推してみます。つか、この説明の後、居酒屋で現場の話を
役職者がべらべら喋っている時点で、こんな認定取っても全く意味がないと思うんだがなあ・・・
ttp://blogs.yahoo.co.jp/tmhtq939 上記URLは
大阪府八尾市にあるシャープお客様相談センターで
派遣スタッフとして働く
“籠谷(かごたに)”
という女性スタッフのブログである。
ブログ内の画像にはコールセンター内部で携帯電話の写メで撮った
画像などがupされている。
画像自体はさほど問題あるものではないが、
家電メーカーのコールセンターといえば顧客の個人情報の宝庫である。
そのような所に、ましてや派遣スタッフごときが堂々と携帯電話を持ち込める
シャープの管理体制はいかがなものであろうか?
お客様の個人情報が厳守されているとはとうてい思えない。
うちもプライバシーマークを最近取ったが、
普通に情報漏洩レベルの会話とか資料渡しやってるな。
電車の中で次の案件の資料を新聞みたいに広げて
誰でも覗ける状態で企業秘密の話をべらべら俺らに説明する営業とか。
確かに、ゴチャゴチャしたルールで縛ればいいという話ではない。
ただ、Pマークと取る以上、会社にはJISに基づく説明責任はあるわけだし、
最低限縛るところは縛っておかないとダメでしょ。
コールセンター自体は外注だろうな。
委託元のシャープからしてみれば、委託先の監督ができてない
ということになる。
大手コールセンター会社(BとかTとかMとか)だったら、
このあたりは徹底してるはずなんだけどな。
この前、新幹線に乗ったら、横に座ったのが東芝の総務部の社員で
ノートパソコンを広げてたけどディスプレイ上の内容が丸見えだった。
Pマーク認定事業者でも移動中に業務情報をタレ流しにする会社なんて
ゴロゴロあるな。
携帯電話はかけるわ、紙資料は広げるわ、すごい状態を見たことがある。
そっかぁ〜、○●議員より△▲議員の方が名簿の上の方に載るんだぁ〜
みたいな
「プライバシーマーク(Pマーク)」を取得しなければならなかったのですが…
色々、諸事情があり取得しないまま一年程が過ぎてしまいました(本当はダメですよ。^^;)
作業工程上、情報が漏洩しない仕組みはちゃんとできていたのですが、
実際企業としてはこの「Pマーク」を取得しないと取引をしてはいけないことになってるんですね。
(難しいことは聞かないでくださいね・笑)
この「Pマーク」取得のためには社員・パートさんに至るまで個人情報の講義をしなければなりません。
結果。おおまかなところこんな返事。
「何を利用する可能性があるかは明確にはする必要がない。
何の目的で使うかを明確にすれば、何を利用するかはおおよそわかるはずです」
なんか、Pマーク管理もいい加減なんだな、と思った。
こんな適当だから、流出とか起きるんじゃ??
こんなのだから、「これは別にもって帰ってもいいか。あれには利用しないだろうし」の
判断が出来ない管理者が増えているんじゃ・・・・
たとえば、会社が既に保有している社員の情報を基に
取引先に社員情報を「提供」し、入構証みたいなもの
を作って貰う場合を考えてみればよいでしょう。
会社が把握している貴方の個人情報(履歴書に記載
してあるような事項)のどれでも、たとえば自宅住所
や既婚か否か、出身校などでも無条件に取引先に提供
してよい、というのは納得しがたいでしょう。
貴方の問題意識は正しいです。JISQ15001:2006
3.4.2.4(本人から直接書面によって取得する場合の
措置)においては、提供について提供の目的のほか
提供する「項目」など、全5項目について本人に通知
し、かつ同意を得ることになっているのはその趣旨だ
と考えます。
提供する項目について、本当にもれなく列記しなけれ
ばならないか、又はある程度列記して「氏名・顔写真
・所属企業名等」などと「等」を使ってよいか、は
議論がわかれるところでしょうが、「等」を使うと
すれば、その項目の範囲が本人に予測可能な程度の
列記をした上で「等」とすべきでしょうし、あとは
「苦情・相談」への真摯な対応を通じてスパイラル
アップしていく、というのが本来のあり方だと思い
ます。
JIPDECのプライバシーマークのサイト
「参考資料」からダウンロードできる
「JIS Q 15001:2006をベースにした
個人情報保護マネジメントシステム実施の
ためのガイドライン」が参考になります。
コンサルタントを選定する際にも、あらかじめ
これの内容を一読していれば相手のレベルが
ある程度わかるでしょう。
これの存在を隠すコンサルはヤバい(笑)
これの存在を知らないコンサルはいない
・・・ハズ
SEO についての知識を持つ方で、PageRank をご存知ない方はほとんど居ないだろう。
PageRank とは、Google のアルゴリズムの1つであり、Web サイトが張る「リンク」を「支持投票」とみなして、
「リンクを受ける=支持されるページ=価値あるページ」という判断基準でページの価値を決める技術である。
この PageRank は、一般的には Google ツールバーをインストールした際に緑色のバーが表す10段階の数値として認識されている。
さて、このツールバーに表示される PageRank だが、日本のサイトでどこが最も高い値となっているかご存知だろうか。
2008年12月1日現在、財団法人日本情報処理開発協会が運営するプライバシーマーク制度のサイトが PageRank10 で最大となっている。
日本のサイトでは、Yahoo!JAPAN や Google でも PageRank9 のため、プライバシーマーク制度のページは日本で最も使用されるサイト群に勝る評価を得ていることになる。
メールの誤送信により外部へ流出したことがわかった。
同サービスは、N.T.Technologyが提供しているもので、国内では同社よりゼロがサポート業務について受託して運営している。
同社によれば、1月30日に同サービスの利用者に対して自動更新を案内する連絡メールを送信したが、
その際に誤ってメールアドレスを「CC」に記載したため、関係ない別の利用者からメールアドレス600件が確認できる状態になった。
メールアドレス以外の個人情報は含まれないという。
2ちゃんねるビューアー
ttp://2ch.tora3.net/ JIPDECのPマーク事務局?
通常はそういう実務に関する相談には答えてくれないはずなんだけど。
1万を超えたと思ったらすぐに下回るし。
新JIS移行の陰で、更新辞退、審査不合格が続出してるってことか。
ttp://sakuratan.ddo.jp/uploader/source/date104121.gif こ、これはプライバシーマークじゃなくてフライパンマークなんだから、
変な勘違いしないでよね!
その為に、コンサルタントとしての資質としては、会社の業務を良く分析し、理解する事が求められます。
あとはコミュニケーション能力ですね。
一方、審査員に求められる資質は、しっかりと規格の本質を理解して、
構築されている仕組みが規格に適合したものになっているか、記録などエビデンスは適合しているか、
継続的な改善の仕組みと活動が行われているかについて、限られた時間内にジャッジをする事です。
合法・違法関係なく、さっさとPマークがとれれば、いいコンサルとされるのが現状です。
認証取得支援コンサルに限っていえば、対象企業の現状と
規格が求める水準とのギャップを把握し最短距離で埋める
ためにも「しっかりと規格の本質を理解して」いることが
最重要でしょう。
「企業に早くしろとせかされ」たら、通過しなければなら
ないプロセスのロスを削ぐだけ。自ずと限度はありますが。
どういう経験則?
新規取得の伸びは明らかに鈍化していますが・・・
ただ、大企業の外注先管理などの指標としては
知名度もある程度あり「分かりやすい」から、
廃れることはないと思われますが。
回答期限は2月18日。
今回実施されているアンケート調査は、個人情報保護法やガイドライン、プライバシーマーク
の認知度や個人情報の保有状況をはじめ、個人情報保護対策、個人情報保護に対する意識
などについて調べているもの。
経済産業分野だけでなく、業種や事業規模を問わず幅広い事業者からの回答を受け付けている。
インターネットアンケートサイト
ttp://www.nord-ise.com/privacy/ 去年から社内の監査責任者に任命されて色々頑張った甲斐がありました。
って役にたってたのかは微妙ですが(笑)
ただ取得はスタート地点です!!
これからしっかり運用していけるように頑張ります。
話を聞くと、不景気だからこそ、より仕事を取るために「差別化」の意味から、Pマークの認証取得を
考えているらしく、動いていたそうです。
そういえば、あるITメーカー系では、業者を絞り込む条件として「Pマーク」を利用しているという話を
先日聞いた事があります。
個人情報保護法第22条により、個人情報取扱事業者には
委託先監督義務が課せられているからでしょう。
開発のほか、広告や印刷業界などでも同じような話を聞きます。
いい加減な社員1人のせいで、発注元が新聞TVで非難され、所属する委託企業が仕事を切られる。
大手担当の気持ちもわかるよな。。。
どっかのサイトからパクって直せばいいとか簡単に言われたけど
ttp://pc11.2ch.net/test/read.cgi/netspot/1194444217/
丸投げするから悪いw
同社が「企業の情報資産管理に関する実態調査2008」を取りまとめ判明したもの。
同調査は、2008年8月に従業員20人以上の国内企業1万社を対象に、情報資産管理や保管に関する企業の実態、
意識についてアンケートを実施したもの。回答数は1638社。
調査結果によれば、情報資産管理において最も危険性が高いと思うリスクについて尋ねたところ、
「情報の漏洩」と回答した企業が全体の17.2%で最も多かったという。
次いで「原材料価格の高騰や供給不足」14.4%、「人材の不足・流出」13.6%と続く。
また、7位に「情報記録の紛失」、8位に「社内のコンプライアンス違反」などが入っている。
重要書類やデータの情報管理については、84.9%の企業が「課題を抱えている」と回答。
課題の内容としては「災害時に備えた情報の安全対策」が48.3%で最も多く、
「書類とデータを一元管理する仕組み」35.8%、「情報漏洩対策」34.1%と続く。
情報資産管理に関する外部委託の状況を見ると、57.9%が何らかの外部委託を実施している。
企業規模別では小規模企業ほど委託利用は少なく、
1000人以上の大企業では75.0%が利用しているという結果になった。
ワンビシアーカイブズ
ttp://www.wanbishi.co.jp/ 1.情報を漏らすな
以上
個人情報保護と言えばとにかく漏えい対策、と考えがちですが
プライバシーマークで要求されるのはそれだけではありません。
「Pマーク利権に群がって美味い汁を吸う」まで読んだ。
取得難易度が上がってきた感じがするのは 氏のご指摘の通り。
とりあえず規程らしきものが整っていれば・・・というレベルから
マネジメントシステムとしての整合性、実効性を見られるように
進化してきていると感じます。
管理しきれないほどの規程の山を抱えて空文化させてしまっている
会社の担当者様は要注意、です。
どうすれば紺猿になれるん?
基本的にはコンサル会社にコンサルタントとして採用され、現場で
の経験を積むのがよいと思います。
前職で情報セキュリティやPマーク構築に関わった経験があれば
採用の際、ある程度は評価ポイントになるかもしれません。
ただ、現在もの凄く成長しているという分野ではないので、採用
を積極的に行っている会社は、そう多くはないと思います。
4月にかけて紛失していたことがわかった。
担当者は紛失の事実を把握していたが、市への報告を怠っていたという。
2008年3月、訓練センターの運営業務を委託先の財団から市へ移行後、書類を綴じていたファイルが紛失している
ことに職員が気付き、4月上旬に上司へ報告した。
財団へ問い合わせるなど捜索を行ったが見つからず、報告を受けた上司は書類が外部へ流出することはないと判断し、
市への報告していなかった。
2009年3月9日にセンター利用者から同市広聴相談課へ紛失を指摘する投書があり、問題が表面化した。
今後対象となる利用者の特定を進め、順次説明と謝罪を進めるとしている。
横浜市
ttp://www.city.yokohama.jp/ 同局の運営課業務管理室調査官が、2008年12月26日に同僚2人の記録を業務目的外で閲覧したもの。
同局では問題の職員を減給3カ月の懲戒処分とし、監督者3人に対し文書または口頭による厳重注意処分を行った。
京都社会保険事務局
ttp://www.sia.go.jp/~kyoto/ アクセス規制のせいで(ry
審査員の意味不明な不適合指摘乱発ぶり。
審査員大量養成によって、当初の年配の方100%の時代よりも、
キツすぎる審査員にあたる確立は減ったように感じていましたが、
最近また食らいました。
ほぼ同じ仕組み・文書で、あるクライアントのところでは不適合8件程度
でしたが、アタリのクライアントのところでは40件強☆
後者の内訳、「規格どおりの文言でない」という理由が半分。
あとは「ただし書き適用時の対応ができてない」が3割、あと2割は、理解度テストの
内容がいいのわるいのといった、審査員の好みとしか思えない内容。
審査基準の規格に書いてないことで不適合だすのは、JIPDECの流儀だから
仕方ないにしても、審査員の主観で不適合だすのにはいかんよなぁ。
改善報告書の下書きをしてますが、各指摘ごとに是正処置のステップを
踏んで回答することを要求するのが最近のトレンドなので、
原因に「審査基準に指摘の根拠となる要求事項が含まれていないと
認識していたのが不適合指摘の原因ですっ」って書いてみたい
衝動にかられています。
実際に、有効に機能しているかを見るのがP審査だからなー。
画一的なチェックでは把握できない部分はどうしても審査員の主観が入ってしまう。
全社がマークシート式テストの採点、後者が記述論述式テストの採点と考えると理解できるかも。
Pマークのやれるコンサルタント、審査員が極端に少ないのは、そのせいだな。
ISMS 5,000人 3,000社
Pマーク 800人 10,000社
微妙に逆じゃね?
そうか?単純に割り切れない審査項目が多くて見解が別れるのがPだと思うが。
業種、規模その他によってどこまで要求するか、難しい問題だし。
ペーパー審査員(実務は全くわからない未経験者)もいるしw
有名企業管理担当(50才・院卒) 「はは、大至急着手いたします。お取り計らいのほどなにとぞ・・・。」
500人で1万社(2年ごとに更新)プラス新規案件を担当している計算か。
氏ね!
