パスワードを忘れた? アカウント作成
293307 story
セキュリティ

プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) 58

ストーリー by hylom
謹慎二ヶ月間 部門より

あるAnonymous Coward 曰く、

セキュリティホールメモで知ったのだが、三菱電機インフォメーションシステムズ(MDIS)のプライバシーマークが一時停止されたようだ(プライバシーマーク認定の一時停止について三菱電機インフォメーションシステムズ株式会社に対するプライバシーマーク付与認定の一時停止措置について[PDF])。

「同社が開発した図書館システムのマスターデータに図書館利用者の個人情報が含まれ(中略)合計約3,000人分の個人情報が漏えいした。このことにより、図書館利用者を始め関係する自治体及び住民の間に不安を与えるとともに、プライバシーマーク制度に対する信頼を傷つけるところとなった」のが理由とのこと。

平成23年1月24日から平成23年3月23日までの間、プライバシーマーク付与認定を一時停止する措置が行われるという事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければプライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by bewon (36083) on 2011年01月26日 19時16分 (#1893884) 日記

    MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。
    (03)の部分が審査クリア回数(認定取得の審査を含む)を指します。
    2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。

    MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前)

    プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。
    そして処分が決定したのが2011年1月25日。
    プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。

    >> という事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。
    MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。
    認定機関(JISA)のフットワークが重いって批判ならまだしも・・・。
    # 事件が起きる前に不適合を発見するのが望ましいですけどね。

    あと、JISAはプライバシーマーク運用から初めてマーク取り消しの処分を決定した認定機関です。
    しっかりした認定機関ってイメージがあるのは私だけじゃないのでは。

    • by Anonymous Coward on 2011年01月26日 19時34分 (#1893895)
      プライバシーマークの信頼性なんて、大日本印刷が800万件以上の
      個人情報漏えいをしたときに業務に支障があるという理由で
      取り消しにならなかった時点で失われたと思う。
      親コメント
      • by Anonymous Coward on 2011年01月27日 0時25分 (#1894009)
        Pマークを取ろうとしたIT企業の中にいたら、それの無意味さがよく判る
        ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり

        セキュリティを担保する設計や運用の話とか何もしないのね
        親コメント
        • by Anonymous Coward on 2011年01月27日 2時54分 (#1894027)
          > セキュリティを担保する設計や運用の話とか何もしないのね
          運用に関しては監査の際に説明するまたは質問をうけます。
          うちの会社は中で開発しないので、主に社員の情報をどのように管理しているか、情報を格納しているサーバーをどのように管理してるか、
          ログやバックアップの運用など、質問にあがります。

          監査自体はそこまで細かくみない(サーバーの中身みせろよとか、バックアップから復元してみろとかは言われない)ので
          きちんと資料作ってあって、サーバーもきちんと管理してPDCAも回してますよって体で監査員を納得させられれば実態は適当でも更新はできてしまうかもしれませんね。

          あと、監査員のあたりはずれもあると思います。
          親コメント
        • by Anonymous Coward
          > Pマークを取ろうとしたIT企業の中にいたら、それの無意味さがよく判る
          > ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり

          ウチもそんなんだったら楽だったんですが・・・トップから情報セキュリティ管理部門までキッチリしている人が多くて何かと大変です。
          いや、社員もキッチリしているので大枠で問題ないのですが、そうでない人にとっては大変です。
      • >業務に支障があるという理由で
        取り消しにならなかった時点で失われたと思う。

        憶測記事しか読んだことないのですが、これって確定なんでしたっけ?

        まぁ日経だから正しいに違いないという考え方の人もいるのかもしれませんが…

        親コメント
      • by Anonymous Coward
        あのとき「これで改善されるからもう問題ありません(キリッ」とか言ってた人たちドコー?
        • by Anonymous Coward

          こういうのこそ事業仕分けで廃止されるべきだよなあ。

      • by Anonymous Coward

        こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。

        • by Anonymous Coward on 2011年01月27日 2時35分 (#1894026)
          > こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。

          こんなマークも取れないところは信頼できない。って言われる可能性があるんで取らざるを得ないんですよ。
          親コメント
          • by Anonymous Coward on 2011年01月27日 6時29分 (#1894041)

            > こんなマークも取れないところは信頼できない。って言われる可能性があるんで
            > 取らざるを得ないんですよ。

            御意。結局こういうものって、素人に対する虚仮威しですから。

            親コメント
            • by Anonymous Coward on 2011年01月27日 6時53分 (#1894044)

              素人がどうとか関係ないから。
              複数社で競合してるとき、他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
              これ単独ではたいしたことなさそうでも、あるとないとじゃ大違い。

