プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) 58
ストーリー by hylom
謹慎二ヶ月間 部門より
謹慎二ヶ月間 部門より
あるAnonymous Coward 曰く、
セキュリティホールメモで知ったのだが、三菱電機インフォメーションシステムズ(MDIS)のプライバシーマークが一時停止されたようだ(プライバシーマーク認定の一時停止について、三菱電機インフォメーションシステムズ株式会社に対するプライバシーマーク付与認定の一時停止措置について[PDF])。
「同社が開発した図書館システムのマスターデータに図書館利用者の個人情報が含まれ(中略)合計約3,000人分の個人情報が漏えいした。このことにより、図書館利用者を始め関係する自治体及び住民の間に不安を与えるとともに、プライバシーマーク制度に対する信頼を傷つけるところとなった」のが理由とのこと。
平成23年1月24日から平成23年3月23日までの間、プライバシーマーク付与認定を一時停止する措置が行われるという事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければプライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。
「認定事業者の監査」とやらにツッコミ (スコア:3, 参考になる)
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。
(03)の部分が審査クリア回数(認定取得の審査を含む)を指します。
2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。
MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前)
プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。
そして処分が決定したのが2011年1月25日。
プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。
>> という事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。
MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。
認定機関(JISA)のフットワークが重いって批判ならまだしも・・・。
# 事件が起きる前に不適合を発見するのが望ましいですけどね。
あと、JISAはプライバシーマーク運用から初めてマーク取り消しの処分を決定した認定機関です。
しっかりした認定機関ってイメージがあるのは私だけじゃないのでは。
プライバシーマークの信頼性 (スコア:5, すばらしい洞察)
個人情報漏えいをしたときに業務に支障があるという理由で
取り消しにならなかった時点で失われたと思う。
Re:プライバシーマークの信頼性 (スコア:2, 興味深い)
ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり
セキュリティを担保する設計や運用の話とか何もしないのね
Re:プライバシーマークの信頼性 (スコア:2, 参考になる)
運用に関しては監査の際に説明するまたは質問をうけます。
うちの会社は中で開発しないので、主に社員の情報をどのように管理しているか、情報を格納しているサーバーをどのように管理してるか、
ログやバックアップの運用など、質問にあがります。
監査自体はそこまで細かくみない(サーバーの中身みせろよとか、バックアップから復元してみろとかは言われない)ので
きちんと資料作ってあって、サーバーもきちんと管理してPDCAも回してますよって体で監査員を納得させられれば実態は適当でも更新はできてしまうかもしれませんね。
あと、監査員のあたりはずれもあると思います。
Re:プライバシーマークの信頼性 (スコア:1, おもしろおかしい)
〉監査員のあたりはずれもあると思います。
厳しくチェックする監査員はハズレですよね。
Re: (スコア:0)
> ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり
ウチもそんなんだったら楽だったんですが・・・トップから情報セキュリティ管理部門までキッチリしている人が多くて何かと大変です。
いや、社員もキッチリしているので大枠で問題ないのですが、そうでない人にとっては大変です。
Re:プライバシーマークの信頼性 (スコア:1)
>業務に支障があるという理由で
取り消しにならなかった時点で失われたと思う。
憶測記事しか読んだことないのですが、これって確定なんでしたっけ?
まぁ日経だから正しいに違いないという考え方の人もいるのかもしれませんが…
Re: (スコア:0)
○ インキ野郎どもだ
Re: (スコア:0)
Re: (スコア:0)
こういうのこそ事業仕分けで廃止されるべきだよなあ。
Re: (スコア:0)
こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。
Re:プライバシーマークの信頼性 (スコア:2, すばらしい洞察)
こんなマークも取れないところは信頼できない。って言われる可能性があるんで取らざるを得ないんですよ。
Re:プライバシーマークの信頼性 (スコア:1, すばらしい洞察)
> こんなマークも取れないところは信頼できない。って言われる可能性があるんで
> 取らざるを得ないんですよ。
御意。結局こういうものって、素人に対する虚仮威しですから。
Re:プライバシーマークの信頼性 (スコア:2, 興味深い)
素人がどうとか関係ないから。
複数社で競合してるとき、他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
これ単独ではたいしたことなさそうでも、あるとないとじゃ大違い。
#むしろ「素人に対する虚仮威し」としか考えられないほうを敬遠したいね
Re:プライバシーマークの信頼性 (スコア:1, 興味深い)
その結果がこの有様じゃ、逆効果になりそうですけどね…。
「費用の中には、こんな無意味な物の維持費用まで載せられてるんだなぁ」
となります。
Re: (スコア:0)
> 他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
プライバシーマークなんて無駄で有害なものの取得で金をドブに捨てていないところを選ぶわけですね。
Re: (スコア:0)
いや、この騒ぎで解るのは、
「基準を満たしていない会社は取り消される」
って事。
逆に言えば、マークを付けている企業の信頼性は増えたって事だよ。
実質の判断基準は兎も角、目立つ酷いのを排除すれば全体の信頼が上がるのは確かだしな。
Re: (スコア:0)
別コメントにあるように、取消ではなく一時停止のようです。
しかもDNPの時の記事 [impress.co.jp]に、
> 認定取消に次いで重い処分となる「改善要請」の処分を決定した。
とあります。
これが本当なら、今回の一時停止はどっから沸いて出たんでしょうか?
