Ｐマーク更新への道程 【番外編2】

今年６月から北海道IT推進協会がＰマークの審査を行うようになりました。
弊社が更新申請を行ったときには、同協会はまだプライバシーマーク付与認定指定機関ではなかったので、JIPDECにて審査を受けましたが、このところ同協会で審査を受けている企業は審査が厳しく、大変苦労しているという話を耳にします。
事実、当社のお客様でも同協会で審査を受けたところ、夥しい数の指摘事項があり、頭を抱えているという企業があります。JIPDECだと通ることが、北海道IT推進協会では通らないというような事態になっているようですね。出来立てなので審査員も張り切っているのでしょう。
コンサルは規程や様式のひな形を使って進めるので、同じひな形を使用しても、審査員によって通ったり通らなかったりするというのは、何だか腑に落ちないですよね。審査の基準というのも統一したほうがいいのでは？と思います。
「審査のためのガイドライン」も作ったほうがいいのではないでしょうか？

Ｐマーク更新への道程 【番外編】

Ｐマーク更新への道程が終わってしまったので、Ｐマーク関連の記事が書けなくなっちゃいましたが、今回は【番外編】として記事にしてみます。

本日、とある企業におじゃましたときに、Ｐマークの話になりました。
その企業は９月に現地調査があり、恐ろしい数の指摘事項があったそうで、その回答期限（原則３ケ月以内）に向けて、整理している最中とのことでした。指摘事項で一番重いのが「監査」だそうで、「監査チェックシート」の大幅見直しをした上で、おそらく再度監査をすることになると思われます。これは大変ですね。
さて、もう一つ、安全管理措置に関して「ログ管理していない」という指摘があり、ソフトウェア購入するにもお金がかかることから、どうしたものか－と悩んでいらっしゃいました。そこで、私がお勧めしたのはこれです。
■LanScopeEco(MOTEX社)
URL　https://www.lanscope.jp/eco/index.php

LanScope Ecoは以前、記事で紹介しましたが、マネジメントウェアと称して販売されてはいるものの、セキュリティの機能に優れたソフトウェアです。Ｐマーク関連で利用するには、必要にして十分な機能を提供している上、導入が簡単で、同種のソフトと比較してかなり安く価格設定されています。そのセキュリティの機能をまとめると…

°。°+°。°+　°。°。°+°。°+　°。°°。°+°。°+　

(1)ログ管理
・クライアントPCへの負荷を最小限に抑え、クライアントPCの操作ログを完全収集
・Windowタイトルを記録(WebアクセスログはURLまで取得)
※LanScopeCatではWebアクセスURLは、オプションですがEcoでは標準対応です。
・見やすいカテゴリ毎のカラー表示（インターネット＝黄色，ファイル操作＝水色，印刷＝ピンク）
・ログの検索／フィルターは日付・時刻・内容・カテゴリー・詳細・印刷枚数の複合検索
　→キーワード検索も可能
※JISQ15001:2006で要求されているレベルであればこれで十分です。
(2)ハードウェア資産管理
・ECOクライアントのハードウェア資産の情報を自動的に収集
・資産管理台帳代わりに利用可能な詳細に渡る管理項目
・CSV形式で出力でき、CSVデータで編集後に読み込むことが可能（資産No.・購入先・リース期限など）
(3)ソフトウェア資産管理
・インストール・アプリケーション情報を自動収集→不正アプリのチェック
・Office製品のバージョン毎の台数を集計→ライセンス管理
・ウィルスバスターのパターンファイルの更新状態の管理が可能（パターンが古い場合は赤で表示）

°。°+°。°+　°。°。°+°。°+　°。°°。°+°。°+　

以上の機能は、元々は"LanScope Cat"で提供されているものですが、その基本部分がLanScope Ecoに流用されており、中小企業にも普及しやすい価格で製品化されています。

また、LanScope Ecoは、MOTEX社のHPから評価版（フル機能）をダウンロードでき、60日間無償で試用可能です。従って、とりあえずは評価版をインストールして即日、ログ管理を開始し、60日以内に評価して、この機能で問題なければ、ライセンスキーを購入すればよいのです。

評価期間のログはライセンスキーを購入することで、そのまま引き継がれます。
価格は
10ライセンス \98,000
30ライセンス \180,000
50ライセンス \258,000
70ライセンス \350,000
　　・
　　・
となっています。MOTEX社の公認リセラー（当社もリセラーです）から購入する形態ですが、これもMOTEX社のHPで指定するようになっています。

