　一覧　⇒　１２３４５６７８９１０１１ＴＯＰへ戻る
⇒ 情報セキュリティに関する様々な情報をお届けします　

　情報セキュリティに関する様々な情報をお届けします 　　

2023/9/20
　ＪＩＳＱ１５００１：２０２３
　及び
　ＪＩＳＱ２７００１：２０２３
　が日本規格協会より提供されました

【速報！】
永らく待たされていました以下ＪＩＳ規格（日本語版）が日本規格協会より9月20日から書籍及びＰＤＦ形式で提供開始されました
１）ＪＩＳＱ１５００１　２０２３年版
２）ＪＩＳＱ２７００１　２０２３年版
これで日本語版（ＪＩＳ規格）が正式に提供開始となったわけです
具体的な対応は今後、ＪＩＰＤＥＣより改訂された「構築・運用指針」が公表される予定ですので
それを待って各種規程類の見直しを行うことになると思われます
今は慌てず、中身を理解される程度でご覧になるのがよろしいかと思います

日本規格協会の検索はこちらから　規格検索結果 | 日本規格協会 JSA Group Webdesk
https://webdesk.jsa.or.jp/books/W11M0070/index

ＪＩＳＱ１５００１：２０２３では附属書がＡ，Ｂ，Ｃ，Ｄ，Ｅと５種類に追加され全体で９４頁と大作です
ＪＩＳＱ２７００１：２０２３では従来のＩＳＭＳ適用宣言書の見直し参考になる附属書Ａ（管理策）が記載され全体で２４頁となっています
多くのコンサル諸氏はこれから忙しくなりますね！

参考に今回の改訂において気になった個所について補足します
これから提示される「構築運用指針」でどの程度具体的な対応について指示されるかが気になります
それは要求事項「６．２リスク及び機会への取組」で要求されている事項です
今までは明確ではなかった（自由度が高かったリスク評価方法が）ＩＳＭＳ的なリスク評価が求められている点かと思います
（今までは処理の流れに沿ったリスク評価など各事業者の判断にリスク評価方法は任されていたが今回からリスク評価方法がレベル評価を行う事など具体的に詳細な方法が規定されたようになっています
このあたり、専門家不在の小規模事業者ですと具体的方法について理解できず無用な混乱をきたすのではと思われる改訂になっています
どこまで具体的に対応が必要なのかこれから提示される「構築運用指針」の中身について注視したいと思います

2023/8/16
ＩＰＡより情報セキュリティ白書２０２３が公開されました

内外の情報「セキュリティに関する情報をまとめた「情報セキュリティ白書２０２３」がＩＰＡより公開されました
世の中の情報セキュリティに関する情報を網羅的に説明されており大変役立つ資料かと思います

入手方法など詳細は以下URLを参照ください

情報セキュリティ白書2023 | 書籍・刊行物 | IPA 独立行政法人情報処理推進機構

2023/4/17
ＩＳＯ２７００１が昨年１０月に改正されましたがそのＪＩＳ化が望まれています・・・

ＩＳＯ２７００１、２７００２のいずれもが２０２１，２０２２と改正されましたことはご存じと思います
現在のところ公開されている要求事項は全て英語版（対訳あり）ですがＪＩＳ化されていないため日本語での要求事項の改正対応についてＩＳＭＳの認証取得をされている各事業者のご担当は頭を抱えていると思われます
審査員の審査資格についても早急に改正された27001:2022版への差分教育を受けて2025年10月までに資格更新が必要とされました
この資格更新がされていないと新しいＩＳＯ要求事項に基づいた審査を行うことができないことになり、最悪の場合審査員資格が消滅することになります
2025年10月を目途に各社、各審査員は差分対応を行う事になりそうです
さて表題にあるＪＩＳ化時期ですが、もうそろそろ（2022年10月から半年程度?!)かと言われていますので今しばらく待つことになりそうです。現状、日本規格協会から販売されている英文要求事項（和訳併記されてはいますが）は3万5千円くらいですがこれがＪＩＳ化されれば１／１０程度の価格になるものと思われますし、日本語での正式な要求事項書になりますから対応も容易になると思われます
今しばらく、対訳を眺めながら勉強を重ねＪＩＳ化された後の対応について準備されるのが最善かもしれませんネ