火がついちゃったので、渋々停止処分を作ってお茶を濁してるようにしか見えません。
そもそもマークを参考にするユーザーが、「マークは付いてるけど、過去に何かやらかしてないか」
をチェックしなきゃいけない時点で、制度としては終わってるでしょう。
Re: (スコア:0)
認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
重要なのは「現状でマズイ状態時には表示されていない」事です。
だから今回の事で停止されるのは当たり前ですしそれ自体は問題無い対処ですよ。
もっとチャッチャと早く対処するべきでは有ったけど、そのやり方自体には疑問も問題もありませんが。
それとこの制度自体の信頼性は全く別の話だが、制度を制度足らしめるためにはこの方向で良いのは確か。
というより、こうしないと沢山の意見の逆で信用性が落ちる訳ですが。
私もこれは信用していないけどもどうもケチの付け方が疑問なのが多いな。
どんな理想論通りの現実ばかりの世界に生きているのかが気に成るよ。
Re: (スコア:0)
その理屈だと問題発生後に無事更新の審査を通ったMDISに資格を一時停止する必要はないということになりますが。
Re:「認定事業者の監査」とやらにツッコミ (スコア:2, 参考になる)
自分はタレコミ主じゃありやせんが、ちったあタレコミ文を読みましょうや。
「処分」じゃなくて、「認定」ですぜ。
こいつぁ、2010年12月17日に行われた更新認定のことを指しているんでしょ。
第7 回プライバシーマーク審査会 結果報告 [jisa.or.jp][※PDF]
更新認定後一ヶ月そこそこで認定一時停止ってのは、クレームでも付いたんじゃないかと勘ぐっちまうってもんです。
Re:「認定事業者の監査」とやらにツッコミ (スコア:1)
失礼しました。
ご指摘のとおり見逃してました。
>> 認定事業者の監査も行わなければ~~
って一文から、タレこみ主が「MDISが更新審査を受けていることを知らない」と思い込んでました。
もしや、"認定事業者"でなく、"認定機関"のことだろうか・・・。
Re:「認定事業者の監査」とやらにツッコミ (スコア:1, 参考になる)
更新認定直後に停止という無様な事態を引き起こしてしまった審査プロセス自体に問題があるのでしょう。
取消ではなく停止 (スコア:3, 興味深い)
> このことにより、図書館利用者を始め関係する自治体及び住民の間に不安を与えるとともに、プライバシーマーク制度に対する信頼を傷つけるところとなった」のが理由とのこと。
そんなことはないのでしょうが、JISA の顔に泥を塗ったのが付与停止の主要な理由のように読めますね。
> プライバシーマーク付与認定を一時停止する措置が行われる
運用体制が改革できたなら再び審査を受けてもらえばいいのですし、認定取消でよいのではないですかね。
2ヶ月程度で改善できるようならPマーク体制を維持できているのだから、あえて付与停止する必要もないわけで。
年度が明ける前に禊ぎを済ませて新年度の営業に支障をきたさないようにとか、しょうもない事情が透けて見える気がします。
既に年度末 (スコア:3, 参考になる)
取引先の某社が談合で指名停止を受けたが、影響が少ないよう入札がほとんどない期間を選んでもらってた。
MDISも、プライバシーマークが条件となるような大物案件の入札は終わっている。
しょせん、こんなもんなのだろう。
入札の条件に (スコア:1)
小細工できなくなりますね。
まあ、既にMDIS製品を使用している政府機関(自治体も含む)は更新などで困るでしょう
から、そんな条件はつけないと思いますが。
遅いも何も (スコア:1, 興味深い)
誰も騒がなかったらしれっと更新するつもりだった [togetter.com]んだろ。
ところで勘違いしてらっしゃる [togetter.com]とかほざいてた奴は当然これから不当な認定の一時停止を撤回させるためにJISAに勘違いを説教してくれるんですよね?