              #むしろ「素人に対する虚仮威し」としか考えられないほうを敬遠したいね

              親コメント
              • by Anonymous Coward on 2011年01月27日 8時42分 (#1894056)

                その結果がこの有様じゃ、逆効果になりそうですけどね…。

                「費用の中には、こんな無意味な物の維持費用まで載せられてるんだなぁ」
                となります。

                親コメント
              • by Anonymous Coward

                > 他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
                プライバシーマークなんて無駄で有害なものの取得で金をドブに捨てていないところを選ぶわけですね。

              • by Anonymous Coward

                いや、この騒ぎで解るのは、
                「基準を満たしていない会社は取り消される」
                って事。
                逆に言えば、マークを付けている企業の信頼性は増えたって事だよ。

                実質の判断基準は兎も角、目立つ酷いのを排除すれば全体の信頼が上がるのは確かだしな。

              • by Anonymous Coward

                別コメントにあるように、取消ではなく一時停止のようです。

                しかもDNPの時の記事 [impress.co.jp]に、
                > 認定取消に次いで重い処分となる「改善要請」の処分を決定した。
                とあります。

                これが本当なら、今回の一時停止はどっから沸いて出たんでしょうか?
                火がついちゃったので、渋々停止処分を作ってお茶を濁してるようにしか見えません。

                そもそもマークを参考にするユーザーが、「マークは付いてるけど、過去に何かやらかしてないか」
                をチェックしなきゃいけない時点で、制度としては終わってるでしょう。

              • by Anonymous Coward

                認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
                重要なのは「現状でマズイ状態時には表示されていない」事です。
                だから今回の事で停止されるのは当たり前ですしそれ自体は問題無い対処ですよ。

                もっとチャッチャと早く対処するべきでは有ったけど、そのやり方自体には疑問も問題もありませんが。
                それとこの制度自体の信頼性は全く別の話だが、制度を制度足らしめるためにはこの方向で良いのは確か。
                というより、こうしないと沢山の意見の逆で信用性が落ちる訳ですが。

                私もこれは信用していないけどもどうもケチの付け方が疑問なのが多いな。
                どんな理想論通りの現実ばかりの世界に生きているのかが気に成るよ。

              • by Anonymous Coward

                その理屈だと問題発生後に無事更新の審査を通ったMDISに資格を一時停止する必要はないということになりますが。

    • by Anonymous Coward on 2011年01月26日 20時09分 (#1893914)

      MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。

      自分はタレコミ主じゃありやせんが、ちったあタレコミ文を読みましょうや。

      平成23年1月24日から平成23年3月23日までの間、プライバシーマーク付与認定を一時停止する措置が行われるという事だが、今回停止された認定は事件発覚後になされている。

      「処分」じゃなくて、「認定」ですぜ。
      こいつぁ、2010年12月17日に行われた更新認定のことを指しているんでしょ。

      第7 回プライバシーマーク審査会 結果報告 [jisa.or.jp][※PDF]

      2.更新認定(計24事業者)
        :
      11820285(04) 三菱電機インフォメーションシステムズ株式会社

      更新認定後一ヶ月そこそこで認定一時停止ってのは、クレームでも付いたんじゃないかと勘ぐっちまうってもんです。

      親コメント
  • by Anonymous Coward on 2011年01月26日 21時35分 (#1893948)

    > このことにより、図書館利用者を始め関係する自治体及び住民の間に不安を与えるとともに、プライバシーマーク制度に対する信頼を傷つけるところとなった」のが理由とのこと。

    そんなことはないのでしょうが、JISA の顔に泥を塗ったのが付与停止の主要な理由のように読めますね。

    > プライバシーマーク付与認定を一時停止する措置が行われる

    運用体制が改革できたなら再び審査を受けてもらえばいいのですし、認定取消でよいのではないですかね。
    2ヶ月程度で改善できるようならPマーク体制を維持できているのだから、あえて付与停止する必要もないわけで。
    年度が明ける前に禊ぎを済ませて新年度の営業に支障をきたさないようにとか、しょうもない事情が透けて見える気がします。

  • 既に年度末 (スコア:3, 参考になる)

    by Anonymous Coward on 2011年01月26日 22時45分 (#1893974)

    取引先の某社が談合で指名停止を受けたが、影響が少ないよう入札がほとんどない期間を選んでもらってた。
    MDISも、プライバシーマークが条件となるような大物案件の入札は終わっている。

    しょせん、こんなもんなのだろう。

    • by Technobose (6861) on 2011年01月26日 23時20分 (#1893985) 日記
      単純に認定の有無ではなくて、「過去一年間Pマークを認定されていたこと」などとすれば、
      小細工できなくなりますね。
      まあ、既にMDIS製品を使用している政府機関(自治体も含む)は更新などで困るでしょう
      から、そんな条件はつけないと思いますが。
      親コメント
  • 遅いも何も (スコア:1, 興味深い)

    by Anonymous Coward on 2011年01月26日 19時37分 (#1893896)

    誰も騒がなかったらしれっと更新するつもりだった [togetter.com]んだろ。
    ところで勘違いしてらっしゃる [togetter.com]とかほざいてた奴は当然これから不当な認定の一時停止を撤回させるためにJISAに勘違いを説教してくれるんですよね?