電気通信事業者に対する「電気通信事業法」が2022年6月に改正公布され2023年6月から施行されることになりました
電気通信事業法は電気通信事業者に対する法律ですが改正された中に話題のＣｏｏｋｉｅ規制が盛り込まれ
使い方によっては解釈により今までは該当しなかった事業者においても具体的な対応が求められることになるようです
改正個人情報保護法で「個人関連情報」が定義されＣｏｏｋｉｅ情報はそれに該当するとのことからその保護について
取得の説明や同意について具体措置を求めるとの内容です
その詳細は今後、省令（総務省）で示されるとのことですので、注意が必要かと思います
Ｐマーク取得事業者や大手事業者では積極的な表記、取得が行われつつあるようですが、閲覧のみの利用者に対する説明と同意取得について適切でないケースが見られるようです
今一度、Cookieの利用そのものを考え直す良い機会かもしれません

2023/01/27
電気通信事業法が改正されその中でCookie規制が明記されました

電気通信事業者に対する「電気通信事業法」が2022年6月に改正公布され2023年6月から施行されることになりました
電気通信事業法は電気通信事業者に対する法律ですが改正された中に話題のＣｏｏｋｉｅ規制が盛り込まれ
使い方によっては解釈により今までは該当しなかった事業者においても具体的な対応が求められることになるようです
改正個人情報保護法で「個人関連情報」が定義されＣｏｏｋｉｅ情報はそれに該当するとのことからその保護について
取得の説明や同意について具体措置を求めるとの内容です
その詳細は今後、省令（総務省）で示されるとのことですので、注意が必要かと思います
Ｐマーク取得事業者や大手事業者では積極的な表記、取得が行われつつあるようですが、閲覧のみの利用者に対する説明と同意取得について適切でないケースが見らせるようです
今一度、Cookieの利用そのものを考え直す良い機会かもしれません

2023/01/01
ＩＳＯ/IEC２７００１が２０２２年１０月１５日に発行しました

２０２２年２月に改訂されたＩＳＯ27002に続き、それらと整合性を図ったＩＳＯ／IEC27001が2022年10月25日に改訂され発行されました
発行されてから3年間に対応を求められますが、ISMSを取得されている事業者としての対応は日本語版が提供されてからでも遅くは無いと思います
本年春頃には日本語版（ＪＩＳ対応版）が発行されると思われますので、それらをよく理解し、対応した管理策の改訂対応を行うのが効率的と思います
具体的な内容が（日本語化内容）見えてきましたら本ホームページでも紹介していきたいと思っています
ご期待ください

2023/01/01
win8のサポートが2023年1月で終了します

とうとうＷＩＮ８のサポートも２０２３年１月で終了となります
すでに移行は完了していると思いますが、Ｐマーク審査ではシステム安全管理面で
必ず確認されますのでご注意ください

2022/12/19
ＪＩＰＤＥＣより個人情報保護社員教育参考資料ヒナ型が提供されました

ＪＩＰＤＥＣより２０２２年１２月版で社員教育参考資料（ひな形）が登録公開されました。
毎年の社員教育資料作成に頭を悩ましている教育ご担当者へ吉報かも知れません。

-----(資料目次部分抜粋）

-----
２０２２年の事故報告なども反映されているようですので自社の保護方針や推進体制などを組み込めば即使える資料かと思います
これから３月末年度末に向けて教育を予定されている事業者の方々にとって使える資料かもしれませんネ
参考ＵＲＬはこちら　　⇒ https://privacymark.jp/system/reference/index.html#tools
(参考情報プライバシーマーク制度一般財団法人日本情報経済社会推進協会)