一部利用者の個人情報が2年以上にわたり閲覧できる状態だったことがわかった。
トムソンコーポレーションによれば、誤って公開したリストは、2006年8月11日の時点でメールマガジン
「トムソンファーマアップデート」の受信を希望した274人分のメールアドレス。
48人分には氏名が含まれていたほか、メールアドレスから氏名を特定できるケースも79人分あった。
同社では2006年11月24日にトムソンファーマに関する案内メールを配信し、同内容をウェブサイト上へ掲載したが、
その際に誤って配信リストをサーバ上へ保存してしまったという。
3月5日に顧客から指摘受け、問題が発覚、同社では問題のファイルを削除し、関連する顧客へメールで謝罪した。
トムソン・ロイターサイエンティフィック
ttp://www.thomsonscientific.jp/ ネット販売やWEB制作等、情報を扱う故、
プライバシーマークの取得は重要な項目です。
個人の情報は、大変重要なものを預かっているわけですから、
我々としても、最大限の努力をすべきだと思います。
様々なネットショップがありますが、
個人情報をいい加減に管理している業者も多いです。
かなりの時間と労力はかかりますが、
お客様の安心と安全のため必要なことなので、
スタッフ全員で取り組んできました。
商売、商いは、お客様との信頼の上に
成り立つわけですから。。。
独学で取得は無理と考えても良いですか?
因みにカタログ製作会社の人事係長をしています。企業規模は5人です。
実際問題、ほとんど無理でしょうな。
時間コストが無駄になるだけだと思います。
他社で構築経験がある人、IT・法律に強い社員、を1年間専任させれば、
可能性はあるけど、それでも難しいです。
担当者が専任でないと無理でないかい?
取ってしまえば兼任でもよかろうが。
ただ、コンサルを入れれば早く取れるかというと、アタリハズレもあるし。
同社山形支店の委託先が、3月17日に誤って別の顧客宅へファックスを送信したもので、今回の事故により
個人顧客22件や法人顧客7件の顧客名、電話番号、工事内容などが記載された工事関係書類が流出したという。
同社では、誤って送信されたファックスを受信した顧客へ事情を説明し、書類をすべて回収。
また流出の対象となった顧客に対しても事故に関する説明や謝罪を行うなど対応を進めている。
NTT東日本
ttp://www.ntt-east.co.jp/ 同社の顧客に対し、3月中旬以降から業者による勧誘がたびたび行われているもので、3月27日の時点で、
同社へ22件の相談が寄せられている。
同社では流出の事実を確認していないものの、同社へ届けられた顧客の連絡先が利用されていたことから、
個人情報が流出した可能性が高いという。
同社では緊急対策本部を設置して調査を進めており、詳細について引き続き公表していく方針。
三菱UFJ証券
ttp://www.sc.mufg.jp/ ここがわからないと失敗する。
よいコンサルタントを入れれば、時間コストを
大幅に削減できます。ただし、 のいう通り
アタリハズレはあります。
膨大な規程類をよこすコンサル会社もありますが、
無駄な規程は無駄な作業を発生させます。
規格をよく理解して、何が最低限かを見極めるのが
よいのですが、難しければ最低限、実際に担当する
コンサルタントと事前に面談し、人柄、相性のほか
会社のスタンス(けっこう違いがある)を比較検討
するとよいでしょう。
あと、実装から入ると失敗します。
,233のような半可通ベンダにはくれぐれも注意
「これ買わないと通りませんよ」みたいなw
があります。会社が良いと、ハード面(規定や様式等)が充実
しているので、書類審査はノープロブレム。ただし、来ん去る
会社の担当者(実際の来ん去る)が規格を理解していない猿だ
と、時間と手間が掛けたあげく、煩雑な運用になる恐れがあり
ます。なので、担当者の面接と実績を確認出来ると安心です。
また不合格切り捨て大量発生か?www
実行不可能な規定をゴテゴテと。運用できる訳がない。
それを言っちゃぁ、おしm(ry
実際、直接利益を生む業務じゃなし、他部門からの突き上げ、
上からの急かし、まったく気の毒なもんです。
新JIS移行だけじゃなくって、更新でも実際に
運用することが難しい規定を作った挙句、出来
なくて現地審査で指摘されるってことは有るよ
ね。そんなとこは、担当者の退職をリスク分析
に入れておかないとまずいよ。
三菱UFJ証券は8日、同社の元社員が4万9159人分の顧客情報を名簿業者に売却していたと発表した。
元社員が不正に流出した情報は、同社に口座を開設した顧客の名前や住所、電話番号、勤務先などの個人情報。
三菱UFJ証券では、情報を受け取った名簿業者3社に対し、情報を利用しないよう要請したうえで、
「捜査当局などと協力して対応を講じたい」としている。
自分たちが必要と考えて作ったのなら、まだ仕方がないとも
言えそうですが、許し難いのは、知識が不十分orいい加減な
コンサルが、他人のことは知ったこっちゃない、とばかりに
テキトーな規定を押し付ける例です。
犯人は個人情報の価値に疎かったらしく、
約5万件を33万円で売却だとさw
いろんな意味で困った奴だ。
悪い来ん去るだと、自分達の仕事のために
あえて規定を押し付けているんじゃないか、
何て思ってしまうことは有る。
それも3社に売り払ってしまっている…
で、おまけに安く…
恐らくコピーが幾つか出回ってしまっているだろう。
恐ろしいですね…
量も多いし、情報が情報だけに少しやっかいかもね。
勤務先も収入区分もあったらしいからね…
これはいろいろ使えますからね、ちょっとまずいかも知れません。
三菱UFJ証券さんくらいの会社なら、Pマークぐらいは取得しておけば良かったのにねと思います。
現在のPマークは、昔の規格に比べて、運用を重視していますから、そこそこのことは防げるはずなのですが…
Pマークは、恐らく、コンプライアンスや内部統制系の規格では、一番安上がりな認証規格だと思いますが、
それくらいは取っておいた方が良いでしょうね。
ISMSとってるよ
ISMS(ISO27001)では、個人情報の管理が全般的に甘い。
リスク分析もライフサイクルごとでないし、台帳管理なども大雑把でいい。
認証やら制限やら ガチガチにしても やる奴はやる! 所詮 人間だもの。
縛りが多くなって余計な仕事が増えるのは本末転倒。
簡単に漏洩する企業が多いってこったろw
結婚相談所によっては入会してから事細かに会員のデータを一つ一つ聞いて入力してデータ化したプロフィールを作ります。それだけいい人との出会いが待ってることにもなります。もちろん写真も載せるわけですよね。
今個人情報やプライバシーについてはかなり厳しい世の中になっていますが、個人情報保護法というのがあり、結婚相談所も個人情報を取り扱う業者ですから、個人情報の取扱には十分に注意しなければならないということになったのです。
結婚相談所によっては、自分の個人情報が掲載しているこのデータやプロフィールをインターネット上で閲覧できるシステムを作っているところもあるでしょう。ちょっと結婚相談所を利用する場合に不安ではないですか?
そんな時には、結婚相談所にプライバシーマークがついているのかどうかを確認してみましょう。
結婚相談所でプライバシーマークがないということは、あなたの個人情報が危険にさらされているということにもなるかもしれません。怖い世の中ですから個人情報の取扱には十分に気をくばってほしいですよね。
結婚相談所は会員が沢山いて膨大な数の個人情報を取り扱っていますら、結婚相談所を選ぶ場合には個人情報をどのようにして取り扱っているのか、管理しているのかについてもあらかじめチェックしておいたほうがいいかもしれません。
反対派の1人が国を相手取り損害賠償を求めていた裁判で、東京地方裁判所は、国に70万円の支払いを命じた。
弁護団によると、個人情報漏えいをめぐる裁判で、70万円の賠償額は過去最高だという。
1件で70万円か?高額訴訟が流行したら面白いなw
落札されたと発表した。
男性社員は列車の案内板や誘導用旗、工事注意表示板などの備品4点も出品しており、同社は刑事告訴も検討している。
もうどこに何が書かれてるかわからないし、探せないってw
PCIDSSは、カード業界のセキュリティ基準(具体的な対策例)
Pマークは、セキュリティ分野を含む国営(経済産業省)の認証規格
ISOは、国際的な民間機関の認証規格
ISMSは、ISOに統合されたセキュリティ認証規格(ISO27001)
三菱UFJフィナンシャル・グループ傘下の三菱UFJ証券の部長代理(44)=懲戒解雇=が、電話番号や年収区分を含む約5万人分の顧客情報を名簿業者に売却していた問題で、
名簿の転売先が当初発表していた13社から大幅に増えていたことがわかった。三菱UFJ証券の秋草史幸社長が17日夕に都内で会見して謝罪し、詳細を発表する。
4月8日の会見では、元部長代理が今年2月、同社の個人口座4万9159人分の顧客情報を名簿業者3社にメールで売却していたことが明らかにされた。
名簿業者は不動産関係企業など13社に名簿を転売したことがわかっていたが、三菱UFJ証券には、この中に含まれない10社程度からも「勧誘がきた」との問い合わせがあり、
転売先が広がっている可能性が浮上していた。
三菱UFJ証券は転売先の拡大により、全社からの情報回収が難しい状況になっていることを認めるもようだ。悪質な手口による情報流出に加え、転売先の拡大が明らかになったことで、
同社の信頼失墜に拍車がかかるのは不可避だ。
売却されたのは、平成20年10月3日〜21年1月23日までに新規口座や投信ラップ口座(資産運用を証券会社に任せる富裕層向け口座)を開設した顧客に関する情報。
具体的には名前、住所、電話番号(携帯含む)、性別、生年月日、職業、年収区分、勤務先の情報など多岐にわたる。
流出先は累計80社くらいだそう。氏ねよ。
同レポートは、2008年1月から12月の間に検知したインターネットセキュリティにおける脅威についてまとめたもの。レポートによると、2008年は160万以上の新しいマルウェアを検出しており、1カ月平均2億4000万件の攻撃が検出された。
また、検知した全脅威のうち、90%が個人情報の詐取を試みたものだった。なかでも、キーボード入力情報を記録してオンラインバンキングなどの口座情報を盗もうとするものが、個人情報を狙った攻撃の76%を占めており、2007年の72%から増加している。
同社では最近の傾向として、マルウェアの大量配布から、狙いを少数に絞って配布する方法へ移行していると指摘する。特に口座情報やクレジットカード情報などの入手を目的としたマルウェアを作成し、利益を得ているという。
自分の個人情報を危険にさらすことのないよう、今後もセキュリティ対策を万全にするよう注意している。
シマンテック
ttp://www.symantec.com/ja/jp/ 法人部門で取引停止が数十社出て、業績に大打撃だって。
ある高齢顧客には、悪質な勧誘電話が1日に数十件でノイローゼ気味!
最悪の展開・・・
三菱東京としたらこのアホを民事で一生立ち直れないところに追い込むしか手はないだろう・・・
大日本印刷のときも、マスコミで大々的に騒がれたけど、
印刷最大手という力関係だけで、何もなかったように風化してしまったな。
意味なんて無いよ!
> 意味なんて無いよ!
従業者が会社の情報資産を持ち出し、それが
漏えい事故につながった場合を考えてみれば
よいでしょう。
ルールがないから持ち出した、というのと
ルールを破って持ち出した、というのでは
大きな違いです。
ルールがないところに明確なルールを定める
ことだけでも、リスクは低減できます。
また、審査にはコンサルタントは立ち会えませ
んし、そもそもマネジメントシステムを維持して
いくのは貴社自身です。
昨今の更新審査においてもマネジメントシステムの
運用状況が重視されているようで、新規取得の際に
「とにかく手っ取り早く取得できりゃいい」という
スタンスの会社は後で苦労しているようですよ。
私は一応個人情報保護管理者になってます。
社員教育は一応はしますがあたりまえの話だけで個人情報を持ち出すのは
意図的にしています。
形式だけの教育や制度(ルール)を作ってもやる奴はやるしやらない奴はやらない
審査物件なども全部コンサルが作りました。
審査のときは言われたものをファイルの中から探してここですというだけでした。
審査して気項目は7つ、よく出来ているといってました。
個人情報保護管理者は個人情報についてはあらゆる権限が与えられたとえ
代表取締役社長といえども形式上は口出しできません。
でも実際の運用ははんこを押すだけです。
気項目は指摘項目の誤りです、ごめんなさい。
リスク背負うだけだったりしてw
良くても両刃の剣。
ご丁寧なレスをどうも。申し遅れましたが、私、現役コンサルです。
個人情報保護管理者さんでしたか。労多きお役目、お疲れさまです。
個人情報保護マネジメントシステム構築の際、スパイラル・アップ
という言葉がでてきたことと思います。
PDCAを回していくなかで、螺旋階段をのぼるように順次洗練、
向上させていくこと、と説明されます。はじめから完璧であること
を望まず、日々の業務を通じて、よりプライバシーマークの似合う
企業様として発展していかれることをお祈り申し上げます。
コンサルをやっている人でしたか。大企業ならともかく中小企業では本当に形式だけです。
大企業得に金融などはPCのアドミ権限も無く外部メディアは使えなくなっていますが中小企業ではやり放題です。
一応禁止になっていますが個人情報管理者に実質権限が無く野放し状態です。
まあかんたんとはいえ研修を受けるのはある程度意味はあると思いますが確信犯には手も足も出ません。
2006年版対応は既にお済みだと思いますが、指摘対応の際に、
「不適合となった原因」を明らかにし、「その原因を除去する
ための是正処置を記述」するよう指示されたかと思います。
この、「不適合となった原因」を特定するのが非常に大切で
なぜなら、「不適合となった原因」によって、講ずるべき
是正処置が変わってくるからです。
外部メディアの使用が“一応禁止になっているが実態は野放し”
の場合も、原因によって対応が変わるはずで、明確なルールが
ないのが原因ならルールを策定することが対策になるでしょうし、
ルールがあるにもかかわらず周知されていないのなら、教育を
徹底し再度周知することが適切な対策、というわけです。
貴社の場合は、「確信犯」ということですから、罰則の強化が
対策となると思われます。
貴社の業種にもよりますが、受託業務の場合、お取引先から個人
情報の管理について調査があるかと思います。万一事故があり、
調査の回答内容と実態のズレが露呈すると取返しがつきません。
大きな事件もあったことですし、トップに経営上のリスクとして
認識していただいて、再度ルールの確認(必要なら強化)をする
必要があると考えます。
企業規模が小さくとも、受託業務を慎重に取り扱ってらっしゃる
企業さんは有ります。また有名な企業さんで有っても、充分な体
制を取られていない企業さんも有ります。
私の少ない経験の中で分かった理由の一つとして、経営層が重要
性や有効性を理解しているかがあげられます。個人情報保護管理者
さんも、たいへんと思いますがトップに働きかけてみて下さい。
絶対に防ぐことはできない。
三菱UFJ証券の事件で分かっただろ?