Re:遅いも何も (スコア:4, すばらしい洞察)
そうそう、それ読んでずーっと引っかかってたんだよね。
彼は以下の様に書いてるんだけど、
> むしろ事故が発見されたこと、協会に報告されたことはあるべき姿であって、
> 発見できない、報告せずに隠蔽する、等が無いことが証明されてるのだから、
> ある意味評価はプラスじゃないのかな。
Librahack事件で外野が検証してなければ「発見できなかった」と思うし、
あの騒動を見てた限りでは「報告せずに隠蔽」しようとしたと思う。
実際、漏洩発覚後にクライアント側に状況を正しく報告してなかったり、
説明無しに勝手にクライアントのサーバで作業した事(→証拠隠滅疑い)まであった。
まさに『誰も騒がなかったらしれっと更新するつもりだった』としか思えない。
プライバシーマーク擁護派は、現実の運用を見ずに
財団法人日本情報処理開発協会の掲げる建前を鵜呑みにしてると思う。
私は大日本印刷の騒動の時にはDNPグループからお仕事を頂く下請にいたけど、
あの時の「再発防止」だって酷いもんだったよ。
いつも下請ではなく自分のところで漏洩させていたにも関わらず、
下請に(下請が自分でプライバシーマーク取得出来そうなほどの)管理ルールを強いて監査をし、
その癖、自社からはそれまで通り精査せずに下流工程の必要範囲を超える顧客支給データを投げて来てた。(←本来ならばこの時点で情報漏洩)
どっちが勘違いだ、って言うね。
Re:遅いも何も (スコア:1)
>プライバシーマーク擁護派は、現実の運用を見ずに
>財団法人日本情報処理開発協会の掲げる建前を鵜呑みにしてると思う。
よくわからんのですが、プライバシーマークより優れた方法があってそちらにすべきという話なのでしょうか。何もしないのが良いということではないんですよね?
>どっちが勘違いだ、って言うね。
ちなみに、良い解決策があるのでしょうか?批判・反対意見は解決策ではないってのはここ一年くらいで散々見てきたので個人的にはウンザリしてたり。マァ所詮素人意見だから良いっちゃ良いんでしょうが。
Re:これも分かってるフリか (スコア:1)
>現状で、一部の企業の仲良しクラブに成り下がっている私的認定制度を、
>個人情報保護と言う公的なミッションの前提とみなす必要は全く無いわけで...
Pマークが品質ISOなどと同様なモノだということであれば、そもそもそこまで神聖視すべきもんじゃないだろう、というのが私の感覚ですね。なので、同意見です。
まぁ大企業の従業員でもどーしようもないのもいますし、底上げ程度にはなるんじゃないかと思いますが。
>実際、プライバシーマーク制度を抜けて自前の管理体制でやってる企業もあるでしょ?
それで良いんじゃないでしょうか。
Re:遅いも何も (スコア:3, 興味深い)
読んでみたけど、これ↓とか、すごいな
> うわそうか http://www.jisa.or.jp/introduce/all_exective-j.html [jisa.or.jp]
> MDISはJISAの東京A地区会代表幹事ですか
何それズブズブですやん・・
単なる大企業の仲良しグループやんw
Re:遅いも何も (スコア:1)
よっぱらいの脳味噌で単純化したら、資格商法になったでござるの巻。
#え、資格は持ってますよ。危険物取扱者丙種なら高校の時に・・
#壮大なストーリ。空転するアイディア。
Re: (スコア:0)
Re: (スコア:0)
ISOもそうだけど、大企業の仲良しグループが認定グループを作って
その仲良しグループからおこぼれを食べたいコバンザメ中小が
中身なんてどうでもいいから認定を受けたがる、
コンサルはそこにつけこんで超どーーーでもいいプログラムを売り込む、
それが日本のこの手の業務の実態なんですな。
Re:遅いも何も (スコア:2, 参考になる)
>ISOもそうだけど、大企業の仲良しグループが認定グループを作って
その仲良しグループからおこぼれを食べたいコバンザメ中小が
品質ISOや環境ISOは自分に利益があるからやるもんだと思ってたんだけど、そうじゃない会社もあるんですねぇ。ちゃんと運用できなきゃ運用コストが無駄に発生するだけってのは確かにそのとおりですが。
>それが日本のこの手の業務の実態なんですな。
