JIPDEC、Pマーク制度で大日本印刷に改善要請 - 取消には至らず
プライバシーマーク制度を運営する日本情報処理開発協会(JIPDEC)は、約864万件の個人情報流出事件が発生した大日本印刷に対して「改善要請」の処分を行った。今回行った「改善要請」は、認定取り消しに次いで重い処分となる。
大日本印刷において発生した事件では、43社から受託した約864万件が流出したほか、漏洩情報を悪用した詐欺事件など発生。今回の事件が発生した部門がプライバシーマーク認定部門だったことから、日本情報処理開発協会では3月22日にプライバシーマーク制度委員会を臨時開催して今回の処分を決定、翌23日に同社へ通知した。
同協会では、今回の事故について「プライバシーマーク制度の信頼を根底から揺るがす重大事故」としつつも認定取り消し処分は行わず、再発防止策の構築と運用状況の報告などを求め、監督指導を実施する「改善要請」処分とした。
今回の改善要請では、事故関連部門における個人情報取り扱いの臨時監査や事故原因の特定と対策の有効性の検証、有効ではない場合の対応策の検討ほかあわせて6項目の実施を求め、6カ月の観察期間内に適切な運用が確認されない場合に認定を取り消すという。
プライバシーマーク制度において、運営要領において欠格条項に「申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者」と従来より定めていたが、個人情報漏洩事故を積極的に公表する事業者が増えたことを受け、2006年3月に改訂し、別途基準を設けて欠格を判断している。
判断基準では、発生した事象や原因を5段階で評価。被害や社会的影響、同制度への影響により+2から?1、事故の対応状況により+1あるいは?1と基準を補正した上で、欠格レベルが5を超えると認定の取り消しとなる。またそれ以下の場合も「勧告・改善要請」「厳重注意」「注意」「処分なし」など処分を定めている。
同協会が処分を行った事例としては、2006年7月にWinny経由の個人情報漏洩事故が発覚したインテックに対して同年9月に改善要請を行っているが、今まで認定取り消しとなったケースはない。
プライバシーマーク制度は、企業においてJIS Q 15001のマネジメントシステムに適合した個人情報保護を実施しているか民間の指定機関が審査、認証する制度。認定されるとプライバシーマークなどを表示することができる。
個人情報保護法が完全施行される以前となる2004年11月に認定事業者が1000社を突破。個人情報保護法が施行されて以降、認定事業者が増加し、2006年9月に5000社を突破。3月23日現在、プライバシーマーク認定事業者は7136社に達している。
(Security NEXT - 2007/03/23 )
ツイート
PR
関連記事
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
