電子メールのオプトイン規制開始

特定電子メール法の平成２０年改正により、日本も、いよいよ電子メールについては、オプトイン方式導入ですね。
改正の概要は、以下のとおりです。
http://www.soumu.go.jp/joho_tsusin/d_syohi/h20kaisei.html
～～～～～以下、転載～～～～～
１　オプトイン方式による規制の導入

　　（１）　広告宣伝メールの規制に関し、取引関係にある者への送信など一定の場合を除き、あらかじめ送信に同意した者に対してのみ送信を認める方式（いわゆる「オプトイン方式」）を導入する。
　　（２）　あらかじめ送信に同意した者等から広告宣伝メールの受信拒否の通知を受けたときは以後の送信をしてはならないこととする。
　　（３）　広告宣伝メールを送信するに当たり、送信者の氏名・名称や受信拒否の連絡先となる電子メールアドレス・ＵＲＬ等を表示することとする。
　　（４）　同意を証する記録の保存に関する規定を設ける。

２　法の実効性の強化

　　（１）　送信者情報を偽った電子メールの送信に対し電気通信事業者が電子メール通信の役務の提供を拒否できることとする。
　　（２）　電子メールアドレス等の契約者情報を保有する者（プロバイダ等）に対し情報提供を求めることができることとする。
　　（３）　報告徴収及び立入検査の対象に送信委託者を含め、不適正な送信に責任がある送信委託者に対し、必要な措置を命ずることができることとする。
　　（４）　法人に対する罰金額を１００万円以下から３０００万円以下に引き上げるなど罰則を強化する。

３　その他

　　（１）　迷惑メール対策を行う外国執行当局に対し、その職務に必要な情報の提供を行うことをできることとする。
　　（２）　海外発国内着の電子メールが法の規律の対象となることを明確化する。
～～～～～転載ここまで～～～～～

これに伴い、「特定電子メールの送信等に関するガイドライン」が総務省から公表され、オプトイン規制の内容が具体的に定められました。

http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html

これに準じるように、2008年12月1日からオプトイン規制が施行されますので、ガイドラインの内容をまとめてみました。

当初、気になっていたのは、以下のようなことです。

＞　１．（２）　あらかじめ送信に同意した者等から広告宣伝メールの受信拒否の通知を受けたときは以後の送信をしてはならないこととする。

については、海外の CAN-SPAM 法などのように、送信停止までの日数に期限が定められるかを確認する必要があります。

＞ １．（４）　同意を証する記録の保存に関する規定を設ける。

については、具体的な要件を確認しないといけませんね。

あと、これらを実施するには、個人情報削除とは相反する場合があるため、それについてガイドラインで明確にしてもらえるといいなぁと思っていました。

ということで、公表されたガイドラインをまとめてみると以下のような内容でした。

～～～～～～～～～～　ここから　～～～～～～～～～～
オプトイン規制の対象は特定電子メール。
特定電子メールの定義は、ガイドラインの記載を参照。

●オプトインの同意取得方法

オプトイン取得時について以下の事項を特定する必要あり。
1) 送信者の氏名・名称
2) 広告・宣伝メールの送信をすること

2)について、オプトインは送信の可否のみ同意取得するだけで可。コンテンツについての特定は必須ではない。（逆にオプトアウト時にコンテンツ個別や一定期間のオプトアウトを受信者が希望した場合には送信を停止しなければならないが、条件以外のコンテンツなどの送信の義務は負わない。＝一括オプトアウト処理しても可）

同意取得方式としてデフォルト・オフを推奨はするが、デフォルト・オンでも可。
ただし、デフォルト・オンの場合は、チェックのはずし方と、はずさないときに同意とみなす旨の記載を推奨。

同意取得・確認のために送信する電子メールも特定電子メールに該当する点に注意。
すなわち、電子メールアドレスの取得時に、オプトインを同意取得しておかないと、後から電子メールによるオプトインはできない。

なりすまし登録やアドレス記入ミスによる誤登録を防ぐため、ダブル・オプトインを推奨するが必須ではない。しかし同様に、ダブル・オプトイン用の最初のメールに広告があると、それ自身が特定電子メールとなるので注意が必要。

