Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JIPDEC、Pマーク制度で大日本印刷に改善要請 - 取消には至らず

プライバシーマーク制度を運営する日本情報処理開発協会(JIPDEC)は、約864万件の個人情報流出事件が発生した大日本印刷に対して「改善要請」の処分を行った。今回行った「改善要請」は、認定取り消しに次いで重い処分となる。

大日本印刷において発生した事件では、43社から受託した約864万件が流出したほか、漏洩情報を悪用した詐欺事件など発生。今回の事件が発生した部門がプライバシーマーク認定部門だったことから、日本情報処理開発協会では3月22日にプライバシーマーク制度委員会を臨時開催して今回の処分を決定、翌23日に同社へ通知した。

同協会では、今回の事故について「プライバシーマーク制度の信頼を根底から揺るがす重大事故」としつつも認定取り消し処分は行わず、再発防止策の構築と運用状況の報告などを求め、監督指導を実施する「改善要請」処分とした。

今回の改善要請では、事故関連部門における個人情報取り扱いの臨時監査や事故原因の特定と対策の有効性の検証、有効ではない場合の対応策の検討ほかあわせて6項目の実施を求め、6カ月の観察期間内に適切な運用が確認されない場合に認定を取り消すという。

プライバシーマーク制度において、運営要領において欠格条項に「申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者」と従来より定めていたが、個人情報漏洩事故を積極的に公表する事業者が増えたことを受け、2006年3月に改訂し、別途基準を設けて欠格を判断している。

判断基準では、発生した事象や原因を5段階で評価。被害や社会的影響、同制度への影響により+2から?1、事故の対応状況により+1あるいは?1と基準を補正した上で、欠格レベルが5を超えると認定の取り消しとなる。またそれ以下の場合も「勧告・改善要請」「厳重注意」「注意」「処分なし」など処分を定めている。

同協会が処分を行った事例としては、2006年7月にWinny経由の個人情報漏洩事故が発覚したインテックに対して同年9月に改善要請を行っているが、今まで認定取り消しとなったケースはない。

プライバシーマーク制度は、企業においてJIS Q 15001のマネジメントシステムに適合した個人情報保護を実施しているか民間の指定機関が審査、認証する制度。認定されるとプライバシーマークなどを表示することができる。

個人情報保護法が完全施行される以前となる2004年11月に認定事業者が1000社を突破。個人情報保護法が施行されて以降、認定事業者が増加し、2006年9月に5000社を突破。3月23日現在、プライバシーマーク認定事業者は7136社に達している。

(Security NEXT - 2007/03/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

産業分野のサイバーセキュリティで日独連携 - 検討成果が明らかに
「Cisco DNA Center」に複数の深刻な脆弱性 - アップデートがリリース
RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ
「Adobe Acrobat/Reader」におけるPoC公開の脆弱性について訂正
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
Facebookページに第三者が不正投稿、すでに復旧 - メディアドゥHD
宛名印刷時の操作ミスで個人情報を誤送信 - JNSA
セキュリティ担当者を配備する企業は2割未満 - 約6割が「現状で十分」
「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
プレスリリースを誤送信、報道機関のメアド流出 - 札幌医科大