2022/11/3
ＪＩＳＱ１５００１が改正されるとのことでＤＲＡＦＴ版が掲示されパブリックコメントが募集されています

ＪＩＳＱ１５００１：２０１７が出てから５年経過し、改正版のＤＲＡＦＴがパブリック募集されています。
未だ正式版ではありませんのでこれから少し手直しになるかと思いますが、やっと新審査基準での規程見直しを完了された事業者にとってまたまた規程類の見直しが必要となることになりますネ
喜んでいるのは巷のコンサル諸氏だけでしょうか（笑）？！
さて具体的な詳細はこれから正式版がでてからとなりますがちょっと気づいた点がありますのでポイント紹介させていただきます
正式版が出ていませんので変更される可能性ありとご理解してお読みください

正式版が発表されましたら具体的な詳細につきまして紹介させてただきますのでご期待ください

2023/01/01
不当競争防止法違反事例（営業秘密）情報セキュリティ事故

・回転ずし大手「かっぱ寿司」運営会社社長が前勤務先「はま寿司」の仕入れ情報等が記録されたデータを退職後に持ち出した容疑などで逮捕された。
「はま寿司」ではこのデータを閲覧するには限られた社員だけが持つパスワードが必要だったとのこと。
・警視庁は持ち出された情報が不正競争防止法がする保護「営業秘密」に該当するとのことで不当競争防止法位はで逮捕に踏み切った。

大切な企業内情報を持ち出されたとしても上記が満足されないと法的に保護されないことになり訴えても罪には問えないことになります。
大切な情報について適切に取り扱っていることを説明して理解してもらえるようになっていますか？
無造作に机の上に放置されていたり、施錠ロッカーに保管されていてロッカーのカギが誰にでも手に取れる壁にぶら下がっていたりしていませんか？
今一度回りを見回して安全管理が徹底されているかの確認を行ってみてください。

2022/12/19
ＪＩＰＤＥＣより個人情報保護社員教育参考資料ヒナ型が提供されました

2022/11/3
ＪＩＳＱ１５００１が改正されるとのことでＤＲＡＦＴ版が掲示されパブリックコメントが募集されています

2022/10/28
不当競争防止法違反事例（営業秘密）情報セキュリティ事故

2022/08/19
またもや泥酔して大切な情報がどこかへ～

先日、尼崎市で大切な個人情報を記録したUSBメモリーを無断で持ち出し仲間と飲食後、泥酔し紛失したとの事件がありましたが、今度は同じ兵庫県県警警部が許可を得ずに捜査資料を持ち出し、そのまま西宮市内の居酒屋で仲間と飲食後、23時頃徒歩で帰宅する途中に路上で寝込んでしまい翌朝目覚めたところ、資料が入ったカバンが無いことに気づいたとのこと
先の事故事例が全く生かされていない兵庫県・・・・
大切なものを持って泥酔し路上で寝る文化が兵庫県では有るのかな？と思ってしまいますネ
笑うに笑えない事故の連続です
「飲んだら持つな」「持つなら飲むな」を肝に銘じて行動するよう行動しましょう