中身を理解せずにシステムだけ導入したがる傾向にあるってのはそうかも。
Re: (スコア:0)
中小企業の大半は、大手大企業が重視するから
仕事取るためにしょうがなく取ってるだけでしょう。
Pマークも同じ。
単なる書類仕事と認定審査の人を接待すれば取れるわけですし。
#前の派遣先の幹部役員が「今日はISOの人が来るから料亭で食事できる」みたいなこと言って喜んでてワロタ
Re:遅いも何も (スコア:1)
>単なる書類仕事と認定審査の人を接待すれば取れるわけですし。
単なる書類仕事と認定審査の人の接待では、品質ISOも環境ISOも運用コストが嵩むだけで何の利益も生み出しませんけどね。その辺は他人事で何の保証もしてくれません>監査員。自分が損するだけです。
仕事を取って採算を合わせてるんでしょうから、マァ良いんでしょうか。どういうコスト計算してるのか知りませんが。
それにしても中小は本気でそんな受動的な思考回路なんですかね?今時ISO取得程度じゃ差別化にならんでしょうに。そうでもないのかな。
>#前の派遣先の幹部役員が「今日はISOの人が来るから料亭で食事できる」みたいなこと言って喜んでてワロタ
近年はそんな機会でもなければ料亭に行けないんでしょうねぇ…役員クラスでも。
Re: (スコア:0)
わたしの知っている品質ISOや環境ISOの審査員は、宿の確保から事業所へのタクシーや昼食、下手するとお茶まで自前でしたが。
そういうのに結構厳しいみたいですよ。
#審査機関によるのかもしれませんけど
Re: (スコア:0)
> その仲良しグループからおこぼれを食べたいコバンザメ中小が
> 中身なんてどうでもいいから認定を受けたがる、
えっ、大手が強制するので、渋々参加する中小から、いろんな名目で金や労力を吸い上げているんじゃないんですか?
Re: (スコア:0)
MDISの破壊力は半端ない (スコア:1, 参考になる)
Re:MDISの破壊力は半端ない (スコア:1, 興味深い)
入札要件に CMMI Level とか P マークとか指定されることがあるわけですが、
その入札要件が不適切な参入障壁であると訴えることができそうですね。
Re: (スコア:0)
あら、CMMIレベル5持ちでしたか。
これはたいへん参考になる情報ありがとうございます。
そうか・・・Pマークなんてもともと権威はないから失墜しても影響ないけど、
CMMIレベル5のブランドイメージの被害は甚大ですね。
セキュリティベンダーの売り文句 (スコア:1, 興味深い)
# 実話なのでAC
信頼を傷つける? (スコア:0)
一度取ったらそのまま放置って方が圧倒的に信頼感は無いよ。
産業のバックグラウンドとしての信頼の保証を目指すのであれば普段はマークが付いていて、問題発生時に停止されているってのが常態化するのが理想だと思うんだけど。
それとも自分の所に登録した企業にミスは有りえないし有ってはいけないって思っている?
だとしたらそりゃ、現実離れした典型的なお役所だな。
現実を見据えたらミスは必ずある前提のはずなんだが、それを認める事すら出来ないって事だよ。
Re: (スコア:0)
事故はしかたないので、事故後にどういう対応をしたのかを追跡確認できるしくみがあるといいですね。
プライバシー問題の履歴 (スコア:0)
プライバシー管理の問題があったかどうかの履歴を示す意味でのプライバシーマークってどうでしょうか
アイコンから過去の情報を調べられるデータベースにアクセスできるという簡単な仕組みです
その企業が信頼できるかの判断基準になりますし、過去の問題を隠さないことで問題を起こさない気にもなりますよね
アクセスした先で過去の情報が得られるほかにも、プライバシーの問題を告発できる窓口にもなっていれば、企業側が隠すのも難しくなります
Re: (スコア:0)
企業のプライバシーを漏洩するシステムなんて作る訳ないじゃないですか。
Re: (スコア:0)
自嘲乙w
Re: (スコア:0)
SOX、ISMS、ISO etc.etc...
「ルールに従って業務を行えば信用につながります」
「ルールに従っていることを監査してマーキングします」
「監査は定期的にね」
って、まさに。
IT系ベンダー資格もそうですよね。
1-3年で更新必要なのとか。