絶対の対策は講じられないと思います。それは、
確信犯に限らず、業務上のミスやトラブルでも
起こり得ることです。
その、どうしても防げないリスクを管理するこ
とによって、発生の脅威から資源を守ることが、
マネジメントシステムの目的のひとつと思いま
す。
電話がよくきます。
横からだが、Pマークは外部ディスクを使用させないことを謳っている訳じゃないよ。
個人情報の適切な利用の範疇に外部ディスクが入ってればオッケーだよ。まぁ、
管理が楽だし外部ディスクが本当に必要かって話を吟味して「原則禁止」としてる
企業が多いが。あと、禁止にしたければ期限を設定してパソコンにマウントできない
ようにするのが一番だよ。その根性がないのなら「何が起こってもオレは知らない」
と常日頃から大声で言っておいた方が身のためかな。
ゴミのような個人情報を持つより、持たないという潔い態度が必要。
ま、金融機関の場合はムズカシいけれどね。
データベースからごっそり抜くようなやり方はシステムの不備だと思うよ。
一回あたりの参照可能人数を制限すれば、最悪数百人の個人情報しか漏洩しない。
「個人を特定できるもの」が個人情報、という定義に従えば
個人情報を全く持たずに事業を行うことは不可能と思われ。
持つことのリスクを認識してなるべく持たない、被害を小さ
く抑えられるようにするという考え方には同意です。
どこを選んだらいいのか分からない。コンサルの相場は幾ら
ぐらいなんですか?
取得までフォローして100万以下応談で、
約束しているところがアル(個人紺猿)とか。
取得する事業所の事業内容や規模によって、
規定と様式が変わるので一概には言えないが、
そもそも正価が有るわけではないので、
複数業者へ見積を取ってみてはどうだろうか。
注意点は、オプションが多い業者が有るので、
実績を聞いてその会社にも聞いてみるのがいいかと。
ほとんどコンサルはして貰えず。
これじゃ、結局どっかで雛形だけ買えばよかったかな?
一日おきに電話がうるさかったのに
現地調査をして審査料金を払ったら、
是正書類の提出期限1週間前になっても
ぱったり連絡が来ない…
質問があるときには「電話が欲しい」と
メールをしろと言われて、
メールをしたのだけど一日経っても電話が来ない…
民間の指定機関なんて審査料がもらえれば
それで終わりなのかねぇ…
なんかアホクサ
一日おきの電話というのはすごいなぁ…、
それは熱心(営業か?)な指定機関だと思う。
なぜなら申請期限を過ぎると、
プライバシーマークが失効するから、
温度差は有るが連絡活動はしている。
是正の催促をしないのは、
提出期限前だからだと思う。
こちらは〆切を過ぎても、
即マーク失効にはならないから。
ほんっとにすごい営業活動でしたよ(笑)
〆切を過ぎてもマーク失効にならないんですか!?
指摘事項の書類に、「3ヶ月以内に改善報告書を
出さないと審査を打ち切ることが出来るものとします」
なんて書いてあるから、
3ヶ月経っちゃったら、現地調査代も払っちゃっているし、
ピタッと審査打ち切りにでもなると思ってたんですが…
で、いまだに電話は来ず…orz
ttp://anchorage.2ch.net/test/read.cgi/livemarket1/1243805089/
1年後に更新なのだがすでに鬱だ。
社内のセキュリティマニュアルは既に有名無実になってるし。
上司が取引先との契約にPマークが必要だったという理由で取得したのだが、取得した途端に突然興味がなくなって・・・
〆切迄に提出しないと、しばらくして審査リーダーか、
審査機関事務局から連絡が入る。そのタイミングで、
「どうする?」って話になります。審査打ち切りになる
かどうかは、そこからスタートです。
良く見ると、有効期間満了日が過ぎたものが一杯掲載してある。
「有効期間を過ぎている事業者は現在更新手続き中です。」ということらしいのだが・・・
古いものでは 「20.01.04」って、一年以上前のものも散見される。
期限切れから一年も更新作業中なのか?
[21.03.31]以前、すなわち、期限切れ3ヶ月以上経過しているもは、ざっと1,000件ほどあるんじゃない?
更新の時期ってどうなってんの?
ただ、メンテナンスができていないだけなのか・・・もし、そうだったら信頼性に欠けるな。
事業者数を膨らませるために・・ってことは無いだろうけど。
「2年の移行措置期間(2008年11月)終了後、旧JISに基づき行われた付与認定は、無効となり付与認定を解除する。」とありますが、
旧JIS認定企業は、もう無効になっているんですか?
無効になっているよ。
更新手続き中はある。
入札などで審査中である証明が必要なら、
審査機関が証明を出してくれる。
ttp://www.jpca-npo.org/ ttp://www.joho-gakushu.or.jp/ 東京タワーから見ると、
どっちもどっちと思う。
コンサルティングスキルは、
保有資格や所属企業では計れないと思う。
この資格がなきゃコンサル不可って訳じゃないからなぁ。。
で、東京タワーって何?
> コンサルティングスキルは、
> 保有資格や所属企業では計れないと思う。
禿げしく同意、です。
資格を取ったら自分以上の何ものかになれるというのは幻想。また、
未熟なコンサルは自社の雛形については何とか説明できるレベルで
外に出て、クライアントとの情報格差を悪用することで一人前の
コンサルフィーをいただくわけです。
> で、東京タワーって何?
対面の「総本山」のことじゃない?
今度来たコンサルが、
ICカードとは別に紙でも記録とらなきゃだめだって言うんです。
Pマーク的には、紙がメインで、紙の記入漏れがないかを
ICカードのログで比較して確認する必要があるんだって。
ICカードのログを信用して照会するんだったら、
初めからICカードだけでいい気がするんですが、だめなの?
来る審査員次第じゃないのかな?
ファイルサーバーのバックアップは取ってるのにRAIDですと答えるとそれで通る人とそれはバックアップではないという人がいるらしい。
どもです。
審査員によっても言うことちがうってのはありますねー。
ISO9000がメインの人だったり、ISMS だったり。
重要視するところが違うんですよね。
というか、知識がない部分は深く突っ込めないといった
ところでしょうか...
ある意味で数は力だから興味があるんだが、どっちが勢力大きいのかな。
どっちも糞。
そのレベルでできるなら、そもそもコンサルは不要、担当者だけでできてる。
ビジネスパートナーに対し情報セキュリティ対策への取り組みを求める企業が7割を超えるなど、重要度の認識が高まっている。
同調査は、2009年2月に国内企業1755社を対象として実施したもの。
現在の導入状況を見ると、ウイルス対策やファイアウォール、VPNなど外部からの脅威に対する対策は進む一方、
情報漏洩対策などは導入検討中の企業が多い。なかでもコンプライアンス対策への導入意欲は高まっているという。
また、ビジネスパートナー選定での情報セキュリティに対する意識度調査では、セキュリティ対策を「非常に意識している」と答えた企業が24.0%で、
「やや意識している」と答えた48.8%とあわせて、72.8%がセキュリティ対策を意識していることがわかった。
同社では、今後も中堅企業の需要が拡大するとの見込みを示している。
IDC Japan
ttp://www.idcjapan.co.jp/ 2008年3月末時点において国内で情報セキュリティに関するツール、サービスなどを提供している事業者を対象に調査を行ったもの。
同調査によれば、国内情報セキュリティ市場は、6847億円となった2007年度から6.1ポイント拡大して7268億円に達したと見られている。
内部統制を含むコンプライアンス対策や事業継続管理といった需要の伸びや、個人情報や機密情報の漏洩事件に対する危機感から、
企業の情報セキュリティ対策が進んでいると報告書では分析している。
一方で、世界同時不況の影響も現れており、14.7ポイント増加した2007年度から成長率は鈍化している。不況の影響は2009年度により顕著となる見込みで、
全体でマイナス5.4ポイント減少し、2007年度並みになると予測されている。
経済産業省
ttp://www.meti.go.jp/ 個人的な事業の案内を送付していたことがわかった。
不正に利用されたのは、同センター主催のセミナー「ナレッジセミナー 今日から始められるコスト削減・成功の秘訣!」
に申し込んだ305人のメールアドレス。
2009年3月末に退職した元職員が持ち出したもので、4月21日10時20分ごろ、退職後に始めた個人的な事業に関する案内をアドレスを利用して送付。
メールの受信者から同日中に問い合わせ寄せられ、不正利用が発覚した。
同センターでは元職員が持ち出したアドレスデータを回収し、関係者にメールで説明と謝罪を実施。
アドレスが第三者に流出した事実は確認されていないという。
大阪市都市型産業振興センター
ttp://toshigata.ne.jp/ > で、東京タワーって何?
JIPDEC
ttp://www.jipdec.or.jp/ed/study/edu_menu.htm 運用の担当者としてまたは、コンサルタントとして実際に数社を合格させ
足りない部分を専門書で学習する・・・
これでやっとものになるかどうかだな。
ここまでで数年はかかる。
学習の動機として、なんかの資格をとるのも有効だが、実務で経験していないと
まったく使い物にならない。
そもそも誰でもとれる検定あたりでできる仕事なら、全くニーズはないよ。www
でも新規参入するほとんどがこのレベルだから、頭のレベルを疑うよ、まったく・・・
日立・NECなどの子会社は、これまで何度も参入して即撤退・・・
ソフトやツール売って完了!っていうわけには行かないからなー。
それ、ただのバカじゃないの?
そうでなければ、ICカードで入室ログしか取ってなくて退室ログを取っていない場合、
それを紙で残せという趣旨では?
ICで入退室双方のログが残っていれば審査上特に問題はなし。
そんなコンサルはクビにしろ。
と、審査員が言ってみたりする。
>
> Pマーク的には、紙がメインで、紙の記入漏れがないかを
> ICカードのログで比較して確認する必要があるんだって。
そのようなことは無いです。
まず、入退室の記録を作成する目的のひとつは、
不審な出入りなどをチェックするためです。
データでチェックしていることが、
記録として残されていれば問題無いです。
> 541
>
> ファイルサーバーのバックアップは取ってるのにRAID
> ですと答えるとそれで通る人とそれはバックアップでは
> ではないという人がいるらしい。
外付けRAIDディスクに取っていたらO.K.です。
でも、同じRAIDディスクにバックアップしていたら、
構成や設定によってはN.G.です。
RAIDディスクだって壊れることは有りますし、
データの世代管理などのリスクが発生するためです。
> 550
これも同じと思う。
コンサルティングスキルは、
どこで研修を受けたかとか、
保有資格保有者数でも計れないと思う。
ログはデータでとっている、といってもすぐには見らんないわな。
紙でつけておけば不審な点があればすぐにわかる点はメリット。
氏がどの程度経験のある審査員様か知らないが、指摘に
ならない保証はないし、貴社のコンサルの助言は妥当、に1票。
鋭い!!
最初入室者と最終退出者は自分で紙に毎日記録する。
その記録の裏をログにて確認する。
これで、夜間に認知されていない不審な入退出のないことが確認される。
力のあるコンサル(審査員?)が一刀両断した模様w
どんなケースを想定しているのか分かんね。
(a) IDカード持ってる + 紙に記入しない
(b) IDカード持ってる + 紙に記入する
(c) IDカード持ってない/使わない + 紙に記入しない
(d) IDカード持ってない/使わない + 紙に記入する
どの場合を、両方のログを取ることで検出しようとしてるの?
貴方の言う夜間の認知されてない不審な入退出ってどれ?
セキュリティの強度なんて素人でもいくらでも強く出来る。
ただ、上はそれぞれの会社が判断して決めればいーんであって、
じゃあ、Pマークとしての最小限って何よ?とゆーのが聞きたい。
Pマークだけで考えないで情報セキュリティ一般的には〜
云々言うのは、きちんと理解していない証拠。
まあ実際は審査側が理解できていないので、マージン取るしかないんだろーけど。
そんなに興奮しないでw
ピンボケでトンチンカン
ヤクザの論理だな
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
プギャ━━━m9(^Д^≡^Д^)9m━━━━ !!!!!!!
どーしてそんなにバカにされてるのか分からん。
セキュリティだってただじゃないんだから、
運用しようとすると、コストがかかる。
Pマーク取得するんだったら、その要件は必須だから、
その対応にかかるコストだったらお偉方も納得する。
なんかよく分からんけど、日本銀行の金庫レベル
入退出装備つけろって言われてるんで金出してください。
じゃ予算くれねーよね?
だから、最低限が知りたいってのは当たり前で、
そこから金庫を付けるのに、どれくらいコストがかかって、
最低限に比べて、どれだけ利点があるのかを洗い出すのは
当たり前だと思うんだけど。
基本的にわかっていないから
具体的には根拠とか説明してくれないんだよなー。
〜をやりなさい!とかゆーんだけど、
Pマーク的になのか、その他情報セキュリティ的になのか
コンプライアンス的になのか、素人にはわかんねーよ。
とりあえずログの件は、Pマークだけの要件で考えれば
紙が絶対必要で、IDカードはあってもなくても関係ないってことで
いいんだな?
IDカード系の入退出管理を売り物にしている会社は、
結局それだけじゃ合格しないから、過大広告だったんだな。
ホームページから入手できる資料。
JIPDECのガイドラインの、
3.5.3 記録の管理(p.61)に、
「記録は紙媒体である必要が無くって、
運用しやすい方法でイイ」
って記載されているよ。
一連の議論の前提は(b) だろ。
> Pマークだけで考えないで情報セキュリティ一般的には〜
> 云々言うのは、きちんと理解していない証拠。
ここは理解できるが「きちんと理解していない」云々が余計だったのかな
入退室記録に関しては、じっさい指摘になる例も多いですよ。
入退室記録はICカードのログがある、といっても警備会社との
契約によっては「事故があったら後でログを貰える」となっている
場合も多く、これでは対応が後手になってしまうので、大した
コストもかからないのだから(すぐに目で見られる)紙でも
つけるべき、との指摘になるのもやむなしかな、と思います。
>とりあえずログの件は、Pマークだけの要件で考えれば
>紙が絶対必要で、IDカードはあってもなくても関係ないってことで
>いいんだな?
あなたの会社の規模や業態が分からないので何とも言えませんよ。
たとえば、遊戯施設の事務室のようなところに重要な個人情報が保管
されており、事務室はしばしば無人になる。一日に何度もスタッフが
出入りするのでしばしば施錠を忘れ、過去に何度か盗難事故があった、
などという場合はどうなんでしょうね?