    • Re:遅いも何も (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2011年01月27日 9時25分 (#1894061)
      > ところで勘違いしてらっしゃるとかほざいてた奴は

      そうそう、それ読んでずーっと引っかかってたんだよね。
      彼は以下の様に書いてるんだけど、

      > むしろ事故が発見されたこと、協会に報告されたことはあるべき姿であって、
      > 発見できない、報告せずに隠蔽する、等が無いことが証明されてるのだから、
      > ある意味評価はプラスじゃないのかな。

      Librahack事件で外野が検証してなければ「発見できなかった」と思うし、
      あの騒動を見てた限りでは「報告せずに隠蔽」しようとしたと思う。
      実際、漏洩発覚後にクライアント側に状況を正しく報告してなかったり、
      説明無しに勝手にクライアントのサーバで作業した事(→証拠隠滅疑い)まであった。
      まさに『誰も騒がなかったらしれっと更新するつもりだった』としか思えない。

      プライバシーマーク擁護派は、現実の運用を見ずに
      財団法人日本情報処理開発協会の掲げる建前を鵜呑みにしてると思う。
      私は大日本印刷の騒動の時にはDNPグループからお仕事を頂く下請にいたけど、
      あの時の「再発防止」だって酷いもんだったよ。
      いつも下請ではなく自分のところで漏洩させていたにも関わらず、
      下請に(下請が自分でプライバシーマーク取得出来そうなほどの)管理ルールを強いて監査をし、
      その癖、自社からはそれまで通り精査せずに下流工程の必要範囲を超える顧客支給データを投げて来てた。(←本来ならばこの時点で情報漏洩)

      どっちが勘違いだ、って言うね。
      親コメント
      • by xan (25964) on 2011年01月28日 0時01分 (#1894507) 日記

        >プライバシーマーク擁護派は、現実の運用を見ずに
        >財団法人日本情報処理開発協会の掲げる建前を鵜呑みにしてると思う。

        よくわからんのですが、プライバシーマークより優れた方法があってそちらにすべきという話なのでしょうか。何もしないのが良いということではないんですよね?

        >どっちが勘違いだ、って言うね。

        ちなみに、良い解決策があるのでしょうか?批判・反対意見は解決策ではないってのはここ一年くらいで散々見てきたので個人的にはウンザリしてたり。マァ所詮素人意見だから良いっちゃ良いんでしょうが。

        親コメント
    • by Anonymous Coward on 2011年01月26日 21時58分 (#1893955)

      読んでみたけど、これ↓とか、すごいな

      > うわそうか http://www.jisa.or.jp/introduce/all_exective-j.html [jisa.or.jp]
      > MDISはJISAの東京A地区会代表幹事ですか

      何それズブズブですやん・・
      単なる大企業の仲良しグループやんw

      親コメント
      • by kujira090 (16707) on 2011年01月27日 3時58分 (#1894032) 日記

        よっぱらいの脳味噌で単純化したら、資格商法になったでござるの巻。

        #え、資格は持ってますよ。危険物取扱者丙種なら高校の時に・・

        --
        #壮大なストーリ。空転するアイディア。
        親コメント
        • by Anonymous Coward
          いろいろ応用できそうだよね。未開拓なジャンルに新しい××を導入するビジネス
      • by Anonymous Coward

        ISOもそうだけど、大企業の仲良しグループが認定グループを作って
        その仲良しグループからおこぼれを食べたいコバンザメ中小が
        中身なんてどうでもいいから認定を受けたがる、
        コンサルはそこにつけこんで超どーーーでもいいプログラムを売り込む、
        それが日本のこの手の業務の実態なんですな。

        • Re:遅いも何も (スコア:2, 参考になる)

          by xan (25964) on 2011年01月27日 8時00分 (#1894049) 日記

          >ISOもそうだけど、大企業の仲良しグループが認定グループを作って
          その仲良しグループからおこぼれを食べたいコバンザメ中小が

          品質ISOや環境ISOは自分に利益があるからやるもんだと思ってたんだけど、そうじゃない会社もあるんですねぇ。ちゃんと運用できなきゃ運用コストが無駄に発生するだけってのは確かにそのとおりですが。