１つのメールアドレスを複数の者が使用している場合には、いずれかひとりが同意すればオプトインとみなすことが可能。（オプトアウト時についてガイドラインに記載はないが、逆にオプトアウトも同様と考えられる。）

第３者を通じての同意取得の際には、実際の送信者が特定されるようにする必要あり。
（たとえば共催イベントなどで主催者がまとめて同意取得するなどの）複数の送信者分をまとめて同意取得する場合には、各送信者が特定されるように表示する必要あり。
なお、複数の送信者分を一括してオプトイン同意取得した場合のオプトアウトは、一括取得した者が一括オプトアウト処理できることを推奨しているが、必須としてはいない。

●同意取得を証する記録の保存

同意を証明する記録は１ヶ月間の保存を義務付け。
（ただし、措置命令を受けた者は、命令日から１年間）
保存内容は以下のいずれか。
・同意取得の時期・方法等の状況の記録
・送信先アドレスを特定した上であれば、書面、電子メール、ウェブによる同意取得の定型的内容
受信者との同意取得有無のトラブルに備えて、上記以外の記録も説明のために保持しておくことを推奨。

●規制の例外

名刺交換や取引関係などは「電子メールアドレスの通知」として扱い、それで知ったアドレスへの送信はオプトイン規制の例外（＝オプトイン不要）となる。
詳細はガイドラインを参照する必要あり。
たとえば、契約申込書に記入したアドレスやフリーメールを申し込んだ場合に、広告が付随的に行われることもオプトイン規制の例外となるなど←「付随的に」がポイントなのでガイドラインを参照するとよい。
また、ウェブでメールアドレスを公表している場合も例外が適用される。ただし、アドレスの公表箇所に「受信拒否」の意思表示をしている場合は、例外に該当しない（＝オプトイン必要）。そのため、ロボットでアドレスだけ単純に集めて使うのはＮＧ。

なお、オプトイン規制の例外による場合も、受信者はオプトアウトはできる。
オプトアウトされた以後は、オプトアウトした者には広告を付随してはならないことになるが、「社会的に相当なものとして認容される場合」は、オプトアウトの例外として、本来目的に支障がないように送信をできる。「～場合」については、具体的な場合を施行規則及びガイドラインに明記されているので参照のこと。

●送信メールの表示義務

実際の送信メールでは以下の事項を表示する必要あり。
a) 送信責任者の氏名・名称
b) オプトアウト手順（連絡先メールアドレスやウェブページのURLなど）
c) オプトアウトができることの説明
d) 送信責任者の住所
e) 問い合わせ先（電話番号、メールアドレスなど何らか）

a～cについては、メール本文内。dとeについては、リンク先を示すのでも可。
リンク先はすぐに内容がわかる程度のURLである必要あり。（トップページだけ示して、該当ページを探すのが困難ではダメ）

※注意：ここでとりまとめた上記以外にも、社名変更や合併時の事項などもガイドラインにあるので、具体的にはガイドラインを参照する必要があります。
～～～～～～～～～～　ここまで　～～～～～～～～～～

当初、確認しようとしていた点については：

・オプトアウト時の送信停止までの期間についてはふれられていませんでした。
・オプトインの証拠保存は、内容がいまいち具体的に示されてはいませんが、１ヶ月間保存とのこと。
・個人情報削除との関係もふれられていませんでした。

という結果でしたが、自然な処理をしていればよさそうなかんじのガイドラインになっています。
・・・ただ、その結果、無料サービスに対しては結構甘いかんじになってます。

あと、電子メールに「住所の記載」も徹底しないといけませんね。
これは、今年の法改正以前からそのようになっていたようです・・・ね。

唯一、欧米のオプトインと比べると厳しいかもしれないのは、オプトイン取得のためだけの最初の電子メールコンタクトをＮＧにしている点ですね。
電子メール取得時に、オプトインを得ないと、電子メールが使えない点には注意が必要そうです。