2022/7/4
ＡＵ回線が長時間接続できない事態に・・・

ＫＤＤＩ系のキャリア事業者であるＡＵで長時間、接続障害が発生しました
４８時間経過しても未だ完全復旧になっていません
土曜から日曜だったのでビジネスへの影響は感じなかった方々も多いとは思いますが月曜になっても未だ解決していませんのでこれからビジネスへの影響は拡大すると思われます
（プライベートでは大きく影響を受けた方々もいらっしゃると思いますが）
近頃はネット決済など携帯キャリアは重要な社会インフラとなっています
利用者としてもＢＣＰ対策を考慮したネットワーク利用等、日常的な運用に心がけましょう
緊急時に備えて複数のキャリアとの契約を行うなどの対策です
某Ｒ社の契約は使った分の請求となりますので日常的な予備回線と考えても良いのかもしれません
（一部ＡＵ回線を使っていますので注意が必要ですが）
信頼性の面では少々割高になりますがやはり安全の（万全ではありませんが）Ｄ社となるかもです
ここで見直しされたのが巷に設置されている「公衆電話」です
先日の報道では維持コスト面から縮小方向にあるとの話でしたがやはり緊急時には安心の有線回線と言うことでしょうか・・
今時の（言い方が古い）若者の中には公衆電話の使い方を知らない方もいると聞きました
コインを入れてもすぐに返却され電話が使えない！と焦っている方々が見受けられたとのこと・・
公衆電話は先に受話器（これも死語？！）を上げて（オンフック）からコインを入れて電話番号を打ち込みましょう・・
でもＬＩＮＥ電話などを使っていると相手の電話番号が判らない！？なんてことになりそうで基本的に通話できないとなるかもしれません
携帯ネットの重要性を改めて確認させられた出来事でした
余談ですが「☎」マークが何のマークか判らない年代も有るとか・・・
ホームページで使うロゴマークも良く考えて使う必要がありますね
「☎」マークを使うウェブデザイナーの年代（昭和！？）がバレてしまうことになりそう・・

2022/6/27
住民情報が記載されたＵＳＢメモリーが不注意で紛失！

尼崎市役所から委託された事業者からさらに再再委託していた事業者従業員の不注意で尼崎市全住民（４６万５１７人）の住民情報が記録されたUSBメモリーがセキュリティ教科書で絶対ダメと紹介されていることの数々が行われたことにより紛失すると言う将来にわたってセキュリティ事故殿堂に登録され末永く語り継がれるであろう事故が発生しました
従来より、「飲むなら持つな！持つなら飲むな！」と言われていましたが、やはり・・・・
大切な情報の運搬に関してＵＳＢメモリーを今時使っているのも、もう少し方法が考えられると思いますが、それより委託元市役所が委託先として再委託が行われていたこと、委託先における情報管理の徹底について十分な確認が行われていなかったことなど不適切な取扱いが次から次と明らかになってきます
またＵＳＢには暗号化処置が施されていたとのことですが暗号桁数（英字含１３桁）なども公表されるというセキュリティ意識の低さも見られるなど、驚き連続の事故でした

詳細顛末は以下尼崎市役所ＵＲＬで確認できます
個人情報を含むUSBメモリーの紛失事案について｜尼崎市公式ホームページ (city.amagasaki.hyogo.jp)

今回の事故で注意すべきポイントがいくつか見えています
・委託先管理は徹底されているか　特に再委託が行われていないか
・委託契約書で情報の取扱い（移動、削除、業務終了後の取り扱い・・）が明確か
・委託業務で不必要な情報も一括して渡していないか

結果として紛失したＵＳＢメモリーは発見されて事なきを得たようですが
以前はＪＩＰＤＥＣからのアナウンスで暗号化されていれば個人情報の事故報告対象ではないとされていましたが今回の保護法改正から暗号化されていても事故報告対象とするとされました
今後の報告を含めて従来以上の注意をもって運用されることをお勧めする大変貴重な事故事例となりました

2022/5/4
個人情報保護法改正における
「安全管理措置公表義務」での記載事項について

個人情報保護法改正では「安全管理措置公表」について義務化されたことはご存じと思います
特にＰマーク取得事業社の方々で保護方針の見直しを行う場合にどのように公表しようか頭を抱えているのではないでしょうか？
ＪＩＰＤＥＣでは実に簡単な記載で公表していますので、事業者の記載モデルとして活用できるのではないでしょうか？

－－個人情報保護の取り組み｜一般財団法人日本情報経済社会推進協会 (jipdec.or.jp)　安全管理措置記載例抜粋

－－－－－－－－－－－－－－－－－－－－
上記のように要領よくまとめて公表されています
安全管理措置についての公表ですので手の内を詳細に明らか（公表）することは事業者にとって新たなリスクを抱えることになります
このＪＩＰＤＥＣの事例のように記載されるのも有りかと思います
審査の時に審査員から指摘をもし受けた場合は「ＪＩＰＤＥＣ」が・・・と説明されてもＯＫかと思います
結果は自己責任でお願いします（笑）