          >それが日本のこの手の業務の実態なんですな。

          中身を理解せずにシステムだけ導入したがる傾向にあるってのはそうかも。

          親コメント
          • by Anonymous Coward
            > 品質ISOや環境ISOは自分に利益があるからやるもんだと思ってたんだけど

            中小企業の大半は、大手大企業が重視するから
            仕事取るためにしょうがなく取ってるだけでしょう。
            Pマークも同じ。

            単なる書類仕事と認定審査の人を接待すれば取れるわけですし。
            #前の派遣先の幹部役員が「今日はISOの人が来るから料亭で食事できる」みたいなこと言って喜んでてワロタ
            • by xan (25964) on 2011年01月28日 0時48分 (#1894518) 日記

              >単なる書類仕事と認定審査の人を接待すれば取れるわけですし。

              単なる書類仕事と認定審査の人の接待では、品質ISOも環境ISOも運用コストが嵩むだけで何の利益も生み出しませんけどね。その辺は他人事で何の保証もしてくれません>監査員。自分が損するだけです。

              仕事を取って採算を合わせてるんでしょうから、マァ良いんでしょうか。どういうコスト計算してるのか知りませんが。

              それにしても中小は本気でそんな受動的な思考回路なんですかね?今時ISO取得程度じゃ差別化にならんでしょうに。そうでもないのかな。

              >#前の派遣先の幹部役員が「今日はISOの人が来るから料亭で食事できる」みたいなこと言って喜んでてワロタ

              近年はそんな機会でもなければ料亭に行けないんでしょうねぇ…役員クラスでも。

              親コメント
            • by Anonymous Coward

              わたしの知っている品質ISOや環境ISOの審査員は、宿の確保から事業所へのタクシーや昼食、下手するとお茶まで自前でしたが。
              そういうのに結構厳しいみたいですよ。
              #審査機関によるのかもしれませんけど

        • by Anonymous Coward

          > その仲良しグループからおこぼれを食べたいコバンザメ中小が
          > 中身なんてどうでもいいから認定を受けたがる、
          えっ、大手が強制するので、渋々参加する中小から、いろんな名目で金や労力を吸い上げているんじゃないんですか?

      • by Anonymous Coward
        この役員の数なんなの ちょっと多すぎだろ~
  • by Anonymous Coward on 2011年01月27日 5時06分 (#1894038)
    CMMI レベル5 Pマーク ご冥福をお祈りします
    • by Anonymous Coward on 2011年01月27日 12時05分 (#1894143)

      入札要件に CMMI Level とか P マークとか指定されることがあるわけですが、
      その入札要件が不適切な参入障壁であると訴えることができそうですね。

      親コメント
    • by Anonymous Coward

      あら、CMMIレベル5持ちでしたか。
      これはたいへん参考になる情報ありがとうございます。

      そうか・・・Pマークなんてもともと権威はないから失墜しても影響ないけど、
      CMMIレベル5のブランドイメージの被害は甚大ですね。

  • by Anonymous Coward on 2011年01月27日 17時17分 (#1894299)
    「(Pマークのような)形だけの基準ではなく、実効性のあるセキュリティ対策を提案します」

    # 実話なのでAC
  • by Anonymous Coward on 2011年01月27日 9時58分 (#1894074)

    一度取ったらそのまま放置って方が圧倒的に信頼感は無いよ。
    産業のバックグラウンドとしての信頼の保証を目指すのであれば普段はマークが付いていて、問題発生時に停止されているってのが常態化するのが理想だと思うんだけど。

    それとも自分の所に登録した企業にミスは有りえないし有ってはいけないって思っている?
    だとしたらそりゃ、現実離れした典型的なお役所だな。
    現実を見据えたらミスは必ずある前提のはずなんだが、それを認める事すら出来ないって事だよ。

    • by Anonymous Coward

      事故はしかたないので、事故後にどういう対応をしたのかを追跡確認できるしくみがあるといいですね。

  • by Anonymous Coward on 2011年01月27日 11時31分 (#1894128)

    プライバシー管理の問題があったかどうかの履歴を示す意味でのプライバシーマークってどうでしょうか

    アイコンから過去の情報を調べられるデータベースにアクセスできるという簡単な仕組みです

    その企業が信頼できるかの判断基準になりますし、過去の問題を隠さないことで問題を起こさない気にもなりますよね

    アクセスした先で過去の情報が得られるほかにも、プライバシーの問題を告発できる窓口にもなっていれば、企業側が隠すのも難しくなります

    • by Anonymous Coward

      アイコンから過去の情報を調べられるデータベースにアクセスできるという簡単な仕組みです

      企業のプライバシーを漏洩するシステムなんて作る訳ないじゃないですか。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...