まぁ、普通の事務所(就業時間中にはまず無人になることのない事務所の
入り口の話とか)だったらまずマストではないと言ってよいと考えますが、
結局は貴社の規模や業務内容によるでしょう。
569 さんが言及しているJIPDECのガイドライン(ホームページの
プライバシーマーク制度>参考資料から無料でダウンロードできます)
の10ページに「合理的なリスク対策」の説明として、規模や事業内容に
応じて経済的に実行可能な対策を検討すればよく、システムにお金を
かけられないのでマンパワーで対応もアリ、と書かれています。
>IDカード系の入退出管理を売り物にしている会社
「これ買わないとプライバシーマーク取れませんよ」などという
ベンダ営業はどうかと思いますが、彼/彼女らに審査の実際を知れ
というのは酷でしょう。
「予算がないからマンパワーでなんとか・・・」なんて言おうものなら
「ふざけないでくださいよ、全く・・・」
「立場をわきまえてモノ言えよ、ゴラア!!」
「どの面さげて、貴様・・・」
秒殺されそうだなw
指摘の内容が不明なので想像ですが、
3.7.1「運用の確認」に最低限の記録として、
三つの例が記述さています。
この点が実現できているのでしたら、
電子データでも大丈夫です。
> 「事故があったら後でログを貰える」←×
事故が有ってからログを貰うのではなく、
ログ(記録)をチェックして、
情報セキュリティインシデントの検出を行い、
報告と査定を行なう。
このサイクルが運用されていることが必要です。
もっとも、ムリに電子データだけにする必要も、
これも無いと思っています。
そう。IDカードと紙の両方でログとってるのを前提として、
(a)〜(d)のようなログが残る場合ってどんなケースが考えられるかってことね。
(b)、(c) は問題ないとして、 (b)はIDカードだけでも同じだし、
(d)ってありえなくないかなって言いたかった。
感情的になったのは悪かったと反省してる。
ちょっと結論が逆になっちゃったかな。 説明不足で悪かった。
もともとの議論は、
"IDカードでログ取ってる会社が紙でも記録つける必要があるか?"
で、効果的に IDカード > 紙 だと思ったから紙はいらないんじゃないか?
って書き込んだんだけど、それに対してネガティブなレスが多かったので、
むしろ紙が必須なかと思った訳です。
説明してもらった内容から、必須とか言う対策はなくて、
状況で要件が変わるってことでなんとなく理解できた。
要するにIDカードだけのログで足りないようなインシデントがあるなら、
紙でもつけるってことでいいのかな?
>3.7.1「運用の確認」に
ご親切にありがとう。知ってますって、そんなもん(笑)
>この点が実現できているのでしたら、
>電子データでも大丈夫です。
569の書き方(「運用しやすい方法」云々)では、この点が誤解され
そう(きちんと伝わりにくい)ですよね(「運用しやすい」と言われ
て、リスクに充分な目配りをせずに「楽な」方法をとりがち)。
ガイドラインは規格本体に比べればかなり具体的ですが、それでも
「ガイドラインに書いてあります」だけで片付くんなら、コンサル
なんぞいらない訳でしてね。
単純に「効果的に IDカード > 紙 」とは言えないことがご理解
いただけたかと思います。
ログの定期確認が簡単に行えないのであれば、紙でもつけるの
がよいでしょう。
自分でコンサルして、自分で審査して認証するって、そんな認証制度がほかにあるかよ?(笑)
ttp://privacymark.jp/news/2009/0625/index.html コンサルティングといえるかどうか定かでないが、新規の伸びも頭打ちの昨今
制度普及に必死なのは間違いない。
これは以前から実施している概略の説明会でコンサル事業ではないよ。
Pマークとは何か?そのメリットは?から始まって1時間くらい個別相談にのる程度。
>これで、夜間に認知されていない不審な入退出のないことが確認される。
おそらく「認知されていない」の部分が誤解されたので紛糾しているのだろう。
これは「企業側が事前に把握していない」という意味。
でもこうすりゃ侵入できるじゃん〜、とかに全て対応していてはキリがない。
侵入者がいれば論理的に「証拠が残るはず」という体制をキープしていればOK
再発防止策ととしては、システムリスク評価やセキュリティガバナンス、監査体制の強化といった経営管理体制の改善を実施する。
さらに部門間でけん制が働く状態を確保するほか、外部委託先などにおける運用手続きの検証や実効性の確保、教育や研修の実施といった
人事管理体制の改善など盛り込んだ。
三菱UFJ証券
ttp://www.sc.mufg.jp/ 全国全店でルール守らせるのは無理だからじゃねーか?
585の書いてる通りと思う。
銀行は9社が取ってるよな。
地方銀行だけど。
全国に事業所があるような規模だと、金融系でPマークは厳しいかもな。
大蔵系の銀行・証券は似て異なる規格を立ち上げて
「Pマークなんか足元にも及ばない厳しい統制だぜ〜」
という、お役人の闘いがあったはずだよ
素人が言いがかりつけようと必死になってもダメ。
内部統制は金融庁が主管だが、これは財務会計の統制なので別物。
本当にPマークって意味あるのでしょうか?
速度オーバーももはや常識だよな。
でも道路交通法がなければ、日本中戦争のようになっているよ。
24時間は皆に平等だ。中身の無い10年をすごしても一人前に歳だけはとる。w
誤爆w
世の中には、審査が終わったあとにWebサイトの暗号化を外す会社もあるからな。
審査時期だけの限定対応www
SSLは月払いが多いからねwww
いい情報どうも!
(このフォームは128ビットSSL暗号化されております)
お問い合わせの、こう言う文言いれといて、SSL無しはないよね。しかもPマークサイト
ttp://uchiwaya.jp/ マークの有効期限が8/6までだな。
現在、審査で指摘されている最中だろうな。
その昔、Pマークの幹事会社の大日本印刷が、ウン百万件の個人情報大漏洩会を
開催したからね。
あまり意味がないような気がする。
俺の知ってるWeb屋さん、一応Pマーク持ってるけど、Pマーク取得後に社員数が
倍になってる。新人は、ほとんど研修してないみたいだし。
JIPDECの賛助会員に大日本印刷の名前が載ってるな。
賛助会員の特典として、不祥事を起こしてもPマーク取り消しを受けない
というのがあるんじゃないか?(笑)
ttp://www.jipdec.or.jp/kaiin/meibo.pdf クレジットカード情報の不正利用による被害も報告されている。
7月14日以降にクレジットカード会社より、同社顧客のカード情報が不正利用されたとの指摘を複数受けて判明したもの。
同社調査によれば、顧客情報が外部へ流出している可能性はきわめて高く、7月初旬ごろより不正利用が発生しており、
1000件以上にのぼると見られている。
同社では詳細を調べているが、最大11万件の顧客情報が流出した可能性がある。また不正利用された顧客情報の特徴として、
2002年7月から2008年5月までに同社へ直接申し込み、カード決済により保険料を支払った顧客で、
証券番号の下一桁が「2」または「3」を含んでいる点が挙げられている。
アリコジャパン
ttp://www.alico.co.jp/ これアリコはどういう情報の括り方してたんだろうね。末尾の番号が担当コードなんだろうか。
カード番号だけで不正利用って出来るのか?
クレジットカードは、番号と有効期限があればオンライン決済可能。
本人確認のID、PW登録が必要の無いサイトでカード決済したと思われる。
ttp://okwave.jp/qa5109642.html JIPDECやその指定機関(業界団体や地域機関)と契約して審査する。
コンサル活動を中心にしている人もいる。
ttp://privacymark.jp/application/cost/index.html 審査料を総取りできるとして小規模新規を月1ペースでやっても200万円いかないぞ?
1万社を数百人で審査してるんだから、月数件はやるんじゃないの。
承認てきとーにしてんじゃねえの?
中の人?
プライバシーマークって社員にいろいろ書いてもらわないといけない書類あるじゃん?
筆跡よーく見てみろ。うちの会社だと5人ぐらい同じ筆跡だから…。
ISMSとかISOと比べたらゴミ認証なんだろうなぁ。
弱小企業が「せきゅりてぃ(笑)」アピールのために取るものだよねあれ
大手企業の名刺にはぷらいばしーまあく(笑)なんて入ってないし・・・
イギリスで山崎パンサイコー!!とか言ってるようなもん
国営だから強いんじゃん。NHKみたいなもん。
根拠法もあるし(個人情報保護法)。
トラストEが個人情報の国際規格だけど、世界での取得数が数百件とかだったような。
日本は法治国家だから、政府が法にのっとって運営してると、安心する。
何なんだこの語尾???
プライバシーなんて人間には無いんだなと思った。
公表しないと罰則だからね。大手の外注先締め付けがますます厳しくなりそうだ。
TRUSTe
余計に危ないよな。
おまえは何を言っているんだ?
ハードルが低かろうが高かろうが、問題はそこじゃないだろう?
そんなことも判らなくてセキュリティ関係の業務に携わっているのかい?
所在がわからなくなっているのは、1993年から2001年にかけて作成された「コムフィッシュ」と呼ばれるマイクロフィルム1516枚。同社内で保管状況の点検を実施したところ判明したという。
フィルムには、NICOSブランドやUFJブランドなどの顧客あわせて約19万6700人分の個人情報が含まれており、氏名や住所のほか、口座番号、請求金額、債券額など記載されていた。
三菱UFJニコス
ttp://www.cr.mufg.jp/ ttp://yutori7.2ch.net/test/read.cgi/mnewsplus/1249703722/
本当に会社の方針として作っているところなんて無いみたい。
どこも殆ど同じ、決まりきった内容だ。
そんなんで、個人情報を保護していますって、説得力ないよな。
そんなの決まりものでいいんじゃねーの?
出していることに意義があるんだろ。
説得力はないがないよりマシ。
怒りの書込みが殺到してるな
また東証では、今回の処分とあわせ、被害拡大の防止策や経営陣の責任の所在の明確化、経営管理体制の改善、内部監査の実施をはじめとするセキュリティ管理体制の強化、
個人情報の安全管理やそれにともなう従業員の監督など、対策を取りまとめた業務改善報告書の提出を同社に求めている。
東京証券取引所
ttp://www.tse.or.jp/ 7月18日に大阪御堂会館で実施した松浦亜弥さんのイベント会場において受け付けた入会申込書を紛失したもので、同月21日に判明したという。
氏名や住所、生年月日電話番号など21人分の個人情報が含まれる。
アップフロントインターナショナル
ttp://www.uf-fc.jp/ 同社が同様に業務を受託していたほかの複数音楽関連サイトでも同様の被害が発生していたことがわかった。
安室奈美恵さんや音楽グループのSPEED、DA PUMPなどが所属するヴィジョンファクトリーの通販サイトでは、2008年10月から2009年7月20日まで通販を利用した顧客のメールアドレス情報が2104件の流出が判明し、
そのうち1259件には、番号や有効期限などクレジットカード情報が含まれていた。
またテレビ朝日ミュージックの「湘南乃風」公式サイトでは、2008年6月から2009年7月にかけてグッズを購入した顧客のメールアドレス989件の流出が判明。
カード情報572件が不正アクセスを受けた。
一方エイトデイズが運営を委託していたアルフィーの関連サイト「Alfred Online Shop」においては、カード情報が35件、メールアドレス情報が81件の流出が明らかになっている。
昨年末のデータでは772社だったから、今年に入ってから300社以上が中止事業者になったことになります。
みんな、どんな理由で中止したんでしょうね?
相次ぐ情報漏洩事故・事件を見ると、相当のセキュリティ対策を講じていても、漏洩するときは漏洩するようだし・・・
プライバシーマーク取ったからと言って、情報漏洩防止に対する効果を認識できるものでしょうか?
不況による企業自体の廃止や、M&Aによる統廃合がけっこうある。
対策とってないとこには発注できないな。。。
そういうこと。
赤信号でも無視する奴普通にいるよな。
速度オーバーももはや常識だよな。
でも道路交通法がなければ、日本中戦争のようになっているよ。
これだな。
今でもまだ発表されているが、どうも二番煎じはだめなようだ。
>しないと困猿に引っかかるぞ。
困猿氏ね
プライバシーマークをセキュリティ対策と考えるのは間違い。
プライバシーマークは、個人情報の取り扱い全般(利用目的の特定→利用目的の通知→同意の取得・・・開示等への対応、苦情対応等)
について規定するもの。
個人情報の安全管理として、セキュリティに関する事項も含まれるものの、やっぱり、個人情報のみに焦点をあてるところに無理がある。
個人情報漏洩防止だけを強く意識するならば、ISMSの方が効果的でしょう。
でも、ISMS認証を取得したからと言って・・・・・セキュリティ対策に完全はありません。
資金力勝負ということだなー。
スパイ大作戦みたく溶けて消える紙を使うんだよ
「CHAGE and ASKA」が所属するロックダムアーティスツによれば、同社と取引のあるテイパーズのサーバで不正アクセスが発生したため、8月10日より調査を進めてきたが、
オフィシャルファンクラブ「TUG OF C&A」の一部会員情報が流出したことが判明したという。
21日時点で流出が確認されているのは、クレジットカード番号1349件、ファンクラブ会員番号1156件、会員サイト初期ログインパスワード13件、メールアドレス2件だが、最大19万4294件に不正アクセスを受けた可能性があるという。
CHAGE and ASKA Official Web Site
ttp://www.chage-aska.net/ 同社は個人情報が流出した可能性がある顧客を14万8680人を対象に謝罪として500円のQUOカードを9月初旬より送付する。
また今回の件における責任の所在を明確にするとして、同社代表取締役社長の報酬を月額10%減額2カ月としたほか、関係する役員など処分を実施する。
アミューズ
ttp://www.amuse.co.jp/ ttp://yutori7.2ch.net/test/read.cgi/mnewsplus/1251199518/
現地審査後の指摘対応が最も骨が折れる部分で、頓挫の8割がたはここ。
これがわからないから、頓挫トラブルが絶えない。
2年かけて結局断念とか、これらは最初の段階での見極めにそもそも問題がある。
そのとーり。指摘対応できないコンサルも多いから気をつけてねw
いい加減なひな形押し付けて申請させて、あとは し・ら・ん・ぷ・りwwww
ほとんどがそのレベルだぞ!
