2025年のテーマは「積む」
皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。
昨年は「作る」をテーマに、「…を」の部分にこだわって取組んでまいりました。
結果、具体的なアウトプットを意識することで形にできたものが多くありました。
そして、実績を積み上げる大切さを実感しました。
そこで、2025年は「積む」をテーマに掲げて取組みます。
実績を積み上げる、経験を積み重ねる、そして、徳を積むことを意識して行動してまいります。
決して、積み残しがないよう、また、詰むことがないように。
そうして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んでまいります。
2025年もどうぞよろしくお願いいたします。
個人情報の取扱いにおける事故報告集計結果(2023年度)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
JIPDEC(一般財団法人日本情報経済社会推進協会)より、「2023年度 個人情報の取扱いにおける事故報告集計結果」が7月11日に公表(7月25日に更新)されました。
この資料は、毎年、JIPDECがプライバシーマーク付与事業者からの事故報告を集計し公表しているものです。
以下、報告件数です。
・2023年度:1,952付与事業者から9,208件の報告
(2022年度:1,460付与事業者から7,009件の報告)
以下、発生事象別の内訳です。(n=7,633)
| 発生事象 | 割合 | 前年 |
|---|---|---|
| 漏えい | 70.6% | 76.1% |
| 紛失 | 7.9% | 9.7% |
| 滅失・き損 | 3.9% | 2.1% |
| 改ざん、正確性の未確保 | 1.3% | 1.2% |
| 不正・不適正取得 | 0.6% | 0.3% |
| 目的外利用・提供 | 1.2% | 1.3% |
| 不正利用 | 0.7% | 0.6% |
| 開示等の求め等の拒否 | 0.0% | 0.0% |
| 上記事象のおそれ | 13.7% | 8.6% |
以下、事象分類別の内訳です。(n=7,460)
| 事象分類 | 割合 | 前年 |
|---|---|---|
| 誤送信 | 36.2% | 24.7% |
| 誤配達・誤交付 | 28.7% | 43.0% |
| 不正アクセス | 10.2% | 6.2% |
| 盗難 | 9.0% | 0.5% |
| マルウェア・ウイルス | 5.7% | 1.8% |
| 内部不正行為 | 4.4% | 0.5% |
| 誤登録 | 3.4% | 4.7% |
| 紛失・滅失・き損 | 1.1% | 11.2% |
| 誤表示 | 0.7% | 5.8% |
| 誤廃棄 | 0.6% | 1.6% |
以下、原因別の内訳です。(n=15,067)
| 原因 | 割合 | 前年 |
|---|---|---|
| 作業・操作ミス | 25.4% | 25.3% |
| 確認不足 | 18.9% | 20.5% |
| 手順・ルール違反の作業・操作 | 18.6% | 29.0% |
| 従業員教育不十分 | 13.3% | 9.7% |
| 手順・ルール不明瞭、未策定 | 8.5% | - |
| リスク特定・分析・評価不十分 | 1.8% | 2.4% |
| プログラム設計、設定の不備 | 1.3% | 1.3% |
| アクセス制御不備 | 1.1% | 0.4% |
| 簡易なパスワード設定 | 1.0% | 0.3% |
| バージョン・パッチ適用の不備 | 0.7% | 0.2% |
| SQL対策の不備 | 0.1% | 0.1% |
| パスワードの平文保持 | 0.0% | 0.1% |
| クロスサイトスクリプティング対策の不備 | 0.0% | 0.0% |
| 原因分類その他 | 9.3% | 10.9% |
※1つの発生事象に対して複数の原因がカウントされています。
以下、媒体別の内訳です。(n=7,279)
| 媒体 | 割合 | 前年 |
|---|---|---|
| 電子データ | 46.0% | 37.8% |
| 紙 | 43.6% | 49.4% |
| その他 | 10.5% | 12.9% |
▼「2023年度 個人情報の取扱いにおける事故報告集計結果」(JIPDEC)
https://privacymark.jp/guideline/wakaru/g7ccig0000002vj1-att/2023JikoHoukoku_240725.pdf
(PDFファイル)
「JIS Q 27002:2024」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2024年6月20日に「JIS Q 27002:2024」が発行されました。
(情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策)
この規格は、「ISO/IEC 27002:2013(JIS Q 27002:2014)」の改正版として、2022年2月15日に発行された「ISO/IEC 27002:2022」に対応する日本産業規格です(技術的内容及び構成を変更することなく作成されたもの)。