Ｐマーク更新への道程 Vol.17

Ｐマーク更新への道程は本日をもって完結となりました。
そうです。2006年版のＰマークの使用許諾証が今日届いたのです。Ｐマークの許諾証と一緒にＰマークのイメージデータが入ったＣＤ－ＲＯＭも一緒に来ました。

JIS Q 15001:2006で認定の場合は、認定番号の下に「JISQ15001:2006準拠」の１行が入るのですね。

この１行のために大変な思いをしたもんです。受付の許諾証が今日から新しくなりましたが、身の回りを見ると、ホームページ、会社案内、名刺…作り直さなきゃいけないものが沢山あります。最後の最後までホントお金がかかるもんなんですね。
～　Fin　～

Ｐマーク更新への道程Vol.16

久々にＰマークの話題です。しかも、めでたい。
待ちに待った「プライバシーマーク付与認定通知」が来ました。

5月下旬の現地審査の後、6月末に指摘事項に対する文書を提出、8月下旬の委員会に報告が上がったようです。随分時間がかかりました。

あとは「プライバシーマーク付与契約書」を送付し、2年分の使用料10万円（中規模）を支払えば、2006年版のＰマークを堂々と使えるようになります。

届いた「付与契約書」を読んでいて分かったことですが、新ＪＩＳに移行したらＰマークの表示は、認定番号の下に「JISQ15001:2006年準拠」と入れるようですね。少し嬉しい…

社長に報告したら、「名刺も全員分印刷し直さなければ」と言われました。もう、お金ばっかりかかるなぁ。

Ｐマーク更新への道程Vol.15

Vol.14でご要望のありました「2006年版JISへの対応状況」のサンプルをアップします。確かに申請書類の中で、これだけはフリーフォーマットですので、戸惑う方もいらっしゃると思います。

「2006年版JISへの対応状況.xls」をダウンロード

これは当社の例であって、計画も実行も異なると思いますので、好きにアレンジしてお使い下さい。この書式でＪＩＰＤＥＣからは特に指摘はありませんでしたので、問題ないと思います。お役に立てれば幸いです。

Ｐマーク更新への道程Vol.14

本日、個人情報保護の定期教育を行いました。

従来のテキストの他に、個人情報漏洩事故に関しての資料も準備しましたが、たまたま先月に「2007年度 情報セキュリティインシデントに関する調査報告書」（NPO 日本ネットワークセキュリティ協会）が公表されましたので、参考にさせていただきました。

また、事件・事故の事例として下記の事件を引用させていただきました。

■Winny関連
・ＮＴＴ西日本（富士通ビジネスシステム）2008年(1,041名)
・５自治体（山口電子計算センター）2004年～(拡大中)

■内部不正
・大日本印刷　2007年(8,637,405名）

■紛失
・札幌テレビ放送　2008年(1,512名）
・横浜市小学校教諭　2008年(34名）

■車上荒らし
・福島県岩代町（エフコム）　2002年(2,300名）
・北海道三菱自動車販売　2008年(226名)
・ホンダプリモ愛知東　2007年(5,261名）
・愛知冠婚葬祭互助会　2008年(10名）

■管理ミス（リースPC返却時）
・岩手県生物工学研究所　2008年（340名）

■システム不具合
・ブリジストンスポーツ　2005年（13名）

調べる過程で、大日本印刷事件では「ポケットのない作業服まで準備したのにあっさり鞄で持ち出された」とか山口電子計算センターは「情報漏洩防止・抑止のセキュリティアプライアンス製品を販売していた」という興味深い話もWebに掲載されていました。また、航空自衛隊の情報漏洩防止啓発ポスターも笑えました。一般人が目にすることがないので、こういう掲示物が作成されたのでしょう。内外の批判もあるでしょうが、注目度では◎ですね。

実際に漏洩して被害が出ていない場合であっても、ニュースソースとなるところが怖いですねぇ。宇治市の最高裁判例では漏洩した場合の一人当たりの賠償金は1万5千円でしたが、今回のNPO 日本ネットワークセキュリティ協会のレポートを見ると、社内工数等も含めた場合、一人当たり3万8,233円(2007年度)という試算となっています。