貧乏な中小ITとか、いまだに自力取得めざすところもあるからな。
95%無理だからw
自力取得は確かに大変でしょうが、挑戦さ(せら)れるご担当者は、
JIPDECのプライバシーマークのサイト「参考資料」から無料で
ダウンロードできる「JIS Q 15001:2006をベースにした個人情報
保護マネジメントシステム実施の ためのガイドライン」を是非参考に
してください。
事務職の派遣さん3〜4人月分ぐらいの費用で試行錯誤が避けられ、
確実に取得できるならコンサルタントを入れた方が安いと思いますが
選定が難しいでしょうね。
ネットで価格だけ見て比較するのはリスクが大きいかと。契約の前に
最低限、担当するコンサルに会ってみることを強くお勧めします。
ひな形の概要の説明を求めてみては? 「極力シンプルに」とか、
「とにかく必要そうなものはありったけ」とか、「よくわからんが
適当に」とか(笑)、その事務所ごとのスタンスがあるものです。
また、 さんの言う通り、指摘対応は重要ですので、そのサービス
の有無(「申請まで」といって安い価格を提示しているところもある)、
コンサルの経験を聞いてみるのがよいでしょう。
裏技をつかって、さらに審査機関の待ち期間がなければ、可能だがそれだと取得してから維持更新できないよ。
なにしろ運用を理解するための時間を省いているんだからなー。
取ってからひどい目に遭う事必至だ。
あとの8〜9人は自称コンサルタントで申請までしかできない人達。
合格までもっていけないから関わらない方がいいwww
実績のない、新規参入組や「ついでに見様見まねでやってみました」組ですね
それでも合格させるのが優秀なコンサル
頓挫するのがダメコンサル
さらに言えば、審査員ごとに、指摘内容が相当に異なる。
どんな審査員に当たるかによって、紺猿の労力も大きく変わってくる。
あの審査員には当たらないように・・・・って、まさに博打です。
審査員も、最近は審査案件が激減する中で、コンサル業務に力を入れています。
一定期間、審査員を経験すると、コンサルを行っても良いことになっているようで、JIPDEC公認のコンサルタントと言う訳です。
様々なPMS文書を閲覧し、もっとも無難なサンプルを持っておりますし、何より、審査員のみが知りうる公開されていない審査基準を持っていますので完璧です。
コンサル当たるなら、「審査員ですか?」って確認しましょう。
でもコンサル経験のない審査員も問題あるぞ。
選手経験の無い審判がコーチやるようなもんだ。
投球術も、打者心理もセオリーも知らないで、これはアウトです、セーフですって教えられてもなあ・・・
ある意味、新規参入コンサルだな。
陸自警務隊は31日、行政機関個人情報保護法違反の容疑で同隊員を逮捕、データを漏洩させた自衛官は、複製したデータを金銭目的に売却したと見られており、詳細について調べている。
外部へ流出したデータは、陸上自衛隊の隊員約14万人分にのぼり、家族の情報なども含まれていた。
防衛省・自衛隊
ttp://www.mod.go.jp/ それに困猿の中には、審査員研修を受けて「審査員補」資格を持っている人も居る。
「審査員補」資格は、審査員研修機関で研修を受けて試験に合格するれば取得できる。
そしてその資格を持っていることを目玉に、金猿として稼いでいる人も居る。
でも、ISMSでもそうだが「審査員補」資格と、「審査員」や「主任審査員」資格との
実務経験の違いによる対応力差は歴然としたモノが有る。
「審査員」を売りにしている困猿かもしれないので、確認してみてもいいかも。
>「審査員のみが知りうる公開されていない審査基準」
何の意味があるというのだろう?
こういう輩こそ、さんのいう「 「審査員」を売りにしている困猿」。
ご愁傷さまです。
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1252102911/
A社で評判の良かった白紺猿が社長からの紹介でB社に行ったところ、
「いちいち打ち合わせして決めるなんて面倒」、
「最短距離で取得するために頼んだんだから全部やって」と担当に言われ、
やってはいたんだけど担当が動かずでうまく進まず、
黒紺猿と悪く言われた話をA社側の人間から聞いたことが有る。
担当者が低脳だとどうやっても(ry
見たこともない指摘、意味不明の指摘もあるし、それへの対応能力である。
おそらく指摘対応ができない奴は、永久にできないと思う。
ノウハウレベルではないので、継承も不可能だろう。
同社が運営する通信販売サイト「saQwaネットショッピング」「fun style shopping」の2サイトが、海外より不正アクセスを受けたもので、同社では被害の詳細など調査を進めている。
「saQwa」では、2005年9月1日以降、「fun style shopping」では2006年2月17日以降に利用した顧客の情報が流出したと見られており、氏名や住所、電話番号、性別、生年月日のほか、ログインパスワードやユーザーID、
クレジットカード情報など利用者の個人情報や届け先の情報なども含まれる。
流出した可能性があるクレジットカード情報は、約5万2000件にのぼり、メールマガジン登録者のメールアドレス約2万9000件についても被害を受けるおそれがある。同社の発表を受け、一部金融機関でも注意喚起を開始している。
同社では所管する経済産業省や関連団体へ事態を報告。カード会社へ不正利用の防止を要請。関連する顧客に対しては、メールや書面で事情の説明などを実施しており、カード利用明細の確認やパスワードの変更などを呼びかけている。
デジタルダイレクト
ttp://www.digitaldirect.co.jp/ 地頭って、どうやって見分けりゃ良いの。
とりあえず結果出している奴はまともなんじゃねーか?
>指摘対応力は地頭であり、経験値ではない。
たしかに、地頭もあるのかもしれませんが、
「経験値ではない」と言い切るのもどうかと。
「見たこともない指摘」、「意味不明の指摘」なんて全体の
何%あるのか疑問。ただし、そうしたものの対応がまずくて
ボロがでてしまうコンサルはいるのかもしれませんね。
「そんなの自分で考えて下さいっ」とかね(笑)
>おそらく指摘対応ができない奴は、永久にできないと思う。
これは、鋭いかもしれない。
>ノウハウレベルではないので、継承も不可能だろう。
先に書いた通り、実際はオーディナリー(フツー)な指摘が
ほとんどですので、大きなコンサル会社などでよくやっている
情報共有は意味のないことではないと思います。
ただし、そこから先の「見たことのない指摘」への対応力は、
その人の学ぶ力(地頭?)次第なのかも知れませんね。
しかしある程度件数こなしているコンサルタントなら
大抵見たことがあるものなのです。
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1252507619/
業務委託先による犯行の可能性が高いという。
今回の調査で、問題のファイルに対して、期間中に業務委託先の社内から複数回にわたり、不自然なアクセスが行われていたことが判明。
アリコでは、すでに関わった可能性がある業務委託先の従業員については、個人を特定できていないものの数名に絞り込んでおり、刑事告訴も視野に入れ、詳細を調べている。
同社によれば、流出経路を特定するにあたり、100人以上の体制で1800万件のファイルについて調査を実施したという。
流出経路が特定したのを受け、組織における責任の明確化や業務プロセスのルール変更によるアクセス制限の強化など再発防止対策を進める。
アリコジャパン
ttp://www.alico.co.jp/ 最初の構築(あたったコンサル?)の良し悪しで、
更新の負荷に大きく差が出るはず。
旧JISから2006年度版への移行が大変でしたからね。
普通の更新なら、なんら問題ありませんよ。
例え、2年間放っておいても、指摘されたことを正せば良いわけで
あまり難しく考えなくても良いでしょう。
自分から辞退しない限り、審査で落とされることは無いみたいです。
新規で苦戦してるケースじゃね?
落ちるぞ。
とったらもったいなくなるのか。
誤解してる。
あっさり打ち切られる
異常な低価格をHPで宣伝している某業者の狙いは何なんだろう?
検索連動式のやつな。Pマーク市場を混乱させている・・・
最近見なくなったよw
申請までは誰でもできる。それを知らない素人との情報格差を
利用している。コンサル内容を吟味せず「どうせ分からないから
安ければ安いほどよい」というクライアントがいる限りこういう
ビジネスモデルはなくならない。あたりですでに出ている。
取得できない場合、トラブルにならないのか?
するところと、「申請まで」しかやらないところがあり、
指定対応までやっていれば当然クレームになるだろうが、
申請までという形なら、クライアントは審査ではじめて
自分がスカをつかんだことを知ることになる。それでも
申請まではサービスを提供している訳だから・・・。
どさくさに紛れ、小金を稼ごうとする悪徳業者には困ったもんだ。
こっちは認証を取り消されたら主要広告代理店3社(最低でも取引にあたって認証の維持を要求されている)との取引停止に繋がる。
実質、その時点で事業としては破綻してしまうのだ。それゆえ、僕はディレクターには「情報セキュリティ部署の許可が出ないから、こういう実装はできません」と言わせて、
悪役を引き受けることにしている。
自社の資産や取引上の信用を守るためには、たとえクライアント側であろうと、クリエーティブ・ディレクターやプロデューサーといった端ッ葉ごときに振り回されていてはいけない。
とは言え、あまり厳しくやっていると、単純に「融通が利かない会社」という印象だけが残って発注し辛くなるだろう。したがって、ディレクターと協議して代替案を出せることが望ましい。
近頃、プライバシーマーク審査員は、審査案件が減ってきて暇しているのでコンサル頑張っています。
もともと、企業をリタイヤされ、お小遣い稼ぎ程度でやっている方も多いようで、コンサルディング料金も驚くほど安いみたいです。
小銭稼ぎの全てが悪徳ってこともないと思いますよ。
力あるコンサルタントということで言えば、できれば主任審査員がいいようですね。
審査に影響力でもあるのでしょうかね?
審査員補はお金を払って受講すれば誰でも得られるようで、実務経験については疑問ですから避ける方が良いみたいです。
コンサルか運用の実務経験が重要であって、審査はまた違う種類のもの。
審査に影響力があったらそもそも違反になるだろうに・・・
素人にはない何かがあるように匂わせて経験の少なさを誤魔化す話術。
各種資格は目安のひとつで、ないよりは有った方が信頼できる程度だ。
Pマークなら弁護士やシステムアナリストより、Pマーク審査員なんだろう。
次点がISMS審査員、認定コンサルタント(CPC)、個人情報保護士あたりか。
むしろ職歴あたりのほうが、バックボーンとしては重要な気がする。
例えば飲食店経営からコンサルに転進しても、さすがにちょっと違う気がするw
紛失したのは、7月1日から同月31日にかけて名張店で利用された「三重県民共済・体験利用券」31枚。利用者の氏名および電話番号が記載されていた。
店舗で7月中に利用された券を回収して、8月1日に本部へ送付したが、その後、本部で受け取った後に所在がわからなくなった。
アクトス
ttp://www.axtos.com/ 認定プライバシーコンサルタントもな。
違反行為
県教育委員会と日本IBMは29日までに、総額1673万7870円の損害賠償金をIBM側が支払うことで合意した。
これは取得前に力尽きた会社が多いからなのかね?
審査件数は取得数に関係なくそれなりにあることになるからJIPDECは困らないのかもしらんが。
指摘対応に時間がかかる、ということでは。
また、このご時勢ベンチャーや小規模の企業では
2年経って同じ担当者が社内にいるとは限らない
ので、その場合も審査・指摘対応は困難を極める。
審査で「落とす」ことは、個人情報保護対策普及
という「政策」上も審査機関としての「事業」上も
メリットがない。
疲労困ぱいした審査員の健康を考えてかも知れんぞw
○ 審査期間
スマソ。
同社では、7月に顧客の個人情報の流出が判明し、一部でクレジットカード情報が不正利用が発生。事件判明当初、流出した可能性がある個人情報について最大約13万件としていたが、
その後の調査で1万8184人分であったことが明らかになっている。
同社では、今回流出の可能性があった13万件のうち、謝罪として実際に流出した1万8184人の顧客に対して1万円分、残りの顧客に対しても3000円分の金券と謝罪の書面を送付したという。
アリコジャパン
ttp://www.alico.co.jp/ ギブアップか?
