Langley のサイバーノーガード日記 Pマーク取得事業者の情報漏えい(1)　意外と厳しい報告義務

　プライバシーマーク（以下、Pマーク）を主宰するJIPDEC（財団法人日本情報処理開発協会）は、2009年9月3日にプライバシーマーク公式ページで「FAQ：個人情報の取扱いにおける事故等の報告について」を公開した。その中で事故報告等のルールについて解説している。

FAQ：個人情報の取扱いにおける事故等の報告について
http://privacymark.jp/privacy_mark/faq/accident_report.html

　意外と厳しい。

　筆者が気になったのは、下記である。

・メールアドレスのみの漏えいでも報告は必要
・漏えいしたのが、例え一人でも報告は必要
・委託先の事故も報告が必要
・事故は原則として一般にも公表した方がいい

　メールアドレスは、個人情報ではないと言い切れる人は少ないと思うが、逆に個人情報だと言い切るのもまた難しい。あいまいというか、ケースバイケースなとこである。

　このFAQでは、「メールアドレスによっては、個人が特定できる可能性もあります。また、個人の特定ができないまでも、本人にアクセス可能な情報になります」となっている。筆者も全く同感である。

　委託先の事故も報告が必要というのは、社会人なら当然のごとく理解しているはずの常識だと思うのだが、実はそうではないことも多いらしい。特にシステム関係の人は、一般常識として頭でわかっていても、いざ自分の身に降りかかってくると、それはそれ、これはこれ、と違うことと認識してしまうらしい。

　筆者がなぜそう感じるか、ご説明しよう。本稿を連載するScanNetSecurityでは、「Web改ざん情報」という他人の失敗を暴き立てる素敵な企画を10年近く続けている。この企画ページは隠れた人気があるらしく、あまり有名でない会社の名前をサーチエンジンで検索すると、その会社そのもののWebサイトよりも「Web改ざん情報」に記載されているその会社の事故情報が上位に来ることが少なくないらしい。メンツ丸つぶれである。

　そういうことがあるので、Scan編集部には、復旧しているんだからあの記載を削除しろとか、営業妨害だからすぐに消せとか、本人にだけ通じる理論を怒鳴り散らす紳士たちが連絡してくるという。

　その時の言い分でもっとも多いのは「うちじゃなく委託先の事故だ」というものだ。「借りていたレンタルサーバがやられた。だから、うちではなくレンタルサーバ屋がいけないのであって、うちは被害者であり悪くない。」という、サイバーノーガード戦法を地で行く論法を堂々と展開してくるらしい。しかし、これは、食中毒が起きたのは腐った魚を卸した市場のせいだとレストランが開き直るのと同じである。

　常識ある社会人なら、こうは考えない。「だめなレンタルサーバ屋を選んだのは当社である。従って当社にも選んだという点で責任はある。また、当社の利用者は当社を信頼して利用しているのだから、利用者に対しての一義的な責任は当社にある。」

　これが、大人の社会人としてのまっとうな判断であろう。しかし、残念ながら、世の中にはそう考えない企業や経営者、情報システム部門のマネージャー、総務、法務担当者が意外と多いらしい。しかも、常識と企業規模はあまりかかわりない。

　ちょっと長くなったが、セキュリティに特化したマイナー誌ScanNetSecurityでもこういう騒ぎが起こるくらいであるから、世の中には相当数、常識の足りない社会人がいるのだと思う。だから、JIPDECが常識を教える項目をあえて入れたのは素晴らしい。(つづく)

【執筆：Prisoner Langley】
執筆者略歴：
　民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会（ACCS）のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
　4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/