Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JIPDEC、Pマーク制度で大日本印刷に改善要請 - 取消には至らず

プライバシーマーク制度を運営する日本情報処理開発協会(JIPDEC)は、約864万件の個人情報流出事件が発生した大日本印刷に対して「改善要請」の処分を行った。今回行った「改善要請」は、認定取り消しに次いで重い処分となる。

大日本印刷において発生した事件では、43社から受託した約864万件が流出したほか、漏洩情報を悪用した詐欺事件など発生。今回の事件が発生した部門がプライバシーマーク認定部門だったことから、日本情報処理開発協会では3月22日にプライバシーマーク制度委員会を臨時開催して今回の処分を決定、翌23日に同社へ通知した。

同協会では、今回の事故について「プライバシーマーク制度の信頼を根底から揺るがす重大事故」としつつも認定取り消し処分は行わず、再発防止策の構築と運用状況の報告などを求め、監督指導を実施する「改善要請」処分とした。

今回の改善要請では、事故関連部門における個人情報取り扱いの臨時監査や事故原因の特定と対策の有効性の検証、有効ではない場合の対応策の検討ほかあわせて6項目の実施を求め、6カ月の観察期間内に適切な運用が確認されない場合に認定を取り消すという。

プライバシーマーク制度において、運営要領において欠格条項に「申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者」と従来より定めていたが、個人情報漏洩事故を積極的に公表する事業者が増えたことを受け、2006年3月に改訂し、別途基準を設けて欠格を判断している。

判断基準では、発生した事象や原因を5段階で評価。被害や社会的影響、同制度への影響により+2から?1、事故の対応状況により+1あるいは?1と基準を補正した上で、欠格レベルが5を超えると認定の取り消しとなる。またそれ以下の場合も「勧告・改善要請」「厳重注意」「注意」「処分なし」など処分を定めている。

同協会が処分を行った事例としては、2006年7月にWinny経由の個人情報漏洩事故が発覚したインテックに対して同年9月に改善要請を行っているが、今まで認定取り消しとなったケースはない。

プライバシーマーク制度は、企業においてJIS Q 15001のマネジメントシステムに適合した個人情報保護を実施しているか民間の指定機関が審査、認証する制度。認定されるとプライバシーマークなどを表示することができる。

個人情報保護法が完全施行される以前となる2004年11月に認定事業者が1000社を突破。個人情報保護法が施行されて以降、認定事業者が増加し、2006年9月に5000社を突破。3月23日現在、プライバシーマーク認定事業者は7136社に達している。

(Security NEXT - 2007/03/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

開発段階の車載ECUに脆弱性検査を行える「ThreatHive」 - アズジェント
精鋭ハッカー部隊「レッドチーム」で堅牢性向上図るMS - 秘密の舞台裏に迫る
8月のDDoS攻撃が4割減 - 「GRE」利用のフラッド攻撃など発生
Office数式エディタに対する脆弱性攻撃 - サンドボックス回避のおそれも
中国「APT10」による国内メディア狙った標的型攻撃 - 外交問題関連ファイルを偽装
子どものスマホ安全対策、約半数が利用せず - 有料アプリ利用は4.6%
データ解析ツール「Metabase」にXSSの脆弱性
PFU、オンサイトによる簡易診断サービスを開始
特別支援学校でデジカメ紛失、生徒画像を保存 - 埼玉県
顧客情報を誤って一般ゴミで廃棄、収集車から飛散 - ケアコム