景気後退の影響を受けながらも堅調に推移し、2013年までの年間平均成長率は10.6%に達するとの見込みを示した。
調査結果によれば、2008年のメッセージングセキュリティ市場規模は171億円で、前年比成長率は23.6%と堅調な成長を見せた。
2009年は景気後退の影響で製品導入は苦戦するものの、ライセンス更新形態のソリューションは堅調な伸びとなる見込みで、同社では2008年から2013年の年間平均成長率は10.6%となり、2013年には284億円に達すると予測している。
これまではソフトウェアが市場をリードしてきたが、2008年にはアプライアンス市場規模が75億円となり、ソフトウェア市場の80億円に並ぶ勢いで、今後はSaaSおよびクラウドの市場規模が、導入の容易さやシステム継続性の高さにより急速に拡大すると分析している。
IDC Japan
ttp://www.idcjapan.co.jp/ IDC Japan (笑)
「コンサルもどき」はほとんど脱落し、専門家団体に審査員の依頼をしても逃げ腰らしい。
何をもって「有能」としているのか分からないが、随分ゆるい感じがする。
コンサルで言えば東京で上から100人ってかなりヤバいのも含まれそう。
審査機関によるけど、2ヶ月くらい。
今年7月に実施したパブリックコメントを経て、改正を実施したもの。
今回の改正では政府による「個人情報の保護に関する基本方針」の一部変更や、内閣府が2008年に示した全事業分野の標準的なガイドラインへ対応している。
経済産業省
ttp://www.meti.go.jp/ 実際はやっていない(できない?)ところが多いようだ。
見積もりをとると、目玉が飛び出るような金額を出してくる・・・
相場からみて、とても本気で受注するための金額とは思えない。
できない、とは言えないから他社へ行かせるような、そんな金額に思える。
客A 「おいくらくらいなんでしょうか?」
大手B 「500万くらいです。うちはそれだけのサービスを提供しますので。(こんなに出さないだろう)」
客A 「それでお願いします。」
大手B 「ほ、ほんとに・・・!!!い、いや上に確認してから・・・(まずい、実はダミー広告だなんて言えないし・・・)」
ISMS審査員 5千人
Pマーク審査員 1千人
認定プライバシーコンサル 1万人以上
個人情報保護士 不明(合格率は40%)
Pマークコンサル 数百人
(そのうち有能コンサル 50人)
こんなもんかね。
トンデモコンサルが数百人はいることになる。氏ね
ここの「有能」は「確実に合格まで導ける」という意味な。w
いかに得たいの知れない連中が多いか・・・
研修では規定マニュアルのカスタマイズをやってくれないからね。
それで合格できるわけがない。ぼった栗商法の極みだ。
講師も概略しか説明できない程度の奴だし。
指摘対応、再指摘対応、再々指摘対応・・・を経て
最終的に取得になった場合は「確実に合格に導ける」
に入りますか?w
3回くらいは普通。通過儀礼、義務みたいなもの。
というかここの回数は特に問題ではない。
有能コンサルは合格までにクリアすべきことが見えてるから、多少回数を経ても合格まで導ける。
これが重要で、審査員の当たり外れ、相性による影響も当然ある。
トンデモコンサルは、やることが見えなく、ここから1年以上かかり、結局\(-o-)/。
できる人間の多い仕事、誰でもできる作業、できる人間が極めて少ない仕事、
意外とこれらは、外見上似ていたりするから面白いw
だからトンデモコンサルが発生するんだよ。
たぶん悪意は持っていないんだろう、できると思ってたけど、できなかったんだと思われ。
誰が見ても無理そうな奴まで参入してたしなー。w最初から気づけよ、はた迷惑だ。
>ISO審査員 2万人
>ISMS審査員 5千人
>Pマーク審査員 1千人
審査員の数だけみても、対応できる人の少ないのがわかるな。
外注業務 →自社でもできるが面倒〜業者はたくさんいる〜安く交渉して発注
専門コンサル業務 →自社では対応不可〜専門家少ない〜探して依頼
これを一緒くたにするから、市場も混乱し交渉も難航する。
ここに来てやっと少し整備されてきたような。
>たぶん悪意は持っていないんだろう、
持ってたら詐欺罪だろ
Pマーク規定のフォントとか些細な誤字で言いがかりをつける客とかいるしなw
Pコンサルの仕事はそこじゃないからw
そこが審査に引っかかるとか、絶対ないしwww
成果物を納入するような業者がクライアントのとき、こんな笑い話がよく発生する。
マニュアルを納品する仕事だと思っているんだろうな。
参考にしますです
自分がいつも言われてるんだろうな
もちろん顧客からのシステム案件の発注は総量も減り、納期も予算もこれまでになくタイトになりましたが、
この会社では大胆にも人員の余剰を逆利用して、予算をある程度無視しても多数の技術者を投入することによって、
一人当たりの仕事量を軽減しつつ、タイトな納期をクリアしてきました。
また従業員の意識改革にも取り込んでいます。
上記のような工夫をしても少なからず技術者にさらに余剰人員・余剰時間が発生していました、彼らの余剰時間を利用して、
会社側は兼ねてよりの念願であったプライバシーマークの取得チームを編成、その取得を目指しました、
合わせてどうしても仕事が与えられない若手を中心にした技術者たちには、国の緊急雇用助成制度を利用して社内で最新のWebアプリ開発のノウハウ教育を始めました。
この半年、その会社では驚いたことには一人当たりの時間当たり生産性が劇的に向上したのです。
やたら安い金額を求める会社はこの程度の認識のところが多い。
似てるからって社労士とかが参入してたけどほぼ壊滅w
外注手続き業務とは違う仕事で無理があり杉。
士業が参入するから、客も外注業者レベルのものだと勘違いし、市場が混乱。
やっとこれらが消え、正しい認識が広まった感がある。
自力取得を目指して次々と頓挫した。これも間接的にトンデモコンサルの影響。
サービスの途中でマニュアルも提供するだけなのにね
ISOがわりと誰でもできるようなもんだから、自分にもできると思ったんだろう。
頑張ってください。w
ISOとの違いが判らない会社はあらゆる点でカモられる、被害者団体とかできそうだ。w
お手上げになって、提携コンサルタント会社に助けを求めたようでした。そこの有名会社はもうPマークはやっていないようです。
取得できたのでよかったですが、いいかげんなスタンスは腹が立ちますね。誰でも知っているくらいの会社ですけどね。
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1254883219/
悪意というか、誇大広告のひどい業者もいたぞ。
某士業だが、最近検索連動広告で見なくなった。
そういうのが淘汰され、安定成長期に入る。
受注してから、勉強すればいいと考えている業者・・・代行手続き業者に多い・・・のトラブルが多い。
勉強してから手に負えないことに気づくwww
受注する前は、嘘、ハッタリ、もう何でもありで、受注しようとする。
誇大広告ももうやりたい放題・・・
最近見なくなった某所がその代表といえる。
IT系企業でもかなりあった。
ほとんど撤退してるけど。
ひどいところは個人情報の流出事故起こしてた。
@ 建設・製造業を中心にISOブームが10年前に起こる。
A インターネットが普及する。
B 5年前に個人情報保護法が施行される。
C IT業界を中心にPマークブームが起こる。
D ISMSなどセキュリティが注目を浴びる。
E 昨年から、上場企業を中心に内部統制(JSOX法など)が法制度化される。
F IT化が更に進み、ネットが最重要インフラとなる。
この流れの中で@DEが沈静化・一段落して、それをベースにABFの環境のもと
Cが様々な規模・業種へと浸透する動きが見える。
主に中小IT企業ですな。二年挫折組はだいたいこの手の企業。ご愁傷様
正直全然ダメ、当然上にあった50人になんて入らない。
そいつのスペックの問題なんだろうか?優秀な人は3年で追いついて抜いていく。
まあ何の仕事でもいえるけど。
優れた企業は、自社内では無理ということの判断も早い。
できないこと、できること、やること、やらないことを的確に判断できる。
・プライオリティがつけられないから経費ばかり増加
・おざなりの教育で成果があがらず
・故に取得や継続を断念
って会社多いんじゃない?
優秀なコンサルは「1社目」から結果を出せる。
少しづつ経験を積めばものになる、というものでは「絶対」にない。
1、2社やってだめならそれは「適性」がないということ。
どの分野のコンサルでも同じ。
というかある分野で優秀な奴は同じ「方法論」で他の分野でも結果を出す。
その会社はコンサルを入れたほうがいい。w
自力取得できてる会社は普段からその辺を意識していて、
Pにもすぐ適応できる会社。
そういうあなたはコンサルですか?w
「絶対」にない、などと自信たっぷりに断言されますが。
みたいな会社は、ケチって能力の無い
コンサルを入れて余計に混乱しそう。w
オレは、以前4年ほどISMSコンサルやってたけど
正直疲れたよ。精神的にボロボロ・・・
今は他の仕事(といってもIT系だが)に移って
クールダウン中・・・
正直、セキュリティコンサル界は虚業だから
会社じゃなく人なんだよね・・・
あっ、どこでも一緒か。
トンデモコンサル予備軍にはさっさとあきらめてもらった方がいいよ。
あらゆる迷惑の根源だ。
お疲れ様です。
>会社じゃなく人なんだよね・・・
これは分りますね。
先方に伝えて、動かす力がないと、いかに知識技術があっても
にっちもさっちもいかなくなる。
セキュリティ関連コンサルについての世の認識がやっと追いついて
きたのが最近のような感じですかね。
クライアント側にも、理解しようという姿勢が少しみられるようになってきたような。w
カリスマ社長のところやねw
ホニャララ総研でも似たようなことが合ったらしいよ。
専門コンサル業務の中でも特に特殊な分野だな。
ミリ単位のメッキ加工とかなw
わかる気がするw
大きな流れ(PDCA)はISOと一緒なんだよ
手続き事務はともかく(笑)
どの分野でも黎明期にはあやしい連中があらわれるね。
そういうのが淘汰され、安定成長期に入る。
東京一回目は、雨で会場に行くのがたいへんだった。
なかでも人気商品は、DDoS攻撃、スパム送信、クレジットカード情報だったという。
ウイルス、ボットネットのレンタル、DDoS攻撃、スパムメールの送信、カード情報といった個人情報の取り引きが活発に行われており、
初心者でもスムーズに実行できるようにコンサルタントサービスや、フォーラム、FAQ、ビデオチュートリアルなど低価格で出回っているという。
攻撃ツールの相場は日本円に換算して約2000円ほどから手に入れることが可能。ボットのソースコードであっても、3万円弱から10万円強で取り引きされていた。
また4万円から10万円で100万通のスパムを配信することができ、DDoS攻撃については1時間1000円強から2万円程度の相場でサービスが提供されている。
G Data Software
ttp://www.gdata.co.jp/ 同社が特定した1万8184件以外のカード情報についても不正利用が発生していることがわかった。
7月に判明した顧客情報の流出事件では、一部クレジットカードの不正利用が発生。その後の調査で流出件数を1万8184件と特定し、
対象者に謝罪して金券の送付など対応を進めていた。
今回あらたに判明したのは、従来特定した顧客とは別の顧客の情報で、カード会社から報告を受けたという。
アリコジャパン
ttp://www.alico.co.jp/ ちょっと前まで申請書類の作成で何十万とか言ってる悪徳業者もいたぞ。
詳細なカスタマイズをしないとまず審査は通らないから、
安易に飛びつかないほうがいい、未経験者のやれる作業ではないんで。
実績のあるコンサルタントのサポート付きなら少しはましだが、90%以上売りっ放し業者だから要注意。
一ヶ月で30キロダイエット確実!とか、聞くだけで英会話がマスターできる!とかいうものを購入した方は特に注意w
ISOは審査にコンサルタントが立ち会うことが可能
Pマークは不可(コンサルタントの社員成りすまし発覚は無条件で審査打ち切りとなる)
Pは真に理解していないと、審査員の質問に答えられない。
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1256779243/
【個人情報】アリコ、流出元を中国の企業と特定、年内にも告訴へ…被害最大23万件に [09/11/11]
ttp://anchorage.2ch.net/test/read.cgi/bizplus/1257985599/
> 詳細なカスタマイズをしないとまず審査は通らない
これは、ウソ。というか雛形が悪い例。文書審査に必要な要件は既出、
JIPDECのプライバシーマークのサイト「参考資料」から無料で ダウン
ロードできる「JIS Q 15001:2006をベースにした個人情報保護マネ
ジメントシステム実施のためのガイドライン」につきているので、
「完璧な雛形」というものは理論的にはありえます。
では、何故そうではないかというと、ひとつは定期的に見直される
審査基準のバージョンアップ。しかしこれは大した問題ではない。
「もう少し明確にしときましょう」みたいな感じなので。
完璧な雛形が手に入らない一番大きな原因は、その雛形を提供して
いるコンサル会社が文書審査の実際を知らないことでしょう。確かに
雛形を売りっぱなしじゃ、知りようがないはずです。
まともなコンサル会社なら、審査対応をしていきながら、自社の雛形
をバージョンアップしていきますので、前期の審査基準のバージョン
アップによるモノをのぞいてはほとんど指摘が出ない、磨き上げられた
雛形を持っています。
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」
は具体的なところまで踏み込んでいないが???
これで合格できたら、天才ですw
他にもこのレスには???が多い。恐らくコンサルではない(ry
に書いてあることは、その通り。
文書審査を勉強しているコンサルは、
指摘をあまり受けないひな型を持っています。
の書いてあることは、安全管理に関することかな。
規定だけ立派でも駄目ということね。
私が を批判したのは、「詳細なカスタマイズ」をすることが
審査合格の要件ではないから、これから取り組まれる方が誤解しない
ように、という意図です。
「他にも」このレスのどこが疑問なんですかね?
なんでも答えますよ。明解にねw
それが現場の生産性を大幅に削ぐ。
>「完璧な雛形」というものは理論的にはありえます。
>「完璧な雛形」というものは理論的にはありえます。
>「完璧な雛形」というものは理論的にはありえます。
情報商材業者みたいな言い回しだw
文書審査において120を超えるチェック項目がすべて「マル」、
指摘ゼロの雛形、という意味ですよ。
逆に、ありえない理由があれば是非お聞きしたいものです。
そうではなくて「この雛形さえあれば何もしなくても合格」
なんて業者があれば要注意。
規程通りに運用されていなければ現地審査での指摘になる
でしょう。これは、さんが指摘している通りです。
安全管理は会社ごとに、異なった運用になるんだから。
そこがカスタマイズになる。
ここを手抜きするとさんみたいな迷惑運用へとつながる。
現地審査に関しては、そのような話を聞きます。
完璧にやったつもりなら、さらにレベルの高い指摘をしてきますし
逆に、最初の構築がまずいと更新の際、「前回は指摘されなかった」
ようなところが指摘になります。あまりに問題が多くて、初回では
指摘しきれなかった、ということでしょうか。その意味でも新規
所得の際の構築、選択したコンサルタントの良し悪しが後々まで
影響します。文書審査に関しては、指摘ゼロ、何度も見てますよ。
安全管理対策に関しても、文書化しなければならない範囲は
決まってるんですがね。
経験を積んだコンサルタントは、必ず文書化しなければならない
(ないと文書審査で指摘になる)もの、と文書化した方がいい
(あれば運用しやすいが、なくても文書審査で指摘にならない)
ものを切り分けることができるはずです。それを示さないで
「あとは自分で考えて下さい」って感じのコンサルタントなら、
本人がよくわかっていないか、無責任な詐欺まがい。
◯ 取得
年間200万〜2年かけたとすると400万を払ったことになる。
これで取得できなかったら腹切ものだな。
アホの子?
コスト計算という意味では、は正しい。
外部に支払ったものだけがコストではないんだよ。
本来業務がその分進んでいないんだし。
コンサルタントに頼んでも400万は通常かからない
そんなことは、ないですよ。
審査員の意地悪とかw
まぁ、そんな人も居るかもしれないけど、多くの文書審査はわざと「×」を付けることはないですよ。
審査員の判断に依存する部分が結構多いようだ
担当した審査員がISO出身、ISMS出身、セキュリティ関係出身、経営コンサル系・・・
これらの違いによって微妙に見解が異なったりする
また業種、規模、システム構成の影響もあるだろうな
それよく判るわ。
コンサルが経営系で、審査員がセキュリティ系だと
微妙に視点が違うんだよね。
特に経営系コンサル会社に頼むとそっち系しか
こないから片手オチというかなんというか・・・
JISとセキュリティの「実効性」が重要なので、画一的なフォームにはなかなかできずらい。
おそらく今以上に「標準化」されることはないのでは。
この「あいまいさ」が、対応できるコンサルタント、審査員の少なさにつながっているようだ。
同意。氏ねばいいのにな。
どうしたら消えるか考えたことあります?
多くは初めて審査を経験するクライアント側と、コンサルタントとの間に
情報格差があるかぎり、それを悪用する者は(淘汰されてきてはいるが)
なかなか根絶できませんよ。
コンサルティングは形のない商品ですから、クライアント側で依頼する前に
なるべく勉強していただくのが一番の対策かと。ネットでざっと調べて一番
安いところに依頼するのも結構ですが、ご自身の目でコンサルタントの力量
を確かめることが必要だと思います。
担当者がトンチンカンな自己主張すると迷惑なんだよな。
たいてい足を引っ張るんだが、ストレートに進言しずらいw
それで数ヶ月のロスになることもザラ・・・
トップ50のコンサルタントは上手く対応してしまう
本当に長かった。
今度、Pマークチームとお疲れ会しないとね
取る事が目的ではない
うまく社内運用することが大事なのです。
ヾ(@°▽°@)ノ
諸々、ご指摘点はあるものの、「少ないです」って言って貰えて、ひとまず良かったですが、
指摘頂いた事項もごもっともで、しっかりフォローして行かなければと思います。
しかし。まぁ・・・・とりあえず良かった。
頑張って更に先の未来に進みたいと思います。
これは世の中不況だと言われていますが、これは不況だからこそやっておかねばならない事の一つです。
会社の信用力をつけることは代表の重要な仕事のひとつです、しかし更に重要な事は個人情報を漏らさない事なんで、
今後もしっかりフォローアップして行きたいと思います。
この辺が原因
っていうか上位50人以外はトンデモコンサルw
意味不明???
どうなったんだろう?
誤って「2ちゃんねる」担当者の個人情報を漏洩したことを明らかにした。
同社サーバを経由し、掲示板サイト「2ちゃんねる」への不正投稿が発生したことから、「2ちゃんねる」より投稿制限を実施したの報告があり、
11月27日に、事実関係の確認や状況を改善するための説明を投稿者に行ったが、その際に誤って「2ちゃんねる」担当者の氏名の一部やメールアドレスを誤って開示したという。
仙台CATV
ttp://www.cat-v.jp/ もう担当者も異動してそうだな
セミナーに来させられております
同行者はすでに熟睡中
私も寝たいが、これをもとに、
社内教育の資料を作らなければいけない
おまけにさっき上司から、
「学習コンテンツを作れるぐらい勉強してきて」
と恐ろしい指令が
でも絶対、途中で寝そう
(JISQ15001:2006)認定に向けて活動中です。
それまでは5年前、ISO化される以前の情報セキュリティ制度であるBS7799を取得して、
これをもって「情報セキュリティを確保している」と会社としては標榜していたのですが、
日本では「個人情報保護法に準拠したプライバシーマーク」が黄門様の印籠のごとく…って感じで、
クライアントによっては「プライバシーマーク取得が受注の条件」
なんてところがあったりして。
ようやっと協力会社向けの「個人情報の取り扱いに関する覚書」というものを
リリースできるようになりました。
今週中には「個人情報取扱業務」を委託する可能性のある各協力会社に送り、
締結する手筈を整えるようにしています。
こんな融通無碍な制度はちょっとないよなというのが正直なところ。
規制じゃなくて適正な利用が目的だからしょうがないんだけどさ。
流出事故をおこして首になるよりいいんじゃねw
問題となっているのは、2009年8月から10月にかけて子会社であるNTT西日本-兵庫を通じて他社DSLユーザーの情報が不正に提供されていたもの。
総務省では、個人情報保護法違反や電気通信事業法に違反する可能性があるとして報告書の提出を求めていた。
同社は調査報告書で、NTT西日本-兵庫の営業部の担当者が販売拡大を目的に提供していたことを認め、システムについても特に制限なく、
他事業者サービス情報が本来の利用目的以外で取得できる状態だったことを明らかにした。
NTT西日本
ttp://www.ntt-west.co.jp/ ttp://blogs.pcmag.com/securitywatch/2009/12/av-testorg_releases_real-world.php 一般向けのプレス記事として見た目を調整していると勘ぐられても仕方がない。
G Dataがこんなにしょぼい結果であるはずないからさ・・・
MALWARE DETECTION RATES AND WARNING MESSAGES (FALSE ALARMS)
Tested Product Malware Detected False Alarms
Symantec Norton Internet Security 2010 98.0% almost none
Kaspersky Internet Security 2010 97.5% few
PC Tools Internet Security 2010 95.8% almost none
AVG Internet Security 9.0 92.2% few
G Data Internet Security 2010 90.0% many
Panda Internet Security 2010 90.0% almost none
Avira Premium Security Suite 9.0 87.7% many
McAfee Internet Security 2010 87.2% few
CA Internet Security 2010 86.7% few
F-Secure Internet Security 2010 85.8% almost none
BitDefender Internet Security 2010 84.3% few
Trend Micro Internet Security 2010 83.3% few
ttp://antivirus-news.net/2009/12/g-datatrustportkingsoft.html Virus Bulletin 2009年は K7がプラチナ・スポンサー、Kingsoftはゴールド・スポンサーです。
ttp://www.virusbtn.com/conference/vb2009 ■Virus Bulletin 12月の RAP 検出の成績
ttp://www.iso-g.com/modules/news/article.php?storyid=1044 (横軸は定義ファイルをアップデート固定してから1週間後までの検体による検出率。)
(縦軸は定義ファイルをアップデート固定より3週間前から1週間前の検体による検出率。)
既知ウイルス対応と未知ウイルス対応についてのテストも重視して相関図を発表している。
ttp://www.sophos.com/images/blogs/gc/2009/12/vb-rap-1209.jpg Alwil avast! 4.8 Professional 4.8.1359 76.1% K7 Total Security 10.0.0020 38.8%
Avira AntiVir Personal 9.0.0.407 81.2% Kaspersky Anti-Virus 2010 9.0.0.736 83.4%
BitDefender Antivirus 201013.0.16 79.5% Kingsoft Anti-Virus 2010 Standard 2008.11.6.63 16.5%
ESET NOD32 Antivirus 4.0.467.0 82.1% McAfee Total Protection Suite 71.7%
F-Secure Internet Security 2010 10.00 81.5% Microsoft Security Essentials 1.0.1611.0 75.3%
G DATA AntiVirus 2010 20.2.1.13 86.8% Symantec Endpoint Security 11.0.5002.333 53.6%
シマンテック ワロタ
さすがスポンサーでないと最新の評価方法では意味不明な位置にしか立てないんだねw
*AMTSOによれば、最近では対策製品を正しく評価できない事例が出てきているという。
*現行のテストでは適切な評価が難しくなっているためだ。
ttp://internet.watch.impress.co.jp/cda/news/2008/02/05/18360.html *AMTSO members (AV-Comparatives AV-TEST.org Virus Bulletin)
ttp://www.amtso.org/members.html AMTSOとは、セキュリティ対策ソフトのテスト手法を標準化するための業界団体「Anti-Malware Testing Standards Organization」の略称です。
役員として長く勉強をやらせてもらっていましたが、
各通信会社さんの個人情報における管理は徹底していました。
世の中で騒がれている「情報漏えい」でもっとも多い原因は、
PCやデータ等の紛失、おき忘れ、盗難、または誤操作です。
こうして、人の手によって起こってしまう比率は
全体の80%も占めているのが実情ですから
管理する側が最大限の注意をしていかなければならず、
環境整備と意識を高めるだけで多くの事故が未然に
防げることができるのです。
根拠法があるのはPマークだけだからねー。
ある意味国家資格かね。
ISOもISMSもPCIDSSその他もろもろ、検定みたいなもん。
流出が判明したのは、1995年10月14日から2005年8月31日の間に同社に会員登録した1万6304人分の個人情報。氏名、住所、電話番号、性別、生年月日などが含まれる。
退職時に無断で持ち出したもので、元役員は同業他社248社に対し、売却を持ちかけていた。
ウェブ
ttp://www.webclub.co.jp/ 二年頓挫組があいかわらず続出している・・・。
「自分が簡単に理解するものを、こんなにみんなが苦戦するのか?」
この当たり前のことに気づかない会社が頓挫一直線やな。
「あんたが理解できてるものなら、とっくに誰でも理解できてるから」
誰か教えてやれw
まあトンデモコンサルが増えたのも同じ理由だしwww
無能な身の程知らずは、確実に失敗に突き進む。
個人情報はネット上になんか預けられないから、おそらくガイドラインなどで規制する。
でも客観的な評価がない企業は、どこまで本当に遵守しているかわからないから、
大手、官公庁は流出事故が怖くて個人情報を預ける仕事は発注しずらいだろう。
B2B、B2Cとも今後ますます個人情報の管理がシビアな問題となりそうだ。
実際クラウドしてる企業ってPマークとるの難しそうな気がするのは俺だけか?
「社外に大切なデータを置いて使用してるなんて駄目だ!」
とか言う審査員がいそうな・・・。
個人情報のクラウドは駄目と言うだろうね。
それを徹底させる審査方針になるんじゃね?
利用者のアカウント情報が外部へ流出したことを発表した。
年明け直後の1日未明に「オフィシャルブログ」へ不正アクセスが発生したもの。また同時期にオフィシャルブログ利用者のIDやパスワードのほか、
関連情報を含むファイルへブログ上からアクセスできる状態となり、インターネット上の掲示板で騒ぎになった。
同社によれば、流出件数は約450件にのぼるという。
サイバーエージェント
ttp://www.cyberagent.co.jp/ >個人情報のクラウドは駄目
でもそれだと情報を二元管理することになってクラウドの意味があまりないような。
ネットが繋がらなくなったら、仕事にならないなんて不便すぎる。
ソフトを導入したPCも平行して使用するんだろうから、
個人情報はそっちで管理するんだろうな。
委託先として適切な評価、契約(個別契約がなければ約款の確認)が
なされていれば問題ないはず。
「〜だからPマークは取れない」という思い込みを流布する輩は迷惑。
いま、現実的に使える制度はPマークくらいではないでしょうか。
ものすごく権威ある制度だと思います。注目度合いが減ることは先ず、ないでしょうね。
ISMSは制度が中途半端で今、とんでもなく監査への需要が激減してます。
ISO(特にQMS;品質)は、いーかげんな「おじーちゃん」監査員だけで、いい加減は監査をしてきたから、今日の製造業が衰えたともいえませんか?
Pマークには期待。
ISOは金払えば取れるからなw
内容も単なる手順の可視化だから、
クライアント業界(建設、製造)経験者なら誰でもできる程度だ。
資料に金をかけてパッと見凄いもののように思わせ、
暴利をむさぼっていた外資系コンサルなんかがその典型だ。
コンサルのレベルもかなり低い。
ttp://headlines.yahoo.co.jp/hl?a=20100112-00000842-yom-soci 情報セキュリティに非常にうるさくなってきた。
現在、ISMSを取っている企業は3000社だそうです。
ちなみにPマークは10000社だそうです。
社員が意識していくことが一番いいことでしょうね。
私もバタバタで本日審査を受けました。
経営者審査だそうですが、毎回何を聞かれるか心配でしょうがありません。
30分間の緊張した時間でした。
パッケージ(GNU等を含む)によるプライベートクラウドがはやるのかねやっぱ。
大丈夫です。
前任者が細かくやりすぎではないかという経営陣の判断により
役目が回ってきました。
前任者の規定では、個人情報は全てASPサーバーへ保存し
自己のPCからデータを削除する必要があると書いてあるのですが
これはどうなのでしょうか?
Pマーク担当者でこのような決まりを設けている方っていますか?
ローカルというかクライアントに個人データを保存しちゃ駄目という規定を設けてる会社は多いよ。
ただしPマークがそれを求めているワケじゃなく、その方が管理しやすい(=安心&安全)という理由。
何らかの方法で、情報漏洩の危険性を増大させることなく個人データを運用できるのなら、やれば良いのさ。
返信ありがとうございます
絶対的な決まりではないけれど、よりよい方法ということですね
運用方法を検討してみようと思います
事実上、国民の権利義務に関係しているわけだ。
世の企業は顧問弁護士よりJIPDECの顔色を見る始末。
福島大臣は個人情報保護法の改正問題について答申するよう消費者委員会に要請した。
経産省ガイドラインの改正作業も走っている、
JIS Q 15001:2006の定期的見直し作業は2010年からはじめなければならないだろう。
Pマークがあったから入札予備審査はフリーパスできた。
システム開発の場合、うちの県ではPマークかISMSのどちらかが必要らしい。
しっかり運用されている会社のオフィスは綺麗な所が多いですね。
取り組みを外部に伝えるために、Pマーク、ISMSを取得。
会社分割をしたので、新会社の方でも、再度取得の作業。
Pマークや、ISO27001を取得する作業は大変面倒が多いが、
最初に面倒でも、きちんと対応しておくか、
後で、面倒なことになるかだけの違い。
それであれば、最初からきちんと対応しておくのが重要。
昨年から延々書類を作って提出しては駄目出しされたりと大変だったが今日許諾証とかロゴ画像とか契約書とか色々送られてきたのを確認した。
富士火災海上保険や富士生命保険の顧客6万人以上の氏名や契約内容などのデータが保存されていたが、
現時点では流出や不正利用などの被害は確認されていないという。
盗難は8日夜、同監査法人の職員が新幹線で出張先から帰宅途中に発生した。
パソコンには富士火災などの顧客データのほか、他の取引先など4社分の社員情報6191件が記録されていた。
富士火災など2社は直接の監査先ではないが、投資家から依頼を受けて調査する過程で2社からデータを入手していた。
保存データには、個人の住所や電話番号、カード情報は含まれていない。
一千万件もの個人情報を漏洩させてもPマークは貰えるんでしょ
あまり意味ないじゃんw
2年挫折企業乙
集めているところはありますか?
あまりPマークと関係ないような気もするのですが、なぜか弊社では行っています。
中国で入力しているので、少しは単価が安いのと、Pマークを取得してるので、
ある程度は安心できるし、外注基準は満たしています。
インプットセンターで手間のかかるフリーフォーマットの入力がどのくらいで出来るのか?
安ければ出したいなぁ
やっぱりそうですよね
ありがとうございます
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々
ttp://www.virusbtn.com/conference/vb2009/programme/index *Sumesh Jaiswal ←スポークスマンぽい!?
ほいじゃあ印をジカリンで(微笑)
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif *Carey Nachenberg ←検出技術を開発したりなど技術畑の人(その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?)
*Vijay Seshadri
*Zulfikar Ramzan →超注目!!★現Architect and Technical Director職★
→顔(ジカリン)
ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg *Candid Wueest ←ググルと(記述: Candid Wueest)といっぱい出てくる人
2009年9月ジュネーブ会議にて
(Rev.6)
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々
ttp://www.virusbtn.com/conference/vb2009/programme/index *Sumesh Jaiswal ←スポークスマンぽい!?
ほいじゃあ印をジカリンで(微笑)
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif *Carey Nachenberg ←検出技術を開発したりなど技術畑の人(その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?)
