第882号コラム：佐藤　慶浩 理事（オフィス四々十六　代表）
題：「ISO/IEC 27701の2025年改訂とその影響」

ISO/IEC 27701の改訂

本コラムの第661号と第761号で、2019年に発行された「国際規格ISO/IEC 27701～PIMS:プライバシー情報マネジメントシステム」の紹介をしました。この規格は、2024年にJIS化され「JIS Q 27701 セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針」として発行されました。
ISO/IEC 27701は、ISO/IEC 27001（情報セキュリティ・マネジメントシステム。以下、「ISMS」と書きます。）とISO/IEC 27002を拡張したものでしたが、今年2025年に以下のように改訂されます。
(1) ISMSを拡張するものではなく独立したマネジメントシステムになる。
(2) セキュリティ対策としてISMSを前提としないものになる。
(3) これらにより規格名称は、プライバシー情報マネジメントシステムになる。
規格としては、大幅な変更となりますが、これまでのコラムで説明したプライバシー対策の内容についての大きな変更はなく、基本的な考え方はまったく変わりませんので、これまで読んでいただいたことは無駄にはならないので安心してください。

第881号コラム：松本　隆 理事（株式会社ディー・エヌ・エー　IT本部 セキュリティ部　サイバーアナリスト）
題：不正被害額と不正取引額

近年発生した証券口座乗っ取り事案は、その手口の巧妙さと被害の広がりにおいて、従来の金融犯罪とは一線を画すものであった。今回の報道では各社が「不正取引額」や「不正売買額」が「5000億円超」という見出しで伝えており、ネットでは「なぜ異なる被害額を足し合わせるのか」「被害を水増しして報道しているのではないか」といった意見も散見される。私はこの不正取引額や売買額という指標での報道は、一般向けの報道として的外れではないと考えている。ともあれ、「不正被害額」と「不正取引額」について検討するには、今回の証券口座乗っ取り事案における犯罪者の新たな収益化スキームを理解することが重要である。

第880号コラム：町村　泰貴 理事（成城大学　法学部　教授）
題：フランスの情報セキュリティ機関ANSSIについて

　ANSSI（Agence nationale de la sécurité des systèmes d’information）は、総務省の平成28年版情報通信白書でもフランスの国家デジタルセキュリティ戦略担当部局として紹介されている。また、IDFの丸山監事によるブログ「まるちゃんの情報セキュリティ気まぐれ日記」でも度々取り上げられているので、日本でも知られている。