Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JIPDEC、Pマーク制度で大日本印刷に改善要請 - 取消には至らず

プライバシーマーク制度を運営する日本情報処理開発協会(JIPDEC)は、約864万件の個人情報流出事件が発生した大日本印刷に対して「改善要請」の処分を行った。今回行った「改善要請」は、認定取り消しに次いで重い処分となる。

大日本印刷において発生した事件では、43社から受託した約864万件が流出したほか、漏洩情報を悪用した詐欺事件など発生。今回の事件が発生した部門がプライバシーマーク認定部門だったことから、日本情報処理開発協会では3月22日にプライバシーマーク制度委員会を臨時開催して今回の処分を決定、翌23日に同社へ通知した。

同協会では、今回の事故について「プライバシーマーク制度の信頼を根底から揺るがす重大事故」としつつも認定取り消し処分は行わず、再発防止策の構築と運用状況の報告などを求め、監督指導を実施する「改善要請」処分とした。

今回の改善要請では、事故関連部門における個人情報取り扱いの臨時監査や事故原因の特定と対策の有効性の検証、有効ではない場合の対応策の検討ほかあわせて6項目の実施を求め、6カ月の観察期間内に適切な運用が確認されない場合に認定を取り消すという。

プライバシーマーク制度において、運営要領において欠格条項に「申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者」と従来より定めていたが、個人情報漏洩事故を積極的に公表する事業者が増えたことを受け、2006年3月に改訂し、別途基準を設けて欠格を判断している。

判断基準では、発生した事象や原因を5段階で評価。被害や社会的影響、同制度への影響により+2から?1、事故の対応状況により+1あるいは?1と基準を補正した上で、欠格レベルが5を超えると認定の取り消しとなる。またそれ以下の場合も「勧告・改善要請」「厳重注意」「注意」「処分なし」など処分を定めている。

同協会が処分を行った事例としては、2006年7月にWinny経由の個人情報漏洩事故が発覚したインテックに対して同年9月に改善要請を行っているが、今まで認定取り消しとなったケースはない。

プライバシーマーク制度は、企業においてJIS Q 15001のマネジメントシステムに適合した個人情報保護を実施しているか民間の指定機関が審査、認証する制度。認定されるとプライバシーマークなどを表示することができる。

個人情報保護法が完全施行される以前となる2004年11月に認定事業者が1000社を突破。個人情報保護法が施行されて以降、認定事業者が増加し、2006年9月に5000社を突破。3月23日現在、プライバシーマーク認定事業者は7136社に達している。

(Security NEXT - 2007/03/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

臨時特別給付金支給要件確認書168件に別人の口座情報 - 燕市
イベント案内メールを2回誤送信、メアド流出 - かわさき新産業創造センター
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
オンライン申込の確認画面に個人情報が誤表示 - 日本通信
セキュリティ総務大臣奨励賞の受賞者2名、2団体を発表 - 総務省
サポート終了した「Bitdefender BOX v1」のアップデート機能に脆弱性
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
「Apache NiFi」にMongoDB認証情報が漏洩する脆弱性 - アップデートで修正
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
「Junos OS」攻撃で複数マルウェア - マルウェア除去の実施を