最近、メールに暗号化Zipファイルの添付(で次のメールでパスワード送信)すること、俗にいうPPAPがやり玉に挙がっています。
toyokeizai.net
笑いごとじゃない!「PPAP」直ちに禁止すべき訳
セキュリティ面で懸念大、長年の慣習が崩れる
PPAPは添付ファイルの中身を盗み見されたくない、誤送信しても中身を見られないようにしたい、といった理由で広がった。だが、「ZIPファイルのパスワードは総当たりで突破できるため、盗聴対策にはならない。誤送信対策としても、結局メールでパスワードを送るので、その前に誤送信に気づかなければ意味がない。本来パスワードは電話やチャットなど別の手段で送るべきだ」(企業のセキュリティーに詳しいEGセキュアソリューションズの徳丸浩社長)。
(中略)
PPAPが大きく広がった背景には、個人情報について適切な保護措置を講じる体制を整備している事業者が使用できる「プライバシーマーク」の認定を受けるために、PPAPが必要だったためという通説がある。
だが、認定主体の一般財団法人日本情報社会推進協会(JIPDEC)は2020年11月、「プライバシーマーク制度では(PPAPなどによる)個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません」との声明を出した。
いやいやいやいや。Pマークの要件じゃなかったでしたっけ?
プライバシーマーク審査のお知らせ
2010.07.01
JISAにおけるプライバシーマーク審査項目の一部改訂について【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。
添付ファイルにパスワード設定って、決まりがありますよね。
もちろん、メールそのものの暗号化(S/MIME)や、添付ファイルを公開鍵による暗号化等方法もありますが、
Pマークを取得するための現実的な方法は、zip暗号化でしたよね。
添付ファイルを自動的にZIP暗号化してくれるソリューションだってありますよね。
Pマーク・ISMS/ISO27001運用ルールに適応|メールZipper
Pマーク・ISMS/ISO27001運用ルールに適応|メールZipper
メールZipperの添付ファイル自動暗号化機能は、
プライバシーマークやISMS/ISO27001の運用にも大活躍します。
暗号化zip以外で、どうやって審査を通過しているんでしょうか。
それを「従来から推奨しておりません」って・・・
まぁ、Pマーク取得事業者の情報漏洩が相次いで、最近では調達条件にPマークを入れることはなくなりましたが(笑
>リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
>大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしている
>3,504万件の個人情報漏洩を起こした「ベネッセ個人情報流出事件」に対して、ベネッセホールディングスが取得していた「プライバシーマーク認証」を取り消すペナルティを課した
>Pマーク付与企業が起こした個人情報取扱事故、原因内訳(JIPDEC)
暗号化ZIP添付を流行らせたのって、Pマークじゃなかったっけ?と思ったfocuslightsでした。
間違っていたらごめんなさい。