個人情報保護の解説音源

Y's Station（わいズすてぇしょん）に、個人情報保護の解説音源をアップしました。

鳥取県人権施策セミナー で講演した内容をアップしました。

・すぐに始められる個人情報保護

個人情報の利用目的通知とデータ管理方法

１週間前に掲載されていたのに、こちらでの紹介は今頃になってしまいました・・・

ThinkIT の連載の最終回は、利用目的の通知とデータ管理としてまとめました。

記事は以下に掲載しています。

第６回：利用目的の通知とデータ管理

個人情報保護法の肝とも言えるのは、取得時における利用目的の通知です。
その方法について紹介しました。
また、通知した利用目的の範囲で利用するためには、個人情報のデータ管理と組み合わせておかなければなりません。
そのため、利用目的の通知とデータ管理は両方を見据えながら検討する必要があります。
オプトインを取るよりも取らない方が、取得時の工数も減り、その後の利用範囲が広いように思われ、オプトインは取らないに越したことことはない。と考えがちです。
しかし、必ずしもそうとは限らないことについて紹介しましたので、参考にしてください。

連載記事のバックナンバーは以下のとおりです。

第１回：データが語る個人情報保護法の実態
第２回：企業における対応方針と成功の秘訣
第３回：個人情報の分別
第４回：社内ガイドラインの作成
第５回：コストをかけずにできるセキュリティ対策

法律から始めない個人情報保護対策

企業における個人情報保護対策は、個人情報保護法の施行がきっかけになったところが多いと思います。
きっかけは、法律だったとしても、対策の検討を、法律から考えるのはナンセンスです。

というようなことを、とりあえず、いつも話しているわけですが、このたび「企業における個人情報保護対策の実際」ということで文章にしてみました。

普段ぼくと接していただいている方にとって、真新しい内容ではありませんが参考にしてください。

「企業における個人情報保護対策の実際」というテーマで、科学技術振興機構が発行及びＷｅｂ掲載している「情報管理」という媒体の2006年8月号 (VOL.49 NO.5) に寄稿しました。

コストをかけないモバイルＰＣセキュリティ対策

ThinkIT の連載の第５回は、コストをかけないモバイルＰＣセキュリティ対策としてまとめました。

記事は以下に掲載しています。

第５回：コストをかけずにできるセキュリティ対策

ＰＣのセキュリティ対策は、お金をかけなくてもできることが結構あります。
セキュリティ屋からセキュリティ対策を教わると、そういうことが逆におろそかになり、金のかかることばかりを勧められたりするので注意しましょう。

上記の記事では、ＴＰＭについては、簡単にしか触れていませんが、ＴＰＭもコストをかけずにできる強力なセキュリティ機能です。
そちらについては、以下のブログで紹介しているので、ご興味ある方は参照してください。

• TPMガイドライン
  
  

連載記事のバックナンバーは以下のとおりです。

第１回：データが語る個人情報保護法の実態
第２回：企業における対応方針と成功の秘訣
第３回：個人情報の分別
第４回：社内ガイドラインの作成

常識として知っておきたい個人情報保護法（３）

ThinkIT の連載の第３回です。

第３回：個人情報の分別

バックナンバー

第１回：データが語る個人情報保護法の実態

第２回：企業における対応方針と成功の秘訣

常識として知っておきたい個人情報保護法（２）

ThinkIT の連載の第２回です。

第２回：企業における対応方針と成功の秘訣

バックナンバー

第１回：データが語る個人情報保護法の実態

常識として知っておきたい個人情報保護法（１）

ThinkIT で連載を始めました。

今さら、また個人情報保護法ですか・・・と思われるかもしれませんね。
さらに・・・
「常識として知っておきたい個人情報保護法」という高飛車なタイトルですが、
これは編集の方が付けてくれたもので、ぼくは、こういう高飛車なもの言いはしません。

もっと性質は悪くて、高所からものを言うというよりも、一刀両断させていただこうと思います。

そんなことで、第１回目が掲載されました。

第１回目は「データが語る個人情報保護法の実態」です。

ちゃんと登録していただくと、「個人情報保護バブルの功罪」として
「餌食になったコンプライアンス」「無責任の連鎖」
といったシュールなところを読んでいただけます。

これから毎週月曜掲載でがんばります。。。ハァ

RSA Conference での採点集計

この記事は、RSA Conference 2006 での講演にて、採点表を提出していただいた皆様への連絡のためのものです。

RSA Conference にて採点表を提出していただいた皆様へ、

集計が完了いたしましたので、集計ファイルについては、講演にてご紹介した手順でダウンロードしていただければと存じます。

ご意見、ご質問があれば、この記事へのコメントにて記入してください。
お名前や連絡先は、匿名で構いません。（差し支えがなければ、採点表に記入していただいた UserID をご記入ください）

