Langley のサイバーノーガード日記 Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

Langley のサイバーノーガード日記 Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務

特集 特集

 プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)は、2009年9月3日にプライバシーマーク公式ページで「FAQ:個人情報の取扱いにおける事故等の報告について」を公開した。その中で事故報告等のルールについて解説している。

FAQ:個人情報の取扱いにおける事故等の報告について
http://privacymark.jp/privacy_mark/faq/accident_report.html

 意外と厳しい。

 筆者が気になったのは、下記である。

・メールアドレスのみの漏えいでも報告は必要
・漏えいしたのが、例え一人でも報告は必要
・委託先の事故も報告が必要
・事故は原則として一般にも公表した方がいい

 メールアドレスは、個人情報ではないと言い切れる人は少ないと思うが、逆に個人情報だと言い切るのもまた難しい。あいまいというか、ケースバイケースなとこである。

 このFAQでは、「メールアドレスによっては、個人が特定できる可能性もあります。また、個人の特定ができないまでも、本人にアクセス可能な情報になります」となっている。筆者も全く同感である。

 委託先の事故も報告が必要というのは、社会人なら当然のごとく理解しているはずの常識だと思うのだが、実はそうではないことも多いらしい。特にシステム関係の人は、一般常識として頭でわかっていても、いざ自分の身に降りかかってくると、それはそれ、これはこれ、と違うことと認識してしまうらしい。

 筆者がなぜそう感じるか、ご説明しよう。本稿を連載するScanNetSecurityでは、「Web改ざん情報」という他人の失敗を暴き立てる素敵な企画を10年近く続けている。この企画ページは隠れた人気があるらしく、あまり有名でない会社の名前をサーチエンジンで検索すると、その会社そのもののWebサイトよりも「Web改ざん情報」に記載されているその会社の事故情報が上位に来ることが少なくないらしい。メンツ丸つぶれである。

 そういうことがあるので、Scan編集部には、復旧しているんだからあの記載を削除しろとか、営業妨害だからすぐに消せとか、本人にだけ通じる理論を怒鳴り散らす紳士たちが連絡してくるという。

 その時の言い分でもっとも多いのは「うちじゃなく委託先の事故だ」というものだ。「借りていたレンタルサーバがやられた。だから、うちではなくレンタルサーバ屋がいけないのであって、うちは被害者であり悪くない。」という、サイバーノーガード戦法を地で行く論法を堂々と展開してくるらしい。しかし、これは、食中毒が起きたのは腐った魚を卸した市場のせいだとレストランが開き直るのと同じである。

 常識ある社会人なら、こうは考えない。「だめなレンタルサーバ屋を選んだのは当社である。従って当社にも選んだという点で責任はある。また、当社の利用者は当社を信頼して利用しているのだから、利用者に対しての一義的な責任は当社にある。」

 これが、大人の社会人としてのまっとうな判断であろう。しかし、残念ながら、世の中にはそう考えない企業や経営者、情報システム部門のマネージャー、総務、法務担当者が意外と多いらしい。しかも、常識と企業規模はあまりかかわりない。

 ちょっと長くなったが、セキュリティに特化したマイナー誌ScanNetSecurityでもこういう騒ぎが起こるくらいであるから、世の中には相当数、常識の足りない社会人がいるのだと思う。だから、JIPDECが常識を教える項目をあえて入れたのは素晴らしい。(つづく)

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×