プライバシーマーク認証団体の情報漏洩問題。NASで誤公開、3種類のランサムウェア被害形跡 28
ストーリー by nagazou
漏洩 部門より
漏洩 部門より
8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会(JIPDEC)が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた(JIPDEC発表、ITmedia、日経クロステック)。
その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。
その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。
自分たちの足元から (スコア:2)
まずは、自分たちの組織にプライバシーマークを取得して。
社員教育をしてから出直して来て...
そもそもこのマークが何のためにあるのかも、もうわからない。
Re: (スコア:0)
>そもそもこのマークが何のためにあるのかも、もうわからない。
天下り確保用?
2021年度の事故等報告件数
https://privacymark.jp/news/other/2022/1007.html [privacymark.jp]
2021年度は、1,045社の付与事業者より3,048件の事故報告があり、2020年度と比較すると、報告事業者数、事故報告件数ともに増加となりました。(2020年度:報告事業者数939社、事故報告件数2,644件)
2021年度末時点の付与事業者数に占める事故報告事業者の割合は6.2%となり、2020年度に比べ増加しています。(2020年度:5.6%)
>1,045社の付与事業
Re: (スコア:0)
そもそも「個人所有PCでの審査」や「今後は貸与されたPCのみを利用」ってのが非常に怖いんだけど。
結局のところデータは個人の支配下にあるわけでしょ。
NASへの保存が禁止されてしまったのでこっそりクラウドへ保存することにしましたとかなりそう。
こんな杜撰な組織が何を認定できるって? (スコア:1)
Re: (スコア:0)
元々は情報処理技術者試験も受け持ってたみたいだけど
その手の業務はIPAに持っていかれて今はPマーク認定を行うだけの実質天下り用団体だな。
Pマーク認定もIPAに任せた方が使い出が出るんじゃ無いか?
Re: (スコア:0)
>プライバシー対策してますよ感を出す
>もしものときの言い訳用
あほだな。それが大事なんだよ。
対策はしてるがしてますよ感を出してない会社とノーガードの会社を見分けるコストなんて負いたくないから、
最低限、第三者による審査には通ってるという妥協点がプライバシーマーク。
審査員も面談で話してりゃ分かるが、情報セキュリティマネジメント寄りで、技術的な面では素人に毛が生えた程度だし。
Re:こんな杜撰な組織が何を認定できるって? (スコア:1)
>対策はしてるがしてますよ感を出してない会社とノーガードの会社を見分けるコストなんて負いたくないから
運営元からしてほぼノーガードみたいな
>2021年度は、1,045社の付与事業者より3,048件の事故報告があり
Re: (スコア:0)
協力会社や取引先の状況調べたりした経験ないんやろなぁ。
おまえら審査に夢見すぎと言うか、アンチウイルスも入れてないし主管する部署も無く社員教育もなんもやってないガチのノーガードの会社がどんだけあると思ってんのよ。
少なくともそんなのは審査は通らんよ。
Re: (スコア:0)
> アンチウイルスも入れてないし
Windows Defender ウイルス対策はダメなの?
Re: (スコア:0)
お金払う等の何かの努力をしてますよというポーズが取れないからダメ
Re: (スコア:0)
失礼な、ランサムウェア製造者にきちんとお金払って対策してますよ!
Re: (スコア:0)
少なくとも報告書を書くという仕事はちゃんとやってるってマークだろ
Re: (スコア:0)
プライバシー界のモンドセレクションやな。
認定を剥奪するとよい (スコア:0)
取得したプライバシーマークの認証をはく奪して初めからやり直させる。
何回かはく奪させれば社内でも規制が厳しくなるでしょ
3回しくじったら二度と取れないように規定を設けるとさらに良い
会社名が変わるかもしれませんが
Re: (スコア:0)
法人番号と紐付けたらいいんじゃないかな。
なんとまぁ (スコア:0)
>審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかった
審査員様は、ご自分のガバガバさは審査できないらしい。
管理体制の認証 (スコア:0)
この手の認証は、管理体制を認証するものであって、結果を担保するものではないでしょ?
・きちんと管理してたのに漏れてしまった → 認証的には問題なし
・きちんと管理してなかったけれど漏れなかった → 認証的には問題あり
Re: (スコア:0)
「JIPDECでは事前許可を取れば、個人所有PCでのPマーク審査の一部業務を行うことを認めていた」んだから、管理体制の問題でしょう。
そもそもの信用が無くなっていた (スコア:0)
大日本印刷等、プライバシーマーク取得事業者は
過去に何百社も情報漏洩事故を起こしている。
そして今回の不祥事。
結局、JIPDECの情報漏洩を管理する技術やノウハウは
低レベルであったということがあらためてあらわになっただけですね。
Re: (スコア:0)
事業者の認可だの免許だの資格だのってそういうレベルのもんだよ。プライバシーマークだけ目の敵にする風潮はよく分からない。
Re: (スコア:0)
SDGs、低排出ガス車、EV、フェアトレード、エコマーク、ベルマーク、グリーンマーク、PEFC森林制度、全部そう。意味なく金払ってロゴやシール貼るのが仕事。全部大嫌い。
Re: (スコア:0)
ISOなんちゃらが仲間になりたそうに見ています
Re: (スコア:0)
この世の中で社会の要請に応えながら仕事をして生きていくなら好き嫌いは言ってられないと思うよ
仕組みをこう変えてほしい その方が社会が良くなる なら判るけどね
Re: (スコア:0)
言えますよ。上げられているものを避けても生活できますし。
行動を押さえつけるような制度はやりたい人だけがやればいいんですよ。
法律で強制されてもいない社会の要請を真面目に守っても、守ってない競合がその費用分安い商品を出してきたら会社はおしまいです。
社会の要請では温暖化は止まりませんよ。
Re: (スコア:0)
守ってない競合がその費用分安い商品を出してきたら
そういうところとの取引を避けるための仕組みなんだよ。
B2Bでそれなりの金が動く話は安けりゃ勝てるなんてほど甘くない。
リスクヘッジという言葉を学び直した方がいいかと。
Re: (スコア:0)
アピリッツがプライバシーマークとっとるやんけ
Re: (スコア:0)
それはあなた個人にとって意味が無いだけでしょ。
社会の認可全般についての話なのに、あなたが嫌いなものだけ例示するのはどうなの。
情報漏洩しても不正利用の報告がなければ問題無いみたいな風潮 (スコア:0)
情報漏洩しても不正利用の報告がなければ問題無いみたいな風潮
情報漏洩された側は不快なんだが、見られても減るものじゃ無いからヘーキヘーキ理論が通じるならおパンツだって風呂だって覗き見放題だわ。