以下は、集計ファイルからの抜粋です。

●従業員数別平均

従業員数の多い企業の方が概ね高得点になっている様子。
サンプル数が少ないものの、100人未満の企業が高得点を示しているが、今回の採点項目は遵守する人数が少ない方が徹底しやすいこと及びRSAコンファレンス受講等により意識の高い企業であることによって、高得点になっているという仮説を考えることができる。
1000人～9999人に得点の低下のように見える部分がある。これもサンプル数が少ないため、はっきりしないが、1000人未満では全社員への徹底がある程度容易なのに対し、1000人を超えると困難となるためかもしれない。それが10000人以上になると、大規模企業であるために、対策に相当の手間をかけられるため得点があがるという仮説を考えることができる。
どちらも、より多いサンプル数で検証してみたい仮説ではある。

●役割別平均

個人情報保護の担当者と、そうではない社員の認識度の違いを見ようとしたが、特段の傾向を見ることはでいなかった。
機会があれば、こちらについても、より多いサンプル数で検証してみたい。

●総評

今回は、サンプル数が少なかったため、あえて業種を調査しなかったが、業態について調査しておいても興味深い集計ができたかもしれない。

ビジネスの“攻め”に活かす「個人情報保護法対策」

鈴木正朝先生と対談をしました。

当社の e-mail マガジンである HP Technology at Work の特集で対談内容を紹介しています。

対談では鈴木節(rompalぶし)を、久しぶりに聞くことができて楽しかったです。

ビジネスの“攻め”に活かす「個人情報保護法対策」

でご堪能ください。

アメリカのDNC(Do Not Call)

以前、「オーストラリアのDNC(Do Not Call)」という法規制を紹介した。
アメリカでも、もちろんそれと同様のことが自主規制として行なわれている。

意外にも、そのことを知らない人が多いようなので簡単に紹介しておこうと思う。

アメリカでは、もともと、Direct Marketing Association （ダイレクト・マーケティング協会)による

　State Do-Not-Call Lists

が運用されていたが、2003年から FTC(Federal Trade Commission) による

　National Do Not Call List

の運用が始まり、より充実している。

企業からすると、州ごとに運用されると、データのチェックが大変なので、国全体で集約してくれることが、効率的に対策を実施できることになる。

日本では、個人情報保護の矛先が、漏洩防止にばかりいってしまったので、こういう対策が調べられることすら少ないのは残念なことだと思う。
これらのことについては、RSA Conference 2006 にて、個人情報保護対策第二幕として紹介していこうと思う。

個人情報保護対策が裏目

たまたま見かけたブログで紹介されていましたが、商品のリコールが発生したときに、個人情報保護対策が裏目に出てしまうことがあるのですね。

「零細企業のなんでも屋ＯＬのつぶやき」というブログにて
「個人情報の保有期間ってむずかし～」という記事がありました。

その中で、「顧客名簿処分が裏目に出た松下電器温風機リコール事件」を紹介しています。

個人情報の漏洩防止を偏重してしまい、そもそも、その情報をなぜ保有しているのかを確認することの重要性を再認識させられる内容です。
個人情報を必要以上に破棄したり、最初に通知する利用目的を必要以上に狭くするのはよくないだろうという認識はしていましたが、リコール時の連絡にまで気を配ることができていたかといえば確かではありません。
この場合において、リコールが起きることまでを予期することは困難だったかもしれませんが、これを知ってしまった以上は、これを教訓にして、商品のお客様登録情報についての利用目的を果たせるようにする必要があります。
知ったからには、「予期できなかった」はもう許されないと思って、取り組まなければなりませんね。

あ！ぼくだけではないですよ。これを読んでしまった、”あなた”もそうなります。
北斗の拳が実写版映画になるようですが、、、「おまえはもう知ってしまった・・・」というところでしょうか。（笑）

あ・た・た・たた～

自分と関係なさそうな事件や事故の教訓から、自分も学ばないといけません。ということで、「バカな行政、バカな報道、バカな国民では再発は防げない」の教訓として、この件も付け加えておこうと思います。