2022/4/06
3月14日、「EmoCheck」v2.1.1が公開されました。

Emotet感染確認ツール「EmoCheck」v2.1をJPCERT/CCが3月に公開しました
2月に更新された挙動の変化に対応されたバグフィックス版です
Releases · JPCERTCC/EmoCheck · GitHub
から確認できます
Emoteiの感染が広がっています
是非、ご利用の環境の確認をされてください

2022/2/23
ISO27002が2022/2に改訂されました

ＩＳＯ27002が2022年2月に改訂されました
今のところＩＳＭＳ認証基準である２７００１の改訂は行われていませんが本来、27002と27001は一体であるべきなので近い将来、27001の改訂も行われるものと思われます
今回の改定内容は、情報セキュリティ管理策の数が14カテゴリー114項目から、4カテゴリー93項目に削減されました
新しい4つのカテゴリーは以下となっています
organisational controls ・・・組織の管理策
people controls ・・・・・・・人の管理策
physical controls ・・・・・・物理的管理策
technical controls ・・・・・技術的管理策

その他、11個の新しい管理策が追加され、24個の管理策が既存の2013年版の管理策と統合され、既存の2013年版の58個の管理策が更新されています

ＩＳＭＳ審査は２７００１を要求事項として審査が行われます
今のところ２７００１の改訂は行われていませんので直接審査には関係ありませんが２７００１と２７００２は一体であるべきなので早晩、２７００１の改訂が予想されます
そのためにも今回の改訂について内容理解に努めることは必要と思います
なお今のところＪＩＳ化は行われていませんので国内対応はもう少し時間がかかるものと思われます(2022/2/23現在）

2022/2/16
「Ｗｉｎｄｏｗｓ１０　バージョン20H2」のサポートが5月に終了！

Windows10バージョン20H2のサポート終了が近づいてきた（5月）とアナウンスがありました
サポート終了するとセキュリティアップデートが行われなくなります
こまめにアップデートされていれば良いのですがされていない方は21H2へお早めにアップデートされてください
詳細は以下からご確認ください：

Windows 10 20H2のサービス終了が近づく Microsoftが21H2へのアップデートを告知 (msn.com)

使っているＰＣのバージョンは「システム」の中の「詳細情報」で「Windowsの仕様」から確認できます
記載されているバージョンが「２１Ｈ２」であればＯＫです
それ以外の場合は早めにアップデートされることをお勧めします

2022/2/12
国際標準化機構（ＩＳＯ）は現時点でＩＳＯ９００１を改訂せずと決定！

国際標準化機構（ＩＳＯ）の技術委員会から５年程度で改訂が予想されていたＩＳＯ９００１：２０１５の改訂を現状行わないという決定が下されたようです
ＩＳＯ９００１：２０１５においては従来、５年に一度見直しを行うと言われていましたが、この度、委員会で評議した結果、現状のところ見直しは行わないとの決定が下されたとのことです
これにより、今後見直しが再検討された場合、それに関するレビュー（５年程度）や開発時間（３年程度）を考慮するとＩＳＯ９００１の改訂版は２０３０年まで発行されない可能性が出てきました
であれば現状の２０１５年版が長期に渡り運用されることになります
改訂を新たなビジネスチャンスとして心待ちにされていたＩＳＯコンサル諸氏にとってしばらくお預けになるものと思われます
詳細はこちらから
ISO は現時点でISO 9001は改訂せずと決定｜ (irca.org)　ＪＲＡＣホームページ

ところでISO27002については2022年2月に改訂版が発行される予定であり、相互の整合性を維持するためには、ISO27001にも改訂版(または、既存の規格の暫定的な修正版) が必要となるものと予想され、その分野では少しコンサル諸兄は忙しくなるものと思われますので情報収集を怠りなくされてください
２０２２年がコンサル諸兄にとって良き年でありますようお祈りしています　(^^♪