旧規格では14分野、114項目の管理策がありましたが、改正により、4分野(組織・人・物理・技術)、93項目(82項目+新規11項目)に整理されました。
また、管理策を参照・活用する際の観点として、以下の属性情報が追加され、各管理策に表示されるようになりました。
a) 管理策タイプ
インシデントの発生との関係から見る属性
・予防(インシデントの発生を予防する管理策)
・検知(インシデント発生時に機能する管理策)
・是正(インシデント発生後に機能する管理策)
b) 情報セキュリティ特性
どの特性を維持するのに寄与するかという観点から見る属性
・機密性
・完全性
・可用性
c) サイバーセキュリティ概念
「ISO/IEC TS 27110(サイバーセキュリティフレームワーク策定の指針)」に記載のサイバーセキュリティ概念に関連づける観点から見る属性
・識別
・防御
・検知
・対応
・復旧
d) 運用機能
実践者の観点で見る属性
・ガバナンス
・資産管理
・情報保護
・人的資源のセキュリティ
・物理的セキュリティ
・システム及びネットワークのセキュリティ
・アプリケーションセキュリティ
・セキュリティを保った構成
・識別情報及びアクセスの管理
・脅威及び脆弱性の管理
・継続
・供給者関係のセキュリティ
・法令及び順守
・情報セキュリティ事象管理
・情報セキュリティ保証
e) セキュリティドメイン
4つの情報セキュリティドメインの観点から見る属性
・ガバナンス及びエコシステム
(情報システムセキュリティのガバナンス及びリスクマネジメント、エコシステムサイバーセキュリティマネジメントを含む)
・保護
(ITセキュリティアーキテクチャ、ITセキュリティ管理、識別情報及びアクセスの管理、ITセキュリティ保守、物理的及び環境的セキュリティを含む)
・防御
(検知、コンピュータセキュリティインシデント管理を含む)
・レジリエンス
(運用の継続、危機管理を含む)
「JIS Q 27002(ISO/IEC 27002)」は、「JIS Q 27001(ISO/IEC 27001)」の「附属書A」の詳細情報にも当たるため、適宜、参照して情報セキュリティの維持・強化にお役立てください。。
「ISO/IEC 27002:2022」発行時に投稿した記事も参考にしてください。
>「ISO/IEC 27002」改正(2022/3/1投稿)
情報セキュリティ10大脅威 2024
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2024年1月24日にIPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威 2024」が公表されました。
これは、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から、IPAが脅威候補を選出し、10大脅威選考会(情報セキュリティ分野の研究者、企業の実務担当者等で構成)が審議・投票を行い決定したものです。
『個人』と『組織』の各視点で10大脅威が選出されていますが、ここでは、『組織』の10大脅威について紹介します。
| 順位 | 脅威 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位(→) |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位(→) |
| 3位 | 内部不正による情報漏えい | 4位(↑) |
| 4位 | 標的型攻撃による機密情報の窃取 | 3位(↓) |
| 5位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6位(↑) |
| 6位 | 不注意による情報漏えい等の被害 | 9位(↑) |
| 7位 | 脆弱性対策情報の公開に伴う悪用増加 | 8位(↑) |
| 8位 | ビジネスメール詐欺による金銭被害 | 7位(↓) |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位(↓) |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 10位(→) |
前年から順位の変動はあったものの、脅威自体は前年と同構成でした。
情報セキュリティ対策の基本の1つに、脅威・手口を知ることが挙げられます。
また、攻撃の糸口を踏まえ、ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し等の対策を徹底することが重要です。
IPAのサイトでは、より詳しい情報が掲載されていますので、ぜひご確認ください。
▼情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html
2024年のテーマは「作る」
皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。
昨年は「仕掛」をテーマに、自然と力を注ぎたくなる「仕掛け」、すぐに「仕掛かる」、時には「仕掛ける」ことを意識して取組んでまいりました。