ひ・で・ぶ・・・

JIS Q 15001 改定のパブコメ募集

プライバシーマークとして知られている JIS Q 15001 の改定のパブコメが募集されていますね。
今回の改定の主題は、もちろん、個人情報保護法対応ということになります。

JIS Q 15001 の改定に関する意見募集要領
より抜粋して転載。

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）の改定に関する意見募集要領

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）につきまして、個人情報保護法施行等に伴う改定を検討しております。現在の試案について御意見の募集をいたしますので、以下の要領に従いご提出ください。

１．意見募集対象

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）の改定試案（PDF形式：76KB）
＊現行の規定（JIS Q 15001：1999）については、日本工業標準調査会のページ
（http://www.jisc.go.jp/）にてご参照ください。
　
２．意見募集期間

平成１７年１２月１３日（火）から平成１８年１月１０日（火）まで

今年のお正月は、こたつでみかんを食べながら、パブコメを書きましょう。ということですね・・・

社内個人情報保護ガイドラインを無償公開

日本ＨＰの社内で使用している個人情報保護ガイドラインを無償配布させていただくことにしました。

以前、以下のような調査をさせていただきました。

【IT media】
中堅・中小企業で対策の苦慮目立つ――日本HPの個人情報保護法対策進展調査

その結果、中堅・中小企業では、個人情報保護の社内ガイドラインの具体例があると役立つのかなぁ・・・とおもっていたところ、、

政府が、政府の内部基準を公開してくれたのだから・・・
それに感謝して、企業は、企業の社内ガイドラインを公開して世の中の役に立てられたらいいよね。

ということで無償配布させていただくことにしました。

無償配布については、以下を参照ください。

日本ＨＰのプレスリリース

関連記事：

【日本経済新聞】 2005年12月13日(火)朝刊
個人情報保護ガイドライン - 日本ＨＰ、無償で公開

【IT media】 2005年12月13日(火)
「たたき台」としての活用を――日本HPが個人情報保護ガイドラインを無償提供

【Enterprise Watch】 2005年12月13日(火)
日本HP、自社の個人情報保護ガイドラインを無償提供、「策定のたたき台に」

【電波新聞】 2005年12月14日（水）
日本ＨＰ　個人情報保護ガイドラインを無償で提供開始 - 具体的な対策事例示す

【Web BCN】 2005年12月14日(水)
日本HP、社内で実際に使用している「個人情報保護ガイドライン」を無償配布

個人情報保護法対策の進展調査

個人情報保護法対策の進展調査というのを実施させていただき、調査結果について公表させていただきました。

大企業での状況と、中小・中堅企業との差を意識して調査をしてみました。

調査報告については、以下のWebを参照してください。

日本ＨＰのプレスリリース：
日本HP「個人情報保護法対策の進展調査」を実施

調査内容としては、今まで気づかなかったようなことを発見するようなものではなく、これまでなんとなくはわかっていても、実際のところはどうなんだろうかという素朴な疑問を投げかけたような調査です。
調査結果をまとめてありますが、所見などというものも書かせていただきましたので、上記のリンクからご参照ください。

うちでできる調査は、さすがに民間のことでしたが、行政機関については、総務省が実施するようですね。

まるちゃんの情報セキュリティ気まぐれ日記

そちらの調査が終わったら結果を見比べてみたりできるとおもしろいかもしれません。

オーストラリアのDNC(Do Not Call)

オーストラリアでは、日本でいうところの個人情報保護施策のひとつとして、DNC register というのが始まりますね。

夜中のワン切り電話とかが野放しの日本からすると、とても現実的な制度です。

オーストラリア政府の
DCITA (Department of Communications, Information Technology and the Arts)
の発表によると、DNC register という規制の検討を開始しています。

Australian Do Not Call register

内容としては、テレマーケティング（電話によるセールス活動）に関しての規制になります。
オーストラリアは、もともと、テレマーケティングには神経質な国です。

特徴としては、
・電話が欲しくない（＝DNC:Do Not Call）という申し出を受理してテレマーケティングをしないこと。
・平日の午後８時以後、休日の午後５時以後の電話禁止
・国内はもとより、海外からの電話にも適用
・違反の罰金は最高でAUD$220,000-