2022/1/30
ＩＰＡより２０２２年１０大脅威が発表されました

ＩＰＡから２０２２年１０大脅威が発表されました

前年から大きな順位の変化はありませんが「組織」向けとして７位に「ゼロディ攻撃」がランクアップしてきました
また関連として「脆弱性に関する事項」も６位に上がってきています
自社におけるリスク管理を確認する指標として活用もありかと思います
詳細は
　プレス発表　「情報セキュリティ10大脅威 2022」を決定：IPA 独立行政法人情報処理推進機構　
からご確認ください

2022/01/03
医療機関へのランサムウェア事件　続報！

徳島の医療機関で発生したランサムウェア攻撃での続報が入ってきましたので、情報の共有を行うことにより同様な事故発生防止とされて下さい
直接的な原因としては以下ＶＰＮ装置の脆弱性を突かれた不正アクセスによる保有データベース（画像診断情報や電子カルテ情報）の書き換え（勝手な暗号化など）が行われたため、迅速な復旧が困難な状況になり医療業務が長期間に渡って多大なる影響を受けたもの

＜脆弱性のある対処が必要となっているＶＰＮ装置や他システム類＞
・ Fortinet 製 Virtual Private Network(VPN)装置の脆弱性(CVE-2018-13379)
・ Ivanti 製 VPN 装置「Pulse Connect Secure」の脆弱性(CVE-2021-22893、 CVE2020-8260、CVE-2020-8243、CVE-2019-11510)
・ Citrix 製「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix SD-WAN WANOP」の脆弱性(CVE-2019-19781)
・ Microsoft Exchange Server の脆弱性(CVE-2021-26855 等)
・ SonicWall Secure Mobile Access (SMA) 100 シリーズの脆弱性(CVE-2021-20016)
・ QNAP Systems 製 NAS(Network Attached Storage)製品「QNAP」に関する脆弱性 (CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等)
・ Windows のドメインコントローラーの脆弱性(CVE-2020-1472 等)

上記機器／システムは遠隔地医療や地域の広域医療システムを構成する中でよく使われているものであり脆弱性への対処を怠って利用し続けていると外部からの思わぬ攻撃を受けてしまう恐れがあります
またバックアップについてもネットワーク上のＨＤＤなどへのバックアップのみで運用されていると同一ネットワークを経由してバックアップファイルも攻撃対象となり、肝心な時に利用できないことになります
今回がまさにその事例となりました
バックアップは、どこかのタイミングでオフライン媒体へ保存し、保管場所も分散化などを図る必要性について考慮することが重要です
今一度、自組織で使われている機材にセキュリティに関する穴が空いている状態で使われていないか、専門家への相談も検討するなど、自社だけで対応することを考えず専門家の意見を参考にシステムの安全性向上を図ってください
ちなみに徳島の医療機関では再発防止対策として2億円規模の予算を組んで対応されるとのことです
後手に回った事故発生後の対応ではそのコストは大きく膨れ上がる可能性があり、経営者の事前理解と判断が傷口を広げない最善の方策で有ると思われます
まずは医療などの社会システムを担っている事業者は現状の問題点を抱えて運用が行われていないか、早急に自社システムのリスク評価を行い、事故発生防止に努めてください

2021/12/26
Ｐマーク更新申請はお早めがお勧めかも・・・
（可能であれば3月末までに・・）！

Ｐマーク審査基準が2022年3月末まで現在の審査基準で行われることは既にご存じと思います
そのため、3月末までの申請書提出におけるＰマーク審査では既に施行されている保護法の一部やガイドの一部を除いて、積極的な変更は求められないと思われます
よって、3月末までに更新申請が可能な企業はそれまでに更新申請を行うことにより、従来の審査基準での審査となり規程類の新審査基準への対応について極端に言えば次回審査まで時間的余裕が生まれるものと思います
（注：あくまでも余裕であって見直しをしなくても良いと言うことではありません：念のため・・・）