↑よそがまず検出率に重点を置いていた頃にサボタージュ。今に至っても付けが未だに清算し切れぬ十字架サボタージュ。
*Vijay Seshadri
*Zulfikar Ramzan →超注目!!★現Architect and Technical Director職★
→顔(ジカリン)
ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg *Candid Wueest ←ググルと(記述: Candid Wueest)といっぱい出てくる人
2009年9月ジュネーブ会議にて
(Rev.6.1)
ttp://www.youtube.com/watch?v=FnEYTf3zyMk 残念ながら発表日は平成22年2月3日現在で、この一日のズレは惜し過ぎです。
集合研修やら、審査研修やらやりだしてる・・・
これって、専門性のない経営コンサル会社が
異業種交流パーティーを開いて参加費で儲けようとする
のと同じレベルの手口だ
概略しか話せない程度の奴でもできるからな。
これにより、まともな人材が少なすぎる課題も解決され、普及も進む。
当社は、本をコピーして使用したりしていますが・・・
著作権に引っかかるw
わかる人間が極めて少なく、
なおかつ
トンデモないレベルなのにわかってる気になっている、コンサルもどきや困った担当者が非常に多い。
この点を解消しないと、普及というかトラブルも絶えないだろうな。
誰でも参入できるかたちなのが問題なのかも。淘汰されるまでの時間が長すぎる。
要求事項には下記のように書いてあるけど、今一意味がわかりません。
「委託先が倉庫業,データセンター(ハウジング,ホスティング)等の事業者であって,当該事業者に取
り扱わせる情報に個人情報が含まれるかを認識させることなく預ける場合であっても,委託者は委託する
ものが個人情報であることを認識しているわけであるから,委託先選定基準による選定が必要である。た
だし,“個人情報”に関する条項を契約書に盛り込むことを要求するものではない。」
レンタルサーバ借りてる場合、どうしていますか?
相手次第じゃね?
相手次第とは、どういう意味でしょうか?
( ´,_ゝ`)プッ
選定する際、コストのみならず安全管理についても
貴社として何らかの評価がなされているはずですから、
それを反映した審査を行えば良いのです。
契約については、3.4.3.4の7項目にこだわる必要はなく
基本契約もしくはサービス約款の中に「安全に管理する」
旨の条項があればそれでOKでしょう。
おいおいPマークのために契約するんじゃないんだよ・・・
認証規格なら、最低限のことはやっているんだなということを、
信用のある第三者に証明してもらえるから、適当なところで収まってくれる。
審査される内容が変わっても、このしくみは同じだから、結局安くすむ。
クラウドにしておけば、
メンテは提供側が全てやってくれるから
結局楽でコスト的にも大幅に削減できるのと一緒やね。
今後ITはすべてこの方向に動くと予想。
低能(高プライド)担当者は会社の癌・・・
この手の奴が運用上だいたいいつもボトルネックとなる。
定期的に変わったほうが会社のためになると思う。
@ 誤解している人が多いが、セキュリティ対策だけを見られるわけではない。
A 審査後の対応などの審査団体とのやりとりは、未経験者では極めて困難。
B 合格までに膨大な作業が必要であり、方向性が見えていないと、先に進まない。
逆に見ると
@ セキュリティ対策で必要なことさえわかれば、なんとかなる
A 申請してしまえば、いずれ合格できる
B マニュアルをそろえて、最低限の書類さえあればいいんだろう
未だに、このレベルの認識の会社が多ので、犠牲者が後を絶たない・・・。
そこに悪徳業者がつけこみ、トラブルも跡を絶たない。
この辺は、各企業の情報収集力の差が、おおきくモノをいう部分だろうね。
食っていけますかね
有能か無能かによるw
審査員としての仕事はありますかね
コンサルが能力によって差が出るのは当然として
有能な審査員に案件は集中する
ありがとうございます
そういう事ですね
SBI証券に対して金融商品取引法に基づき行政処分を行った。
同社では、「システム運用管理基準」を設けてシステム障害対策を行っているが、
システム障害の多くがリスク管理の対象となっておらず、
システムリスク管理そのものが実質的に機能していない状況であることが証取委の検査で判明したもの。
金融庁は証取委の勧告を受け、金融商品取引法に違反する行為があったとして、
システムリスク管理態勢の不備が発生した原因の究明や責任の所在の明確化など業務改善命令を行った。
また過去の障害事例の検証、リスク管理体制の構築、規程類や業務手順の見直し、役員を含む研修の実施、
外部監査の実施や内部監査体制の強化を指導し、3月12日までに対策の進捗状況を報告するよう求めている。
金融庁
ttp://www.fsa.go.jp/ ISMSの範疇になるな
これは部門別のPマーク取得を認めるという妥協を飲んだために起きた問題でもあります。
認証を受けた部門と漏えいした部門が違っているわけですね。
コンプライアンス体制の認証と品質、環境、安全対策の認証を同一のものと考えることの問題でもあるでしょうか。
企業としての・情報セキュリティガイドラインの策定・コンプライアンスのガイドラインの策定・VPN運用方針の策定を3本柱として段取りを決めて構築していきます。
問題となったのは、同社において2009年7月にクレジットカードの番号や有効期限といった個人情報約3万2000件の漏洩が発生した事件。
同庁では保険業法と個人情報保護法に基づき報告を求め、その結果、ホストへのIDやパスワードが使い回しされるなど委託先におけるずさんな管理が判明。
さらに、委託先に対する確認や検証を実施しておらず、牽制や是正が不十分だったり、アクセス権限の設定やログの保存が不十分であるなど不備が見つかった。
事故の原因について、個人顧客情報保護の担当部門で個人情報の漏洩リスクを分析しておらず、対策を実施していなかったことや、経営陣の検証や適切な指示が行われていなかったと同庁は指摘。
金融庁
ttp://www.fsa.go.jp/ アリコジャパン
ttp://www.alico.co.jp/ さあ、気合いれていきましょか。
まったくゼロから研修で審査員を目指すとか、資格とってコンサルをやろうとか
99%無理だからw時間と金がムダになる、せいぜいペーパー資格を保有するだけ。
作業手順の単純マニュアル化であるISOレベルなら可能だけど、
Pマークは保護法、JIS、情報セキュリティの実務、理論が基礎となったうえで、
経営の視点で規定〜実運用まで臨機応変に対応することになる。
目指す時点で相当の知識経験がないと、まったく歯がたたないから。
いちいち調べてる時間なんかないし。
正論!
>経営の視点で
ここがトップ50コンサルとトンデモコンサルの違い
有能コンサル、審査員はこのあたりの知識がある
技術屋、法律屋、ISO屋が相次いで失敗するのもこのため。
マネジメントサイクル・個人情報保護法(JISQ15001)・情報セキュリティに精通していないとプライバシーマークは無理だろ。
あれは品質管理とはいえ、他山の石(対岸の火事ではないよw)
ISO屋は、儲からないので、バカらしくてやってられないだけじゃないか。
ISOはもう飽和状態だからそんなことはいってられないんだよ。
ISO屋の大半は法律にも情報セキュリティにも無知
>二年頓挫組があいかわらず続出している・・・。
1年以内に取るのが普通であり、2年で取ったということは管理面、能力面で劣ると発表するようなもんだ。
まして頓挫だと目もあてられない。
本来2年目には、マークが名刺に入り、売上、利益面でも多少貢献があるべきだろうし。
こういう会社は戦略面にそもそも問題があるんだろうな。それが社内意識にも影響するから。
手厳しい、ごもっとも・・・
プライバシーマークは、まだ飽和でもないという事なのかな?
安いといっても零細企業には厳しい金額だし、
最大で2万社ぐらいじゃないかと思うけど、どんなもんだろう。
世の中の流れからいうと潜在マーケットはまだまだじゃね?
この10年で浸透して役割を終えた感じで、もう取る必要性のない会社がほとんど。
Pマークは(個人)情報流出防止、セキュリティ対策の対応状況を証明させるものだから、
これまでが序章(大手)で、今後(中小)がむしろ本番のような。
インターネットの発展、クラウドへの移行、モバイル技術の進化・・・
WEB取引が増加、携帯電話の浸透、プライバシー意識の高まり・・・
情報の電子保存、検索技術の発達、通信の高速化・・・
セキュリティ対策の普及はまだまだこれからやね。
コンプライアンス意識の高まりもあるよ。
利用目的の特定とか。
2009年のサイバー犯罪(情報技術を利用する犯罪)の検挙件数は6,690件で前年より369件(5.8%)増加し、
2005年から過去5年間で約2倍に増加し、統計を取り始めてから過去最多となった。
1.不正アクセス禁止法違反
不正アクセス禁止法違反は2,534件で前年より794件(45.6%)増加し、2000年の不正アクセス禁止法施行後、最多となった。
2.コンピュータ・電磁的記録対象犯罪
コンピュータ又は電磁的記録を対象とした犯罪は195件で前年より52件(21.1%)減少した。
3.ネットワーク利用犯罪
ネットワーク利用犯罪は3,961件で前年より373件(8.6%)減少した。
ネットワーク利用詐欺が減少(1,280件、前年比-228件、-15.1%)。インターネット・オークション利用詐欺は減少した(522件、前年比-618件、-54.2%)。
結局、外圧(ないと仕事の受注に影響がある)があるからISO9000やPマークはヒットしたんで、
外圧のないものはほとんど不発に終わっている。
サービスレベルの認証や事業継続体制の認証、上場会社以外の内部統制しかり。
今後、Pマークの更なる普及は、外圧の広がりがどれくらいになるかだろうね。
数での予想はあまり意味がないような気がするけど。
TRUST-e が伸びないもの、入札条件にならないとか、そんなところなのかな?
コンサル費がいくらかわからないけど、認証の使用料は安価だから、
もっと増えても良さそうなもんだけど。
プライバシーマークは、けっこう田舎の、50人ぐらいの、
ケータイのチップ開発の会社持ってたりして、驚いたことはある。
メーカーの仕事も、プライバシマーク無いと取れなかったりするのか。
個人情報は、あんまり関係ない気がしたんだけど。
トラストeは、WEB上限定のセキュリティだから、やや片手落ちの内容のように思えるな。
何も取得していないよりは、特に通販やってる場合は有効だろうけど・・・。
Pマーク取得企業で50人なら、むしろでかいほうじゃないか?中堅規模にあたる。
20〜30人くらいがボリュームゾーンじゃないかと思っている(根拠データはないけど)。
メーカーはISMSを取るより安いからPマークを取ってるんだろうね。
取得難易度は、企業の諸条件に影響されるからどっちがどうとも言えないけど。
結局、TRUSTeを取得している企業って駄目企業の見本市だろw
これから中小が取得か・・という点なのだけど、
IT関連とかだとサービス業になるので、
簡単に、中規模事業者(5名以上)になってしまうのだけれど、
中小企業って、60万円+コンサル費は、なかなか、出せない気がするけれど、
経営者的には、ありえる金額なのだろうか?
中小って、会計システムですら、弥生とかPCAとか、
10万とか20万じゃないですか。
製造業は、工場設備とか、でかい金を使うことに慣れてるので、
ISO-9000で1000万円とか言われても、しょうがねえナ払うか、
と言うのだろうけど、
サービス業の経営者の投資に対する金銭感覚はどうなのだろう。
調べてみたら、書いてもらってた通り、適切なウェブサイトかを、
自己申告して、審査団体からアクセスしてもらうというもので、
片手落ちであり、審査がザルという理由も、
よくわかった。謝です。
枝野幸男行政刷新担当相が、過去に会計検査院や国会審議で問題視されたことがあり、
事業仕分けの対象になる可能性が高いとして公表した50の公益法人は次の通り。
かっこ内は所管する省庁。
▽経済調査会(内閣府、国交)
▽日本交通管理技術協会(警察)
▽全国信用保証協会連合会(金融、経産)
▽行政情報システム研究所、電波産業会、テレコム先端技術研究支援センター、
テレコムエンジニアリングセンター、地方自治情報センター、自治体衛星通信機構(以上総務)
▽日本情報処理開発協会、日本データ通信協会(以上総務、経産)
▽民事法務協会(法務)
▽国際農林業協働協会(外務、農水)
▽日本国際協力センター(外務)
▽大日本蚕糸会(文科、農水)
▽日本食品衛生協会、全国社会保険協会連合会、医療機器センター、安全衛生技術試験協会(以上厚労)
▽全国農地保有合理化協会、畜産技術協会、配合飼料供給安定機構、日本森林技術協会、
海外林業コンサルタンツ協会、マリノフォーラム21、都市農山漁村交流活性化機構、
中央果実生産出荷安定基金協会(以上農水)
▽日本穀物検定協会(農水、国交)
▽新エネルギー財団(経産)
▽河川環境管理財団、建材試験センター、日本建設機械化協会(以上経産、国交)
▽全日本トラック協会、航空保安施設信頼性センター、国土技術研究センター、
先端建設技術センター、公共用地補償機構、公園緑地管理財団、ダム水源地環境整備センター、
道路新産業開発機構、道路環境研究所、道路空間高度化機構、ベターリビング、
住宅保証機構、住宅管理協会、道路システム高度化推進機構、民間都市開発推進機構(以上国交)
▽自然環境研究センター、産業廃棄物処理事業振興財団、日本環境整備教育センター(以上環境)
三平圭祐の黒い部分を洗いざらい仕分けしてほしいものだ。
単純に、天下りが多すぎるとか、そんな理由?
天下りと不透明な会計じゃないの?
それと、審査機関の日本データ通信協会も入ってるね。
コンサル代金も中小だとさすがに安くなるよ。
【Pマーク】プライバシーマーク Part2【個人情報】
ttp://pc11.2ch.net/test/read.cgi/sec/1268358186/
3月5日付けで行政処分を行った。
問題の事業者は、出会い系サイト「星の砂」に関する広告宣伝メールを、受信者の同意なく送りつけていたもの。
送信者情報も正しく記載しておらず、特定電子メール法に違反していたことから措置命令を行った。
総務省
ttp://www.soumu.go.jp/ 消費者庁
ttp://www.caa.go.jp/ 3月3日に同社派遣社員が、派遣会社所有のノートパソコンを鞄ごと帰宅途中に紛失したもの。
問題のパソコンには、テストデータなどシステム開発のために顧客から受託していた個人情報が保存されており、
氏名や生年月日など最大10万件が含まれる。
同社は、関係者へ経緯の報告や謝罪を行っており、紛失したノートパソコンの探索や個人情報の流出など継続して調査や監視を行う。
三井情報
ttp://www.mki.co.jp/ スレ立て乙。
乙
JIPDECよりJABをなんとかしれ。
もう書けないので、新しいスレッドを立ててくださいです。。。
