Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ | ScanNetSecurity
2024.05.19(日)

Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ

 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

特集 特集
facebookLINE
 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

 JIPDECでは、JIPDECへの報告だけでなく、一般への公表も原則として行うべきとしている。もっともな話である。JIPDECに報告して、後は知らんぷりを決め込んだのでは、利用者には事故、事件が起きたがわからない。FAQでは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条を参考に社内規定を照らして考えろと言っている。

 ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条には、「講じることが望まれる事項」として「事実関係、再発防止策等の公表」と書いてある。やはり、公表が望ましいわけである。

 なんでこんな回りくどい表現をするのかわからないが、ようするに原則一般公表すべきだが、社内規定など諸事情を勘案した上で決めましょうということなのだろう。

 さて、じゃあ、Pマークを取得した企業が、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条に書いてあるように公表しているかというと、どうもそうでもないらしい。

 JIPDECでは、毎年、「個人情報の取扱いにおける事故報告にみる傾向と注意点」という統計を開示している。ここには、Pマーク事業者で発生した情報漏えい事故の件数などが掲載されている。

平成20年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf

 これによると、Pマーク取得事業者の個人情報の取扱いにおける事故報告は、587社、1,276件となっている。ちなみに、Pマークの事業者は、2009年9月14日現在で10,702社である。つまり、5%程度で事故が発生していることになる。これを多いと見るか、少ないと見るかは微妙だが、多いんじゃないかという気がする。あくまで個人的な印象だけど。

 筆者がもっと気になるのは、事故が起きても公表していないことである。筆者は以前、Pマーク取得事業者のサイトで個人情報漏えいを見つけたことがある。そのサイトでは対処を行ったが、これについて外部および利用者に対して公表は行わなかった。それに、一般的なニュースに流れている漏えい事故を考えても、1,276件以上なさそうである。まあ、小さいとこはニュースにならないのだろうけど。

 ただ、事故があってもそれを公表しないPマーク取得事業者がいるのは、確かで、事故の件数が1,276件あるのも事実なのである。

 もうちょっと強制的にでも、事故の事実を公表させるような仕組みを考えないと、Pマークそのものの意味がなくなってしまうんじゃないだろうかと心配である。なにしろ、Pマークがあっても事故は、5%以上の確率で発生するのだから、その後の公表と対処がなければ信用できるはずがないのである。

 最後に付け加えると、Pマークの取消し事業者はゼロである。ようするに事故を起こそうが、その事故を公表しないでいようが、おとがめはないのである。ますます信用しにくくなる。

 蛇足であるが、スパムの温床として知られているコンビーズもPマーク取得事業者である。

あのメールマガジン配信サービスは、最先端ビジネスモデルだった!?
https://www.netsecurity.ne.jp/3_13428.html
スパム業者とメールマガジンASPの関係(1)
https://www.netsecurity.ne.jp/3_13046.html
スパム業者とメールマガジンASPの関係(2)
https://www.netsecurity.ne.jp/3_13071.html
スパム業者とメールマガジンASPの関係(3)
https://www.netsecurity.ne.jp/3_13097.html

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連記事】
Langley のサイバーノーガード日記
Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務
https://www.netsecurity.ne.jp/7_14088.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  8. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  9. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  10. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP