Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JIPDEC、Pマーク制度で大日本印刷に改善要請 - 取消には至らず

プライバシーマーク制度を運営する日本情報処理開発協会(JIPDEC)は、約864万件の個人情報流出事件が発生した大日本印刷に対して「改善要請」の処分を行った。今回行った「改善要請」は、認定取り消しに次いで重い処分となる。

大日本印刷において発生した事件では、43社から受託した約864万件が流出したほか、漏洩情報を悪用した詐欺事件など発生。今回の事件が発生した部門がプライバシーマーク認定部門だったことから、日本情報処理開発協会では3月22日にプライバシーマーク制度委員会を臨時開催して今回の処分を決定、翌23日に同社へ通知した。

同協会では、今回の事故について「プライバシーマーク制度の信頼を根底から揺るがす重大事故」としつつも認定取り消し処分は行わず、再発防止策の構築と運用状況の報告などを求め、監督指導を実施する「改善要請」処分とした。

今回の改善要請では、事故関連部門における個人情報取り扱いの臨時監査や事故原因の特定と対策の有効性の検証、有効ではない場合の対応策の検討ほかあわせて6項目の実施を求め、6カ月の観察期間内に適切な運用が確認されない場合に認定を取り消すという。

プライバシーマーク制度において、運営要領において欠格条項に「申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者」と従来より定めていたが、個人情報漏洩事故を積極的に公表する事業者が増えたことを受け、2006年3月に改訂し、別途基準を設けて欠格を判断している。

判断基準では、発生した事象や原因を5段階で評価。被害や社会的影響、同制度への影響により+2から?1、事故の対応状況により+1あるいは?1と基準を補正した上で、欠格レベルが5を超えると認定の取り消しとなる。またそれ以下の場合も「勧告・改善要請」「厳重注意」「注意」「処分なし」など処分を定めている。

同協会が処分を行った事例としては、2006年7月にWinny経由の個人情報漏洩事故が発覚したインテックに対して同年9月に改善要請を行っているが、今まで認定取り消しとなったケースはない。

プライバシーマーク制度は、企業においてJIS Q 15001のマネジメントシステムに適合した個人情報保護を実施しているか民間の指定機関が審査、認証する制度。認定されるとプライバシーマークなどを表示することができる。

個人情報保護法が完全施行される以前となる2004年11月に認定事業者が1000社を突破。個人情報保護法が施行されて以降、認定事業者が増加し、2006年9月に5000社を突破。3月23日現在、プライバシーマーク認定事業者は7136社に達している。

(Security NEXT - 2007/03/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
ふるさと納税書類を誤送付、システム設定ミスで - 川南町
「クラウドコンピューティングのためのセキュリティガイダンス 第4版」が公開中
11月のフィッシング報告は414件増の1396件 - 「Apple」関連が7割
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
個人データの海外移転、「国内同水準」要件でパブコメ - 個人情報保護委
ゴルフ大会参加者の個人情報が所在不明 - 毎日放送
漫才コンテスト「M-1」のプレス向けメールで誤送信 - 朝日放送
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず