Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ | ScanNetSecurity
2024.04.19(金)

Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ

 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

特集 特集
facebookLINE
 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

 JIPDECでは、JIPDECへの報告だけでなく、一般への公表も原則として行うべきとしている。もっともな話である。JIPDECに報告して、後は知らんぷりを決め込んだのでは、利用者には事故、事件が起きたがわからない。FAQでは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条を参考に社内規定を照らして考えろと言っている。

 ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条には、「講じることが望まれる事項」として「事実関係、再発防止策等の公表」と書いてある。やはり、公表が望ましいわけである。

 なんでこんな回りくどい表現をするのかわからないが、ようするに原則一般公表すべきだが、社内規定など諸事情を勘案した上で決めましょうということなのだろう。

 さて、じゃあ、Pマークを取得した企業が、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条に書いてあるように公表しているかというと、どうもそうでもないらしい。

 JIPDECでは、毎年、「個人情報の取扱いにおける事故報告にみる傾向と注意点」という統計を開示している。ここには、Pマーク事業者で発生した情報漏えい事故の件数などが掲載されている。

平成20年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf

 これによると、Pマーク取得事業者の個人情報の取扱いにおける事故報告は、587社、1,276件となっている。ちなみに、Pマークの事業者は、2009年9月14日現在で10,702社である。つまり、5%程度で事故が発生していることになる。これを多いと見るか、少ないと見るかは微妙だが、多いんじゃないかという気がする。あくまで個人的な印象だけど。

 筆者がもっと気になるのは、事故が起きても公表していないことである。筆者は以前、Pマーク取得事業者のサイトで個人情報漏えいを見つけたことがある。そのサイトでは対処を行ったが、これについて外部および利用者に対して公表は行わなかった。それに、一般的なニュースに流れている漏えい事故を考えても、1,276件以上なさそうである。まあ、小さいとこはニュースにならないのだろうけど。

 ただ、事故があってもそれを公表しないPマーク取得事業者がいるのは、確かで、事故の件数が1,276件あるのも事実なのである。

 もうちょっと強制的にでも、事故の事実を公表させるような仕組みを考えないと、Pマークそのものの意味がなくなってしまうんじゃないだろうかと心配である。なにしろ、Pマークがあっても事故は、5%以上の確率で発生するのだから、その後の公表と対処がなければ信用できるはずがないのである。

 最後に付け加えると、Pマークの取消し事業者はゼロである。ようするに事故を起こそうが、その事故を公表しないでいようが、おとがめはないのである。ますます信用しにくくなる。

 蛇足であるが、スパムの温床として知られているコンビーズもPマーク取得事業者である。

あのメールマガジン配信サービスは、最先端ビジネスモデルだった!?
https://www.netsecurity.ne.jp/3_13428.html
スパム業者とメールマガジンASPの関係(1)
https://www.netsecurity.ne.jp/3_13046.html
スパム業者とメールマガジンASPの関係(2)
https://www.netsecurity.ne.jp/3_13071.html
スパム業者とメールマガジンASPの関係(3)
https://www.netsecurity.ne.jp/3_13097.html

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連記事】
Langley のサイバーノーガード日記
Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務
https://www.netsecurity.ne.jp/7_14088.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  3. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  6. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  7. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  8. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  9. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  10. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

ランキングをもっと見る
ホーム 特集 特集 記事
TOP