最後に今回の理解度確認テストです。社内でこのブログを見ている人はいないと思うので載せておきます。ご参考まで（今回はかなり易しくしました）。

「理解度確認テスト_200806.xls」をダウンロード

※F～J列を再表示にすると回答を表示します。社内用の内容になっていますので、一般的ではない問題もありますので留意下さい。 

Ｐマーク更新への道程Vol.13

今週、Ｐマークの現地審査が完了しました。
審査員は２名、午前１０：００スタート、２０分のトップインタビューの後、審査は１７：００まで掛かりました。
指摘事項は以下の通りです。

【１】個人情報管理台帳の漏れ
・スキル表
・教育履歴
・同意書・誓約書
※紙ベースとデータは別々に記述すること（リスク分析・対策も異なるため）
【２】リスク分析
ライフサイクル別リスク分析にて「移送」の分析が甘い。現在の漏洩事故の多くは、「車上荒らし」であり、具体的に「車上荒らし」というキーワードを入れた上で対策を施すこと。
【３】間接的取得の個人情報
協力会社（開発委託先）の従業員の職務経歴書等は間接的な取得となるため、社員の個人情報とは別に特定した上で管理対象とすること。
システム開発にて使用するテストデータ等も間接的な取得であり、自社の直接取得ではないため、委託元が適正に取得したものであることを確認しておくこと。これは協力会社に委託する場合も同様であり、間接的に取得したものが適正に取得されたものであるか確認しづらい場合は、委託契約書に、その旨を盛り込んでおく等の措置を予め講じておくこと。また、その手順を具体的に記述しておくこと。
【４】機密保持契約
JISQ2006に準拠したもので取り直しておくこと。
【５】開示手続き
規程に即して、公表内容をホームページにて公開しているが、現在の２画面構成は分かりにくいので、１画面にまとめて記述しておくこと。
【６】システムのリモートメンテナンス
個人情報を不正に取得したり、漏洩するリスクの高いリモートメンテナンスについて、ID・パスワードの管理を規程に盛り込むこと。また退職者が出た場合の措置も規程しておくこと。
【７】外部記録媒体
「機密情報を含む外部記録媒体」について規定するのではなく、外部記録媒体自体の管理をルール化すること。特にデータ保管時のリスクと考え、禁止する、或いは会社管理のＵＳＢメモリを貸し出すこととし、それ以外は使用させないなどの対策を講じること。

以上のことをコンサルのpwさんに報告しましたら、「随分少ないね」と言っていました。審査員の方もおっしゃっていましたが、書類審査で「×」が一つというのは、本当に少ないらしく、普通は１０個くらいはあるものだそうです。現地審査も最低でも１０個以上はあるのが普通とのことで、指摘された内容も、かなり細かい部分を突かれているとのことです。

その日は夕方から打ち上げへ－
今回は、私の「しゃぶしゃぶ」が食べたいという要望が叶い、「岩崎」での打ち上げとなりました。社長のおごりです。

■白老黒毛和牛　岩崎
札幌市中央区南4条西5　つむぎビル4F
TEL 011-221-1181

この店は、白老牛のしゃぶしゃぶのお店で、日ハムの選手の色紙が沢山並んでいました。先月は「いしざき」のしゃぶしゃぶの記事を書きましたが、岩崎の肉も柔らかく、とてもおいしくいただきました。いい肉は、本当にアクが出ないものなんですね。ここは「ラーメン」で仕上げです。

Ｐマーク更新への道程Vol.12

書類審査の結果が来ました。

【×】＝１
【△】＝１
【現地】＝１
という結果でした。

旧JISの新規申請では
【×】＝３
【△】＝４
【現地】＝７
でしたので、かなりの改善です。

今回の内訳は
【×】委託先選定の手順が規定されていない
管理手順はありますが、選定の手順がありませんでした。
【△】個人情報保護方針に「是正」が盛り込まれていない
何てこった！思わぬ落とし穴。
【現地】ＳＳＬ、無線ＬＡＮに関して規定されていない
当社では該当がありません。でも規程に盛り込むか検討。

とりあえずはホッとしています。ＧＷを前にして、このところホッとすることが続いています。ＧＷはゆっくりできそう…

Ｐマーク更新への道程Vol.11

JIPDECさん！これはおかしくないですか？

というのは、
■Ｐマークの費用は新規の場合
【小規模】申請審査25万円+使用料5万円＝30万円
【中規模】申請審査50万円+使用料10万円＝60万円
【大規模】申請審査100万円+使用料20万円＝120万円

