Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ | ScanNetSecurity
2024.05.06(月)

Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ

 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

特集 特集
facebookLINE
 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

 JIPDECでは、JIPDECへの報告だけでなく、一般への公表も原則として行うべきとしている。もっともな話である。JIPDECに報告して、後は知らんぷりを決め込んだのでは、利用者には事故、事件が起きたがわからない。FAQでは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条を参考に社内規定を照らして考えろと言っている。

 ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条には、「講じることが望まれる事項」として「事実関係、再発防止策等の公表」と書いてある。やはり、公表が望ましいわけである。

 なんでこんな回りくどい表現をするのかわからないが、ようするに原則一般公表すべきだが、社内規定など諸事情を勘案した上で決めましょうということなのだろう。

 さて、じゃあ、Pマークを取得した企業が、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条に書いてあるように公表しているかというと、どうもそうでもないらしい。

 JIPDECでは、毎年、「個人情報の取扱いにおける事故報告にみる傾向と注意点」という統計を開示している。ここには、Pマーク事業者で発生した情報漏えい事故の件数などが掲載されている。

平成20年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf

 これによると、Pマーク取得事業者の個人情報の取扱いにおける事故報告は、587社、1,276件となっている。ちなみに、Pマークの事業者は、2009年9月14日現在で10,702社である。つまり、5%程度で事故が発生していることになる。これを多いと見るか、少ないと見るかは微妙だが、多いんじゃないかという気がする。あくまで個人的な印象だけど。

 筆者がもっと気になるのは、事故が起きても公表していないことである。筆者は以前、Pマーク取得事業者のサイトで個人情報漏えいを見つけたことがある。そのサイトでは対処を行ったが、これについて外部および利用者に対して公表は行わなかった。それに、一般的なニュースに流れている漏えい事故を考えても、1,276件以上なさそうである。まあ、小さいとこはニュースにならないのだろうけど。

 ただ、事故があってもそれを公表しないPマーク取得事業者がいるのは、確かで、事故の件数が1,276件あるのも事実なのである。

 もうちょっと強制的にでも、事故の事実を公表させるような仕組みを考えないと、Pマークそのものの意味がなくなってしまうんじゃないだろうかと心配である。なにしろ、Pマークがあっても事故は、5%以上の確率で発生するのだから、その後の公表と対処がなければ信用できるはずがないのである。

 最後に付け加えると、Pマークの取消し事業者はゼロである。ようするに事故を起こそうが、その事故を公表しないでいようが、おとがめはないのである。ますます信用しにくくなる。

 蛇足であるが、スパムの温床として知られているコンビーズもPマーク取得事業者である。

あのメールマガジン配信サービスは、最先端ビジネスモデルだった!?
https://www.netsecurity.ne.jp/3_13428.html
スパム業者とメールマガジンASPの関係(1)
https://www.netsecurity.ne.jp/3_13046.html
スパム業者とメールマガジンASPの関係(2)
https://www.netsecurity.ne.jp/3_13071.html
スパム業者とメールマガジンASPの関係(3)
https://www.netsecurity.ne.jp/3_13097.html

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連記事】
Langley のサイバーノーガード日記
Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務
https://www.netsecurity.ne.jp/7_14088.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP