パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ)」記事へのコメント

  • MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。
    (03)の部分が審査クリア回数(認定取得の審査を含む)を指します。
    2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。

    MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前)

    プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告した

    • by Anonymous Coward on 2011年01月26日 19時34分 (#1893895)
      プライバシーマークの信頼性なんて、大日本印刷が800万件以上の
      個人情報漏えいをしたときに業務に支障があるという理由で
      取り消しにならなかった時点で失われたと思う。
      親コメント
      • by Anonymous Coward on 2011年01月27日 0時25分 (#1894009)
        Pマークを取ろうとしたIT企業の中にいたら、それの無意味さがよく判る
        ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり

        セキュリティを担保する設計や運用の話とか何もしないのね
        親コメント
        • by Anonymous Coward on 2011年01月27日 2時54分 (#1894027)
          > セキュリティを担保する設計や運用の話とか何もしないのね
          運用に関しては監査の際に説明するまたは質問をうけます。
          うちの会社は中で開発しないので、主に社員の情報をどのように管理しているか、情報を格納しているサーバーをどのように管理してるか、
          ログやバックアップの運用など、質問にあがります。

          監査自体はそこまで細かくみない(サーバーの中身みせろよとか、バックアップから復元してみろとかは言われない)ので
          きちんと資料作ってあって、サーバーもきちんと管理してPDCAも回してますよって体で監査員を納得させられれば実態は適当でも更新はできてしまうかもしれませんね。

          あと、監査員のあたりはずれもあると思います。
          親コメント
        • by Anonymous Coward
          > Pマークを取ろうとしたIT企業の中にいたら、それの無意味さがよく判る
          > ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり

          ウチもそんなんだったら楽だったんですが・・・トップから情報セキュリティ管理部門までキッチリしている人が多くて何かと大変です。
          いや、社員もキッチリしているので大枠で問題ないのですが、そうでない人にとっては大変です。
      • >業務に支障があるという理由で
        取り消しにならなかった時点で失われたと思う。

        憶測記事しか読んだことないのですが、これって確定なんでしたっけ?

        まぁ日経だから正しいに違いないという考え方の人もいるのかもしれませんが…

        親コメント
      • by Anonymous Coward
        あのとき「これで改善されるからもう問題ありません(キリッ」とか言ってた人たちドコー?
        • by Anonymous Coward

          こういうのこそ事業仕分けで廃止されるべきだよなあ。

      • by Anonymous Coward

        こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。

        • by Anonymous Coward on 2011年01月27日 2時35分 (#1894026)
          > こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。

          こんなマークも取れないところは信頼できない。って言われる可能性があるんで取らざるを得ないんですよ。
          親コメント
          • by Anonymous Coward on 2011年01月27日 6時29分 (#1894041)

            > こんなマークも取れないところは信頼できない。って言われる可能性があるんで
            > 取らざるを得ないんですよ。

            御意。結局こういうものって、素人に対する虚仮威しですから。

            親コメント
            • by Anonymous Coward on 2011年01月27日 6時53分 (#1894044)

              素人がどうとか関係ないから。
              複数社で競合してるとき、他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
              これ単独ではたいしたことなさそうでも、あるとないとじゃ大違い。

              #むしろ「素人に対する虚仮威し」としか考えられないほうを敬遠したいね

              親コメント
              • by Anonymous Coward on 2011年01月27日 8時42分 (#1894056)

                その結果がこの有様じゃ、逆効果になりそうですけどね…。

                「費用の中には、こんな無意味な物の維持費用まで載せられてるんだなぁ」
                となります。

                親コメント
              • by Anonymous Coward

                いやいや。「他の条件がほぼ同じで」どころか、他の条件を精査する前に、まずそういうデコレーションを見る所も多いでしょ。てか、そういう所は他の条件を精査する事が出来るかどうかはアヤシイからデコレーションに頼る訳ですよ。その意味でプライバシーマークとか他の認証は意味がある、特にシロウトさんには、って話ですね。

              • by Anonymous Coward

                > 他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
                プライバシーマークなんて無駄で有害なものの取得で金をドブに捨てていないところを選ぶわけですね。

              • by Anonymous Coward

                いや、この騒ぎで解るのは、
                「基準を満たしていない会社は取り消される」
                って事。
                逆に言えば、マークを付けている企業の信頼性は増えたって事だよ。

                実質の判断基準は兎も角、目立つ酷いのを排除すれば全体の信頼が上がるのは確かだしな。

              • by Anonymous Coward

                別コメントにあるように、取消ではなく一時停止のようです。

                しかもDNPの時の記事 [impress.co.jp]に、
                > 認定取消に次いで重い処分となる「改善要請」の処分を決定した。
                とあります。

                これが本当なら、今回の一時停止はどっから沸いて出たんでしょうか?
                火がついちゃったので、渋々停止処分を作ってお茶を濁してるようにしか見えません。

                そもそもマークを参考にするユーザーが、「マークは付いてるけど、過去に何かやらかしてないか」
                をチェックしなきゃいけない時点で、制度としては終わってるでしょう。

              • by Anonymous Coward

                認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
                重要なのは「現状でマズイ状態時には表示されていない」事です。
                だから今回の事で停止されるのは当たり前ですしそれ自体は問題無い対処ですよ。

                もっとチャッチャと早く対処するべきでは有ったけど、そのやり方自体には疑問も問題もありませんが。
                それとこの制度自体の信頼性は全く別の話だが、制度を制度足らしめるためにはこの方向で良いのは確か。
                というより、こうしないと沢山の意見の逆で信用性が落ちる訳ですが。

                私もこれは信用していないけどもどうもケチの付け方が疑問なのが多いな。
                どんな理想論通りの現実ばかりの世界に生きているのかが気に成るよ。

              • by Anonymous Coward

                その理屈だと問題発生後に無事更新の審査を通ったMDISに資格を一時停止する必要はないということになりますが。

              • by Anonymous Coward

                > 認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。

                ですかねえ。現在の安全性も保証しないと思いますがねえ。保証するのはチェックリストをクリアしたことだけで、チェックリストのクリアが実態に即しているかは保証の限りではないでしょう。

                # 監査したところが何かやらかしたら、監査人が皇居前でハラキリとかだったら、
                # 少なくとも監査人は監査に命を張っているんだと言うことは解りますが。

      • by Anonymous Coward

        >業務に支障があるという理由で取り消しにならなかった

        なんかこの投稿だけを鵜呑みにすると、当時の状況理解してない人が
        誤解まっしぐら(特にtwitterだけ見る人とかw)の気がするので、
        一応補足しておくと

        「大日本印刷の業務に支障をきたす」ためではなく
        「大日本印刷の顧客の業務に支障をきたす」ため

        の判断じゃないかと言われていたのを記憶しています。
        数億の帳票を出力してる企業が停止したら、顧客企業のみならず
        日本経済が大混乱になるのは目に見えてましたからね。

        #そして、規模的にそれをまかなえる他の企業は存在しないという。

        Pマークの意義は「何か起きた場合に速やかに是正措置を計る」
        ということも含まれているので、その部分がきちんと働いたか
        働かなかったか、というのがMDISとの処分の差だと思います。

        #規模はどうでもいいんですよ。1件だろうが全国民だろうが流出は流出w

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...