セキュリティ担当として会社のプライバシーマーク更新のために日々活動しているのですが、そんな自分にPマーク審査機関の日本データ通信協会（デ協）が主催したオンラインセミナー案内が届きました。

https://www.dekyo.or.jp/kojinjyoho/contents/info/zenkokuseminar_kaishi_2024.html

せっかくなので視聴しました。セミナーで使われた画像やスライドについては公開禁止とのことですが、感想を書きます。非公開のセミナーなので具体的な事例や数値などは掲載しないようにします。

講演①「個人情報保護法等改正の概要と実務への影響」

近年コーポレートサイトに「Cookie取得の同意を得るポップアップ」の実装を求められるようになり、その理由をはっきり理解していなかったのですが、その法律的根拠、社会的背景について理解することができました。厳密に解釈すればコーポレートサイトや自社商品を紹介するサイト（EC機能はない）でCookie同意は不要なのかもしれませんが、「やっておくほうが安心」「我が社はお客様のプライバシーに対して意識を払っているアピール」はできそうです。

講演②「情報セキュリティ10大脅威 2024」から考える攻撃者を“先回り”する対策

セキュリティの仕事をしていると名前を聞くJPCERT/CC。その組織の正体は

国の公的事業としてインシデントレスポンスチーム
国際間、国内連携における窓口の役割

インシデント対応の相談に乗ってくれる組織で、CSIRT（各組織のインシデント対応機関）のハブとなり取りまとめてくれるリーダー的存在です。そんなJPCERT/CCの人が2024年のセキュリティ脅威について語ってくれました。最近毎日のようにセキュリティインシデントが発生している印象があります。その理由について「攻撃対象が広がった」ことと、個人情報保護法の改正で、明確に漏洩した事実が確認できない場合も事故報告対象になり、被害公表対象が増加していることがあるのではと分析していました。特にランサムウェアの攻撃対象が従来の業種、企業より広がった理由についての分析は目からうろこでした（ここに書けないのが残念…）あとはオフィスにあるネットワーク機器の脆弱性を突く攻撃が増えているという注意喚起もあり、情シスと連携しないと、と思いました。VPN目的で利用されることも多いFortigateの機器2万台に中国のハッカー集団が侵入した、という記事もあります。

中国のハッカーが世界中にある約2万台のFortiGateシステムに侵入しているとオランダ政府の軍事情報安全保安局が警告

講演③「苦情・相談対応概況と報道された漏えい等事故を踏まえた注意喚起」

個人情報に関してお客様からの苦情や相談の対応についてのセミナーでした。総務省が作成したガイドラインも紹介されました。個人情報・個人関連情報を取り扱っている場合は適切な管理をすることはもちろん、開示要求には速やかに、丁寧に、分かりやすく応じないといけないとのこと。個人情報漏洩事故の背景についても紹介されていましたが、「分かってはいるのだけど・・・」と耳が痛くなる内容でした。残念ながら人間も、人間が作る組織も完全の形ではありません。ただ完全に近づけていく努力は必要です。