結果、質を上げる視点を考慮すること、積極的に行動することの効果を実感し、その大切さを認識することができました。
そのような中、さらにそれを確実なものにすることを意識できる言葉はないかと探した結果、1つの言葉を見つけました。
それは、「作る」です。
「作る」という言葉について、
『新明解国語辞典』では次のように書かれています。
「作る」という動詞は、その行為が完了した結果作り出されたものを「…を」によって表わす。従ってその行為の開始から完了までの時点では、現実には存在しないということになる。
2024年は、この「作る」をテーマに、
「…を」の部分にこだわって取組んで参ります。
そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。
2024年もどうぞよろしくお願いいたします。
プライバシーマーク「構築・運用指針」の改定
2023年12月25日に、プライバシーマークの審査で用いられる基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」が改定されました。
2023年9月に改正された「JIS Q 15001(個人情報保護マネジメントシステム-要求事項)」に準拠するよう見直されました。
目次は以下のとおりです。
J.1 組織の状況
J.1.1 組織及びその状況の理解
J.1.2 利害関係者のニーズ及び期待の理解
J.1.3 法令、国が定める指針その他の規範
J.1.4 個人情報保護マネジメントシステムの適用範囲の決定
J.1.5 個人情報保護マネジメントシステム
J.2 リーダーシップ
J.2.1 リーダーシップ及びコミットメント
J.2.2 個人情報保護方針
J.2.3.1 組織の役割、責任及び権限
J.2.3.2 個人情報保護管理者と個人情報保護監査責任者
J.2.4 管理目的及び管理策(一般)
J.3 計画
J.3.1.1 個人情報の特定
J.3.1.2 リスク及び機会に対処する活動
J.3.1.3 個人情報保護リスクアセスメント
J.3.1.4 個人情報保護リスク対応
J.3.2 個人情報保護目的及びそれを達成するための計画策定
J.3.3 計画策定
J.3.4 変更の計画策定
J.4 支援
J.4.1 資源
J.4.2 力量
J.4.3 認識
J.4.4.1 コミュニケーション
J.4.4.2 緊急事態への準備
J.4.5.1 文書化した情報(一般)
J.4.5.2 文書化した情報の管理
J.4.5.3 文書化した情報(記録を除く)の管理
J.4.5.4 内部規程
J.4.5.5 文書化した情報のうち、記録の管理
J.5 運用
J.5.1 運用
J.6 パフォーマンス評価
J.6.1 監視、測定、分析及び評価
J.6.2 内部監査
J.6.3 マネジメントレビュー
J.7 改善
J.7.1 不適合及び是正処置
J.7.2 継続的改善
J.8 取得、利用及び提供に関する原則
J.8.1 利用目的の特定
J.8.2 適正な取得
J.8.3 要配慮個人情報などの取得
J.8.4 個人情報を取得した場合の措置
J.8.5 J.8.4 のうち本人から直接書面によって取得する場合の措置
J.8.6 利用に関する措置
J.8.7 本人に連絡又は接触する場合の措置
J.8.8 個人データの提供に関する措置
J.8.8.1 外国にある第三者への提供の制限
J.8.8.2 第三者提供に係る記録の作成等
J.8.8.3 第三者提供を受ける際の確認等
J.8.8.4 個人関連情報の第三者提供の制限等
J.8.9 匿名加工情報
J.8.10 仮名加工情報
J.9 適正管理
J.9.1 正確性の確保
J.9.2 安全管理措置
J.9.3 従業者の監督
J.9.4 委託先の監督
J.10 個人情報に関する本人の権利
J.10.1 個人情報に関する権利
J.10.2 開示等の請求等に応じる手続
J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など
J.10.4 保有個人データの利用目的の通知
J.10.5 保有個人データ又は第三者提供記録の開示
J.10.6 保有個人データの訂正、追加又は削除
J.10.7 保有個人データの利用又は提供の拒否
J.11 苦情及び相談への対応
J.11.1 苦情及び相談への対応
プライバシーマーク審査においては、2024年10月1日以降の申請から適用となります。対応のうえ申請が必要となるため、申請を控えている組織においては、速やかな対応が必要となりますのでご注意ください。
構築・運用指針及び申請の詳細は、以下をご確認ください。
▼JIPDEC「構築・運用指針の改定について」
https://privacymark.jp/news/2023/system/1225.html
「JIS Q 15001:2023」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年9月20日に「JIS Q 15001:2023」が発行されました。
(個人情報保護マネジメントシステム-要求事項)
この規格は、プライバシーマーク(Pマーク)付与適格性審査において、適合性の判断に用いられるものであり、「JIS Q 15001:2017」の改正版に当たります。
