Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

Langley のサイバーノーガード日記  Pマーク取得事業者の情報漏えい(2) 実は事故が多いPマーク、空洞化の恐れ

特集 特集

 前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。

 JIPDECでは、JIPDECへの報告だけでなく、一般への公表も原則として行うべきとしている。もっともな話である。JIPDECに報告して、後は知らんぷりを決め込んだのでは、利用者には事故、事件が起きたがわからない。FAQでは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条を参考に社内規定を照らして考えろと言っている。

 ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条には、「講じることが望まれる事項」として「事実関係、再発防止策等の公表」と書いてある。やはり、公表が望ましいわけである。

 なんでこんな回りくどい表現をするのかわからないが、ようするに原則一般公表すべきだが、社内規定など諸事情を勘案した上で決めましょうということなのだろう。

 さて、じゃあ、Pマークを取得した企業が、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条に書いてあるように公表しているかというと、どうもそうでもないらしい。

 JIPDECでは、毎年、「個人情報の取扱いにおける事故報告にみる傾向と注意点」という統計を開示している。ここには、Pマーク事業者で発生した情報漏えい事故の件数などが掲載されている。

平成20年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf

 これによると、Pマーク取得事業者の個人情報の取扱いにおける事故報告は、587社、1,276件となっている。ちなみに、Pマークの事業者は、2009年9月14日現在で10,702社である。つまり、5%程度で事故が発生していることになる。これを多いと見るか、少ないと見るかは微妙だが、多いんじゃないかという気がする。あくまで個人的な印象だけど。

 筆者がもっと気になるのは、事故が起きても公表していないことである。筆者は以前、Pマーク取得事業者のサイトで個人情報漏えいを見つけたことがある。そのサイトでは対処を行ったが、これについて外部および利用者に対して公表は行わなかった。それに、一般的なニュースに流れている漏えい事故を考えても、1,276件以上なさそうである。まあ、小さいとこはニュースにならないのだろうけど。

 ただ、事故があってもそれを公表しないPマーク取得事業者がいるのは、確かで、事故の件数が1,276件あるのも事実なのである。

 もうちょっと強制的にでも、事故の事実を公表させるような仕組みを考えないと、Pマークそのものの意味がなくなってしまうんじゃないだろうかと心配である。なにしろ、Pマークがあっても事故は、5%以上の確率で発生するのだから、その後の公表と対処がなければ信用できるはずがないのである。

 最後に付け加えると、Pマークの取消し事業者はゼロである。ようするに事故を起こそうが、その事故を公表しないでいようが、おとがめはないのである。ますます信用しにくくなる。

 蛇足であるが、スパムの温床として知られているコンビーズもPマーク取得事業者である。

あのメールマガジン配信サービスは、最先端ビジネスモデルだった!?
https://www.netsecurity.ne.jp/3_13428.html
スパム業者とメールマガジンASPの関係(1)
https://www.netsecurity.ne.jp/3_13046.html
スパム業者とメールマガジンASPの関係(2)
https://www.netsecurity.ne.jp/3_13071.html
スパム業者とメールマガジンASPの関係(3)
https://www.netsecurity.ne.jp/3_13097.html

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連記事】
Langley のサイバーノーガード日記
Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務
https://www.netsecurity.ne.jp/7_14088.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×