新審査基準に対応した規程類の見直しでお困りなことがありましたらご相談ください
経験豊富なコンサルが対応させていだきます

2021/11/23
市役所に盗聴器が・・・

兵庫県川西市役所において盗聴器が設置されていたことが明らかになりました
約1年ほど前から設置されていたとみられています
某放送局のテレビ番組で盗聴器関係の調査番組取材中に、偶然川西市役所から怪しげな電波が発信されていることが判り調査した結果、ＡＣアダプタータイプの盗聴器が執務室に設置されたテーブルタップに刺さっていることを発見しました
場所的には総務課の付近で、入札関係の取扱い部署近くとのこと
今のところ個人情報などの情報漏えい被害の可能性は低いとのことですが市役所として警察に被害届を提出したとのことです
電波の到達距離は２００Ｍくらいあるとのことで、近くに停めた車の中から長時間にわたって盗聴可能で有ったようです
身の回りの環境で、怪しげで不自然なＡＣ増設タップなどを発見したら、念のために誰が設置したのか確認を行い不必要な装置はできるだけ撤去するように努めましょう
実にアナログな手段による情報漏えい事故／事件でしたが貴方の職場でもどこかで誰かに覗かれている可能性があることを理解しリスク対応を行ってください

2021/11/10
徳島の病院でランサムウェアに感染し医療業務に多大な影響が・・・

徳島県北部にある、つるぎ町立半田病院で2021年10月31日、ランサムウエアに感染したと発表されました
同病院によると、同日の午前0時半、院内の電子カルテシステムにおいて、英語による文書が大量に印刷されているのを病棟看護師が発見し電子カルテシステムが使えなくなり、診療に支障をきたす事態となったとのことです
電子カルテにはおよそ5万人分の患者カルテ情報が記録されていたとのこと
犯人からは未だ一切の接触は無く診療で使っている電子カルテシステムが感染し保存データが暗号化されるとともにバックアップシステムも感染していると判明し現状、診察に必要なカルテ情報について手作業でＰＣ入力を行い院内の情報共有で診療で利用する緊急事態になっているとのことです
今のところ復旧の見込みは立っていないとのこと・・・
そもそも医療システムは外部ネットワークとは直接接続していないが唯一、地域医療システムとは接続されておりそのあたりから侵入されたものと思われます
よって犯人から見ても直接病院が見えていない状況にあり、ウィルスが勝手に院内で活動しているものとも考えられます
バックアップも同一LAN上に構成されたファイルシステムにある場合、容易に感染を許してしまうことになりネットワーク構成からも安全な接続をシステム構築時に考慮しておかないと、いざという時に全く役に立たないことになってしまいます
重要なファイルのバックアップ方法について特段の対策が必要と思わせる事例となりました
医療など社会システムに直結する重大な事故事例とし、自社におけるリスク対応の見直しの必要性について再考される良き事例であると思われます

つるぎ町立半田病院 (handa-hospital.jp)

2021/10/16　10/17追加記載
ＪＩＰＤＥＣより「個人情報取扱い事故報告集計結果」について2020年度版が発表になりました

2019年度と比較して報告事業者数（９８５社⇒９３９社）は若干の減少が見られますが事故報告件数は（２５４３件⇒２６４４件）増加しています
報告された事故報告内容を見ると「誤送付関連」が1648件（62.3％）と一番多くなっています
先日も話題になった日本年金機構の年金通知書誤送付問題もこの辺りの話になるものと思います

発表された情報を簡単に整理すると上記のようになりちょっとした原因の漏えい事故が全体の７４％を占めているようです
詳細は以下でご確認ください
参考ＵＲＬ：その他のNEWS｜2020年度「個人情報の取扱いにおける事故報告集計結果」について｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC） (privacymark.jp)

いつか来た道と感じる年金機構漏えい事故問題ですが、宛先情報と中身の年金情報の突き合わせチェックという簡単な確認を怠った結果発生した事故と考えられますが、ＤＭ事業者として基本中の基本動作が漏れていたということでしょうか・・・
請負い事業でのＤＭ関連作業は一般に数は多いものの（今回は350万件超）作業単金は比較的安く、事業者にとって一旦事故発生時には重い責任を負わされる事となるケースが多く割の合わない作業と言われています
そのような中で発生した事故ではないかと思われますが皆さんはどう思われますか？
とはいえ、だからと言って起こしても良い事故ではありません
今回の事故発生においてもその様な受注環境で発生したのではないかと推測されます
－－－
★10/17追加記載
本件で時間が経過するにともない詳細が聞こえてきました
ちなみに委託先はＰマーク取得事業者である岐阜の印刷事業者とのことです
ＪＩＰＤＥＣや審査機関（中部産業連盟）からも調査が開始されると思います
実際の誤送付件数は97万件となっていますが、発送前で郵便局で止めたのが352万件に及んでいるそうです
今回から年金通知書のハガキデザインが従来は縦型だったものが横型になりそれに伴い印刷プログラムが変更になったのですが、その際に表と中身の印刷データにずれが生じたようです
通常は少なくともロット単位に印刷確認を行っていたようですが今回は何故か確認が行われていない、印刷業者の完全なる瑕疵であると考えられます
幸いにも振込業務は年金機構が別途行っていますので今のところ異常は発生していないことは幸いと言えるかと思います
再印刷、再送付で追加費用は５千万円は発生するようで、全て印刷業者負担となることは間違いないでしょう
多くのＤＭ事業者は責任が大きい割に、事業的にペイしないとのことで撤退が進んでいるようで一部の事業者への寡占化が進んでおり委託側としても委託先を選べない深い社会的問題もあるようです
－－－
年金機構も委託事業者に丸投げではなく、適切な委託先管理を行う管理責任があることは自明です
ＤＭ事業ではチェックの自動化が進んでいるはずで当然行っていたと思われ、今回の事故原因のさらなる発表が気になります
根本原因の発表がありましたらまたお知らせしたいと思います
昨日の携帯電話ネット事故も然り、社会システムに関係した事故発生は話題性も高く、当事者になった事業者にとっては一定期間の入札停止等、事業継続において大きな課題を背負うことにもなります
ひょっとすると今年の年末を越えられない・・・なんてことにならないよう祈るばかりです

2021/10/05
Ｐマーク新審査基準に対応するための
規程類見直しポイント

2021年9月にＰマーク審査における現行審査基準と新しい審査基準の対応表が公開されました(2022/2改訂）
構築・運用指針と（現行）審査基準との対照表（2022年2月14日改訂版） (privacymark.jp))
2022年3月末までに更新申請を行った場合は従来の審査基準でＰマーク審査が行われますが4月以降に
申請を行った場合新しい審査基準で審査が行われることになりました
新しい審査基準では従来は含まれていなかったＪＩＳＱ１５００１の基本要求事項に関する用語も含めて
「新設」という形で審査基準への取り込みが行われています
（新設まとめ概要）具体的内容はJIPDEC資料でご確認ください

Ｐマーク更新事業者については従来の規程に関して上記項目を中心に追記／見直し対応が必要かと思います
具体的にどのように行うかは各社のノウハウになるためここでは具体的に説明できませんが２０２２年１月から２月にかけて保護法改正対応についてもＪＩＰＤＥＣからアナウンス予定となっていますので、それを確認してからでも遅くは無いと思います
またそろそろＪＩＳＱ１５００１：２０１７年版の改訂が行われる頃ですので２０２２年はＰマーク取得事業者や対応コンサル事業者にとってかなり多忙な年になりそうですね
なお、新審査基準規程見直し対応でお困りの節はお気軽にお問い合わせください
弊社ではＰマーク新規取得／更新対応についてサポート支援を行っていますのでご遠慮なくどうぞ・・
問い合わせは「問い合わせフォーム」からご依頼ください（コマーシャルでした）

ＴＯＰへ戻る