今回の主な改正趣旨は以下のとおりです。
(1) 改正個人情報保護法への整合
(2) 適用範囲の考え方の見直し
(3) マネジメントシステムに関する規定の統合
(1)は、令和2年及び令和3年改正法への整合対応です。具体的には、「附属書A(規定)」に仮名加工個人情報や個人関連情報が追加され、保有個人データの規律変更等が反映されました。
(2)は、事業者単位から事業者の一部や複数の事業者を対象とした規格となるよう見直されました。なお、事業者の一部とは、医療機関における病院やカンパニー制を敷いている会社等が該当します。
(3)は、マネジメントシステムに関する事項を規格本文(箇条4~10)に、個人情報保護法に対応する事項を附属書A(規定)に規定するよう構成が見直されました。旧規格では、マネジメントシステムに関する事項が規格本文と附属書Aの両方に規定されていたため、今回の改正により棲み分けが明確になり、わかりやすくなりました。
また、附属書の構成は、以下のとおり見直されました。
・附属書A:個人情報保護に関する管理策(規定)
・附属書B:マネジメントシステムに関する補足(参考)
・附属書C:附属書Aの管理策に関する補足(参考)
・附属書D:安全管理措置に関する管理目的及び管理策(参考)
・附属書E:JIS Q 15001:2023とJIS Q 15001:2017との対応(参考)
旧規格の「附属書B」が新規格の「附属書B」「附属書C」に分けられました。その影響で旧規格の「附属書C」は、新規格では「附属書D」に相当します。
「附属書D」は「JIS Q 27002:2014」がベースとなっていますが、もとになっている「ISO/IEC 27002」は2022年2月に改正されており、14分野114項目の管理策が4分野93項目に大幅に整理されています。今後、この内容を反映した「JIS Q 27002」改正版が発行されると、「附属書D」の内容が古くなるため、「JIS Q 15001」の改正が検討されるものと考えられます。また、個人情報保護法も3年毎に見直すことが定められているため、法改正に伴い、「JIS Q 15001」のアップデートが必要となると考えられます。
なお、プライバシーマーク制度では「JIS Q 15001」をもとに「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を定め、審査基準として用いられています。
今回の規格改正に伴い、この「構築・運用指針」も改定される予定です。プライバシーマーク取得事業者としては、「構築・運用指針」の改定後に改正対応を行うのが手戻りがなくて良さそうです。
ISOマネジメントシステム認証数(2022)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
ISO(国際標準化機構)から「ISO Survey 2022」が公表されましたので、ご紹介します。
これは、ISOが毎年、前年末時点のISOマネジメントシステム認証数を調査・報告しているもので、今回は2022年12月31日時点のものとなります。なお、調査に参加した認証機関は各回で変動があります。
以下、主な調査結果です。
(1) ISO 9001:2015(QMS/品質)
・認証数:1,265,216(前年 1,077,884、前々年 916,842)
・前年対比:117%(前回 118%)
(2) ISO 14001:2015(EMS/環境)
・認証数:529,853(前年 420,433 、前々年 348,218)
・前年対比:126%(前回 121%)
(3) ISO/IEC 27001:2013(ISMS/情報セキュリティ)
・認証数:71,549(前年 58,687、前々年 44,486)
・前年対比:122%(前回 132%)
(4) ISO/IEC 20000-1:2018(ITSMS/ITサービス)
・認証数:27,009(前年 11,769、前々年 7,846)
・前年対比:229%(前回 150%)
(5) ISO 22301:2019(BCMS/事業継続)
・認証数:3,200(前年 2,559、前々年 2,205)
・前年対比:125%(前回 116%)
(6) ISO 22000:2018(FSMS/食品安全)
・認証数:45,459(前年 36,124、前々年 33,735)
・前年対比:126%(前回 107%)
(7) ISO 39001:2012(RTSMS/道路交通安全)
・認証数:1,550、(前年 1,285、前々年 936)
・前年対比:121%(前回 137%)
(8) ISO 45001:2018(OHSMS/労働安全衛生)
・認証数:397,339(前年 294,420、前々年 190,429)
・前年対比:135%(前回 155%)
各規格とも認証数は前年対比で増えています。
「ISO/IEC 20000-1」が前年対比200%超となっているのは、中国の認証数増が影響しているようです。
(前年 9,247、当年 24,152、前年対比14,905増)
いずれの規格もマネジメントのツールとして役立つ仕組みですので、より多くの組織に取り入れられればと考える次第です。
詳しくは、以下のサイトから元資料をご確認ください。