検討中の事項としては、
・本人以外のDNC登録を認めた場合の課題
・登録から３０日以内に、DNC を徹底することの課題
・登録期間を永久にした場合の課題（転居した場合の前居住者の登録残など）
・市場調査や満足度調査などもDNCの対象にした場合の課題
・直接面識のある担当者からの電話連絡が対象となる場合の課題
などがあるようです。

こういうのは、どこぞの国の個人情報保護法での議論よりも、何やら建設的な議論のようにも思いますね。

個人情報保護法の英訳

個人情報保護法とその政令の英語の仮訳が、内閣府の以下のページに出ました。

http://www5.cao.go.jp/seikatsu/kojin/index.html

2005 Most Trusted Companies for Privacy Study

TRUST-e が 2005 年の
Most Trusted Companies for Privacy Study
を発表しました。

結果はともあれ、その評価方法は大いに参考にすることができそうです。

詳細については、
TRUSTe/ Ponemon Institute Most Trusted Company for Privacy Survey & Award
として公表されていますので、そちらを参照してください。

日本にも同様の活動があると、個人情報保護対策の励みになるのかもしれませんね。

経済産業省個人情報保護ガイドラインＱ＆Ａ

経済産業省の個人情報保護のページが見やすくなってました。
いつからだろ。気づかなかった。

経済産業省の個人情報保護のページ

いくつかおもしろいものが載ってるので紹介しときます。

たとえば、

●個人情報保護における効果的・効率的な取組事例の募集（平成17年9月30日まで）

とか

●啓発ビデオのストリーミング放送

など。
それに、

●個人情報保護ガイドライン等に関するQ＆Ａ　（平成１７年 ７月２８日現在 ）

ということでＱ＆Ａが改訂されてました。

まるちゃんは気づいてたのかな・・・と思ったら、昨日のうちに、ちゃんと気づいてました。さすがｗ

一応、ぼくもこの検討委員会の委員ですので、ひとつくらいポイントを書いておきます。

22番（１．（１０）「本人の同意」（ガイドライン１１頁～））
Ｑ：
当初はダイレクトメールを送付する目的で個人情報を利用することになっていなかったため、本人に郵便を送付し、一定期間回答がなければ、ダイレクトメールを送付する目的で利用することに同意したものとみなすようにしたいのですが、このような方法は本人同意を得たことになりますか。
Ａ：
本人が同意にかかる判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりませんので、単に一定期間回答がなかっただけでは、一般的には本人の同意を得たとすることはできません。

この部分はさりげないですが、本人同意について、いわゆる「みなし同意」を認めないといっています。
Ｑの文章は、法第１６条第１項のことをさしていますが、Ｑ＆Ａにおいて、ガイドラインの１１頁を示したということは、法第２３条第１項の本人同意についても同様と解釈することになります。

みなし同意方式を採用している事業者は、見直しが必要となるので注意しなければなりません。

その他にも今回のＱ＆Ａ改訂では、注意しなければならないことが多くあります。
そのうちまた紹介することにします。

機密保持の誓約書強要

これは奥の深いテーマなので、後で考察しようということで、とりあえずメモ。

東京新聞５月１９日夕刊
機密保持の誓約書強要

というか、この件で、日弁連の個人情報保護法研修会のパネリストをすることになっているので、後でちゃんと整理しないといけませんよ＞自分。

情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略

ヒューレット・パッカードの自社事例として、「情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略」と題して当社のプライベートイベントである HP World 2005 にて講演をすることになっています。

http://www.hpworld.jp/2005/

情報管理戦略の中でも、個人情報のＩＬＭについてを中心に紹介します。
今週号の AERA にて少しふれられていますが、ある条件下では、社内の誰も顧客の個人情報にアクセスしなくてもビジネスを遂行することができます。アクセスしなければ漏えいすることはありません。

AERA 2005年5月16日号

ただ、ここで紹介する内容は、ＨＰにとっては、１９９６年に計画し２００１年に完成する予定だったＩＴ戦略です。
その後、Agilent Technologies との分社や Compaq との合併などにより、当初計画から２年遅れて２００３年に一部運用を開始したものです。
１９９６年当時は、この計画のセキュリティアーキテクトとして参加し、その後分社や合併で進捗がなかったため半ば忘れていたものでしたが、いまとなっては、その運用の責任者になるとは思っていませんでした。
今回の講演のために、９６年当時に自分で作成した資料などを復習したりしています。
これらのことは国内社外でも講演しているものですので、不思議なかんじです。
約９年前に設計したアーキテクチャを、最新の対策として紹介するわけですから・・・