■事業者規模の基準
・中規模
　　　　 　　　　　　資本金　　　従業員数
=====================================
製造業その他　3億円以下　　300人以下
卸売業　　　　　1億円以下　　100人以下
小売業　　　　　5000万円以下　50人以下
ｻｰﾋﾞｽ業 　　　 5000万円以下 100人以下
=====================================

製造業その他の業種には、製造業のほか、鉱業、建設業、電気・ガス・熱供給・水道業、運輸業、通信業、金融・保険業、不動産業およびその他の業種（卸売業、小売業（飲食店を含む）、サービス業を除く）に属する事業を主たる事業として営む事業者を言います。

・大規模
中規模の基準を上回る場合

・小規模
常時使用する従業者の数が二十人（卸売業、小売業（含、飲食店）又はサービス業に属する事業を主たる事業として営む者については、五人）以下の事業者。

-------------------------------------

以上の如くの記述があります。それでは、当社のようなソフトウェア業は何になるかというと

産業分類では
大分類Ａ－農業
大分類Ｂ－林業
大分類Ｃ－漁業
大分類Ｄ－鉱業
大分類Ｅ－建設業
大分類Ｆ－製造業
大分類Ｇ－電気・ガス・熱供給・水道業
大分類Ｈ－情報通信業
　　　　　+ [中分類]情報サービス業
　　　　　　+ [小分類]ソフトウェア業
大分類Ｉ－運輸業
大分類Ｊ－卸売・小売業
大分類Ｋ－金融・保険業
大分類Ｌ－不動産業
大分類Ｍ－飲食店，宿泊業
大分類Ｎ－医療，福祉
大分類Ｏ－教育，学習支援業
大分類Ｐ－複合サービス事業
大分類Ｑ－サービス業（他に分類されないもの）
大分類Ｒ－公務（他に分類されないもの）
大分類Ｓ－分類不能の産業

これで行くと通信業に当りますよね？「Ｑ－サービス業」ではない。従って業種は「製造業その他」になります。
ところが、JIPDECさんはこの総務省の産業分類を無視しています。即ちソフトウェア業は「サービス業」と見なして、弊社の規模ですと中規模となってしまっているのです。同業者は全てそのように分類されてしまっているようです。
しかしISP事業者などのいわゆる通信業者は「製造業その他」になっているようです。同じ「大分類Ｈ」なのに…
なぜ、通信業者が「製造業その他」に分類され、ソフトウェア業が「サービス業」になってしまうのでしょう。ソフトウェア業は、事業としてサービスはしていませんが、ソフトウェアを製造している会社なのですが…
従業員6名以上20名以下のソフトウェア業者は、皆、中規模になってしまい、費用が30万円のところ60万円になってしまいます。私どもはJIPDECさんの分類では「情報サービス・調査業」に分類されていますが、この業種、実は現在、Ｐマーク認定事業者の38.65%を占めており、JIPDECさんは総務省が定めた産業分類を無視して、勝手な分類で不当に申請費用等を徴収しているように思えてなりません。どう思いますか？
ＮＴＴさんやＢＩＧＬＯＢＥさんなどのような通信事業者のほうが、私どもソフトウェア受託開発の会社より圧倒的に多くの個人情報を保有しています。なのにソフトウェア業のほうが基準が厳しい？納得いかないなあ！これは、総務省かJIPDECさんのいずれかが間違っていますよね。

Ｐマーク更新への道程Vol.10

現地審査の連絡がメールで来ました。
書類審査の結果はまだ来ていないというのに（多分、今は更新申請が多いのでJIPDECも混乱しているのでしょう）、来月の指定の期間から現地審査の希望日を第二希望まで連絡するようメールには書いてありました。
メールによりますと現地審査の要領は以下の通りです。
●審査時間＝６時間
９時から始めた場合、昼休みを挟んで１６時終了
●トップインタビュー＝２０分
社長へのインタビューです。
●その他
個人情報保護管理者は通しで出席とのこと

書類審査結果が来ないのに現地審査の連絡が来たということは、書類審査はパスしたのかな…なんて言う人もいましたが、それはありえません！まずは書類審査の結果を待ってみます。