▼ISO:The ISO Survey
https://www.iso.org/the-iso-survey.html
「JIS Q 27001:2023」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年9月20日に「JIS Q 27001:2023」が発行されました。
(情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項)
この規格は、2022年10月25日に発行された「ISO/IEC 27001:2022」に対応する日本産業規格です(技術的内容及び構成を変更することなく作成されたもの)。
情報セキュリティマネジメントシステム(ISMS)の認証基準であり、「JIS Q 27001:2014(ISO/IEC 27001:2013)」の改正版に当たります。
変更のポイントは以下のとおりです。
(1) 「附属書A」(情報セキュリティ管理策)の更新
(2) 「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」
の附属書SLへの準拠
(1)は、元となる「ISO/IEC 27002」が改正(2022年2月)されたことに伴う同期対応です。これにより、14分野114項目の管理策が、4分野93項目(新規11項目を含む)に整理されました。
・5 組織的管理策 (37項目、うち新規3項目)
・6 人的管理策 (8項目、新規項目なし)
・7 物理的管理策 (14項目、うち新規1項目)
・8 技術的管理策 (34項目、うち新規7項目)
(2)は、規格本編について細かい部分が変更されました。
・「6.3 変更の計画策定」の追加
・「10 改善」の細分箇条の順序変更
(10.1 継続的改善、10.2 不適合及び是正処置)
・その他(微修正)
附属書Aの分野・項目が整理されて分かりやすくなったこと、時代の流れに合わせて新規に管理策が追加されたことから、改正版に対応することで管理の効率・効果の向上が見込めます。
なお、認証審査については、2025年10月31日までに新規格への移行が必要となります。
個人情報の取扱いにおける事故報告集計結果(2022年度)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
JIPDEC(一般財団法人日本情報経済社会推進協会)より、「2022年度 個人情報の取扱いにおける事故報告集計結果」が7月24日に公表(8月2日に更新)されました。
この資料は、毎年、JIPDECがプライバシーマーク付与事業者からの事故報告を集計し公表しているものです。これまでは、傾向と注意点がまとめられていましたが、今回は集計結果の報告に特化した形となりました。また、集計項目も見直されています。
以下、報告件数です。
・2022年度:1,460付与事業者から7,009件の報告
(2021年度:1,045付与事業者から3,048件の報告)
以下、発生事象別の内訳です。
| 発生事象 | 割合 |
|---|---|
| 漏えい | 76.1% |
| 紛失 | 9.7% |
| 滅失・き損 | 2.1% |
| 改ざん、正確性の未確保 | 1.2% |
| 不正・不適正取得 | 0.3% |
| 目的外利用・提供 | 1.3% |
| 不正利用 | 0.6% |
| 開示等の求め等の拒否 | 0.0% |
| 上記事象のおそれ | 8.6% |
以下、事象分類別の内訳です。
| 事象分類 | 割合 |
|---|---|
| 誤配達・誤交付 | 43.0% |
| 誤送信 | 24.7% |
| 紛失・滅失・き損 | 11.2% |
| 不正アクセス | 6.2% |
| 誤表示 | 5.8% |
| 誤登録 | 4.7% |
| マルウェア・ウイルス | 1.8% |
| 誤廃棄 | 1.6% |
| 盗難 | 0.5% |
| 内部不正行為 | 0.5% |
以下、原因別の内訳です。
| 原因 | 割合 |
|---|---|
| 手順・ルール違反の作業・操作 | 29.0% |
| 作業・操作ミス | 25.3% |
| 確認不足 | 20.5% |
| 従業員教育不十分 | 9.7% |
| リスク特定・分析・評価不十分 | 2.4% |
| 簡易なパスワード設定 | 0.3% |
| アクセス制御不備 | 0.4% |
| プログラム設計、設定の不備 | 1.3% |
| バージョン・パッチ適用の不備 | 0.2% |
| SQL対策の不備 | 0.1% |
| クロスサイトスクリプティング対策の不備 | 0.0% |
| パスワードの平文保持 | 0.1% |
| 原因分類その他 | 10.9% |
※1つの発生事象に対して複数の原因がカウントされています。
以下、媒体別の内訳です。
| 媒体 | 割合 |
|---|---|
| 紙 | 49.4% |
| 電子データ | 37.8% |
| その他 | 12.9% |
▼「2022年度 個人情報の取扱いにおける事故報告集計結果」(JIPDEC)
https://privacymark.jp/system/reference/pdf/2022JikoHoukoku_230802.pdf
(PDFファイル)