実際に９０年代後半には、国内日本企業にコンサルティングも実施しており、当社の当初線表どおりに２００１年に実現した日本企業もあります。
しかし、ＩＴ戦略というものは、外見からは実は見えにくいものです。
この講演内容を聞いて、どれだけの人が、このＩＴ戦略に基づいたＩＴを実装している日本企業を言い当てることができるのかが実は楽しみです。
そして、そのことがＩＴアーキテクトの重要性に気づき、関心を持ってもらえるようになればいいなと思っています。

日本のＩＴ構築の多くは、欧米企業の「外見」だけをまねているように思えて、嘆かわしいからです。
ＩＴはビジネスを向上するための方策であって、目的ではないということが当たり前のことですが、とても重要なことなのです。

経済産業省 個人情報保護法ガイドラインQ&A検討会

経済産業省 個人情報保護法ガイドラインのQ&A
http://www.meti.go.jp/policy/it_policy/privacy/privacy_qa.pdf
がありますが、このQ&Aを強化するための検討会が発足しました。

委員としてお声がけをいただいたので、会合に参加しました。

詳細はこちら：
http://yoshihiro.cocolog-nifty.com/security/2005/04/post_de29.html

公益通報者保護法

公益通報者保護法の施行が決まりましたね。

・・・トラックバックという機能を使ってみたかったので、あえて、まるちゃん日記を引用してみました。法条文などはそちらからアクセスしてください。
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/04/post_4.html

公益通報者保護法とは、いわゆる内部告発者を保護する法律です。

公益通報者保護が議論された頃に、とても気になったものですが、国会が別の議題であふれたりして、ずっと先送りになってしまい、個人的には残念でした。
なんで興味を示したかを書いておきます。

個人情報保護であれば、個人情報保護法に照らせば、軽微な事故は多くの企業で発生していることが推定されます。
たとえば、「名刺がみあたらない」＝「個人情報の紛失」ということなわけです。
これらのことについて、会社としては、「軽微なので相手に知らせないし公表もしない」と決めても、関係者の誰かが、「会社はそう決めたけれど、公表すべきではないか」と思えば、そのアクションを起こしやすくなります。
これは正社員に限らず、委託先や派遣、アルバイトなど広範に、その事実を知っているすべての関係者に言えることです。

企業としては、公益通報者保護法が施行された場合には、企業内の事故を隠蔽することは非常に高いリスクを負うことになるのでしょう。
いくら社員に退社後の機密保持契約を締結しても、条件を満たせば、公益通報者保護法が優先することになるわけですから、いままでのように、「会社の決定」を強いることはできなくなります。

事故発生の事後対応についての企業での整備は、この法律の施行日までに完了しなければならなくなると予想しています。

新憲法での個人情報保護

自民党の新憲法起草委員会がまとめた要綱では、以下の新しい権利を盛り込むとのこと。

・知る権利
・個人情報を守る権利
・犯罪被害者の権利
・環境権
・知的財産権
・司法への国民参加

「個人情報を守る権利」では、「個人情報」の定義をどうするのであろうか。
「個人情報保護法」と同じ定義では、失策を繰り返すように思う。

「プライバシーを守る」と「個人情報を守る」との違いがちゃんと整理されることを祈ります・・・

JEITA 個人情報保護対策アセスメント

JEITA(電子情報技術産業協会)の
企業向け 個人情報保護対策・実践アセスメントガイド

http://it.jeita.or.jp/infosys/committee/SOL/050323assessment_guide/

企業タイプを
　(1) タイプA：個人情報取得保有企業向け
　(2) タイプB：個人情報預託請負企業向け
　(3) タイプC：個人情報一時取り扱い企業向け
に分けて、タイプＣのセルフアセスメントガイドだけを公開し、ＡとＢでビジネスをするという手法はなかなかおもしろい。

施行まであと3日、個人情報保護法の直前対策

ご紹介いただいた記事です。

http://enterprise.watch.impress.co.jp/cda/topic/2005/03/29/4936.html