前回にひきつづき、プライバシーマーク(以下、Pマーク)を主宰するJIPDEC(財団法人日本情報処理開発協会)が2009年9月3日に公表した「FAQ:個人情報の取扱いにおける事故等の報告について」の中の、事故報告等のルールについて考えていこう。 JIPDECでは、JIPDECへの報告だけでなく、一般への公表も原則として行うべきとしている。もっともな話である。JIPDECに報告して、後は知らんぷりを決め込んだのでは、利用者には事故、事件が起きたがわからない。FAQでは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条を参考に社内規定を照らして考えろと言っている。 ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条には、「講じることが望まれる事項」として「事実関係、再発防止策等の公表」と書いてある。やはり、公表が望ましいわけである。 なんでこんな回りくどい表現をするのかわからないが、ようするに原則一般公表すべきだが、社内規定など諸事情を勘案した上で決めましょうということなのだろう。 さて、じゃあ、Pマークを取得した企業が、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の第20条に書いてあるように公表しているかというと、どうもそうでもないらしい。 JIPDECでは、毎年、「個人情報の取扱いにおける事故報告にみる傾向と注意点」という統計を開示している。ここには、Pマーク事業者で発生した情報漏えい事故の件数などが掲載されている。平成20年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」 http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf これによると、Pマーク取得事業者の個人情報の取扱いにおける事故報告は、587社、1,276件となっている。ちなみに、Pマークの事業者は、2009年9月14日現在で10,702社である。つまり、5%程度で事故が発生していることになる。これを多いと見るか、少ないと見るかは微妙だが、多いんじゃないかという気がする。あくまで個人的な印象だけど。 筆者がもっと気になるのは、事故が起きても公表していないことである。筆者は以前、Pマーク取得事業者のサイトで個人情報漏えいを見つけたことがある。そのサイトでは対処を行ったが、これについて外部および利用者に対して公表は行わなかった。それに、一般的なニュースに流れている漏えい事故を考えても、1,276件以上なさそうである。まあ、小さいとこはニュースにならないのだろうけど。 ただ、事故があってもそれを公表しないPマーク取得事業者がいるのは、確かで、事故の件数が1,276件あるのも事実なのである。 もうちょっと強制的にでも、事故の事実を公表させるような仕組みを考えないと、Pマークそのものの意味がなくなってしまうんじゃないだろうかと心配である。なにしろ、Pマークがあっても事故は、5%以上の確率で発生するのだから、その後の公表と対処がなければ信用できるはずがないのである。 最後に付け加えると、Pマークの取消し事業者はゼロである。ようするに事故を起こそうが、その事故を公表しないでいようが、おとがめはないのである。ますます信用しにくくなる。 蛇足であるが、スパムの温床として知られているコンビーズもPマーク取得事業者である。あのメールマガジン配信サービスは、最先端ビジネスモデルだった!? https://www.netsecurity.ne.jp/3_13428.html スパム業者とメールマガジンASPの関係(1) https://www.netsecurity.ne.jp/3_13046.html スパム業者とメールマガジンASPの関係(2) https://www.netsecurity.ne.jp/3_13071.html スパム業者とメールマガジンASPの関係(3) https://www.netsecurity.ne.jp/3_13097.html 【執筆:Prisoner Langley】執筆者略歴: 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。 4コママンガを描くこともある。執筆依頼はSCAN編集部まで【関連記事】Langley のサイバーノーガード日記Pマーク取得事業者の情報漏えい(1) 意外と厳しい報告義務 https://www.netsecurity.ne.jp/7_14088.html 【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ http://netsecurity.blog77.fc2.com/
