パスワードを忘れた? アカウント作成
18420899 story
プライバシ

プライバシーマーク認証団体の情報漏洩問題。NASで誤公開、3種類のランサムウェア被害形跡 28

ストーリー by nagazou
漏洩 部門より
8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会(JIPDEC)が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた(JIPDEC発表ITmedia日経クロステック)。

その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jizou (5538) on 2023年11月16日 15時20分 (#4565058) 日記

    まずは、自分たちの組織にプライバシーマークを取得して。
    社員教育をしてから出直して来て...

    そもそもこのマークが何のためにあるのかも、もうわからない。

    • by Anonymous Coward

      >そもそもこのマークが何のためにあるのかも、もうわからない。

      天下り確保用?

      2021年度の事故等報告件数
      https://privacymark.jp/news/other/2022/1007.html [privacymark.jp]

      2021年度は、1,045社の付与事業者より3,048件の事故報告があり、2020年度と比較すると、報告事業者数、事故報告件数ともに増加となりました。(2020年度:報告事業者数939社、事故報告件数2,644件)
      2021年度末時点の付与事業者数に占める事故報告事業者の割合は6.2%となり、2020年度に比べ増加しています。(2020年度:5.6%)

      >1,045社の付与事業

      • by Anonymous Coward

        そもそも「個人所有PCでの審査」や「今後は貸与されたPCのみを利用」ってのが非常に怖いんだけど。
        結局のところデータは個人の支配下にあるわけでしょ。
        NASへの保存が禁止されてしまったのでこっそりクラウドへ保存することにしましたとかなりそう。

  • ちゃんとプライバシー対策してますよ感を出すためだけの認定。もしものときの言い訳用のためだけに存在する組織
    • by Anonymous Coward

      元々は情報処理技術者試験も受け持ってたみたいだけど
      その手の業務はIPAに持っていかれて今はPマーク認定を行うだけの実質天下り用団体だな。
      Pマーク認定もIPAに任せた方が使い出が出るんじゃ無いか?

    • by Anonymous Coward

      >プライバシー対策してますよ感を出す
      >もしものときの言い訳用
      あほだな。それが大事なんだよ。
      対策はしてるがしてますよ感を出してない会社とノーガードの会社を見分けるコストなんて負いたくないから、
      最低限、第三者による審査には通ってるという妥協点がプライバシーマーク。

      審査員も面談で話してりゃ分かるが、情報セキュリティマネジメント寄りで、技術的な面では素人に毛が生えた程度だし。

      • >対策はしてるがしてますよ感を出してない会社とノーガードの会社を見分けるコストなんて負いたくないから

        運営元からしてほぼノーガードみたいな

        >2021年度は、1,045社の付与事業者より3,048件の事故報告があり

        親コメント
        • by Anonymous Coward

          協力会社や取引先の状況調べたりした経験ないんやろなぁ。
          おまえら審査に夢見すぎと言うか、アンチウイルスも入れてないし主管する部署も無く社員教育もなんもやってないガチのノーガードの会社がどんだけあると思ってんのよ。
          少なくともそんなのは審査は通らんよ。

          • by Anonymous Coward

            > アンチウイルスも入れてないし

            Windows Defender ウイルス対策はダメなの?

            • by Anonymous Coward

              お金払う等の何かの努力をしてますよというポーズが取れないからダメ

              • by Anonymous Coward

                失礼な、ランサムウェア製造者にきちんとお金払って対策してますよ!

        • by Anonymous Coward
          ノーガードだったら報告すら出ないで気づかないうちに流出してる
          少なくとも報告書を書くという仕事はちゃんとやってるってマークだろ
      • by Anonymous Coward

        プライバシー界のモンドセレクションやな。

  • by Anonymous Coward on 2023年11月16日 15時41分 (#4565075)

    取得したプライバシーマークの認証をはく奪して初めからやり直させる。
    何回かはく奪させれば社内でも規制が厳しくなるでしょ

    3回しくじったら二度と取れないように規定を設けるとさらに良い
    会社名が変わるかもしれませんが

    • by Anonymous Coward

      法人番号と紐付けたらいいんじゃないかな。

  • by Anonymous Coward on 2023年11月16日 15時42分 (#4565077)

    >審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかった

    審査員様は、ご自分のガバガバさは審査できないらしい。

  • by Anonymous Coward on 2023年11月16日 15時43分 (#4565078)

    この手の認証は、管理体制を認証するものであって、結果を担保するものではないでしょ?

    ・きちんと管理してたのに漏れてしまった → 認証的には問題なし
    ・きちんと管理してなかったけれど漏れなかった → 認証的には問題あり

    • by Anonymous Coward

      「JIPDECでは事前許可を取れば、個人所有PCでのPマーク審査の一部業務を行うことを認めていた」んだから、管理体制の問題でしょう。

  • by Anonymous Coward on 2023年11月16日 16時16分 (#4565098)

    大日本印刷等、プライバシーマーク取得事業者は
    過去に何百社も情報漏洩事故を起こしている。
    そして今回の不祥事。
    結局、JIPDECの情報漏洩を管理する技術やノウハウは
    低レベルであったということがあらためてあらわになっただけですね。

    • by Anonymous Coward

      事業者の認可だの免許だの資格だのってそういうレベルのもんだよ。プライバシーマークだけ目の敵にする風潮はよく分からない。

      • by Anonymous Coward

        SDGs、低排出ガス車、EV、フェアトレード、エコマーク、ベルマーク、グリーンマーク、PEFC森林制度、全部そう。意味なく金払ってロゴやシール貼るのが仕事。全部大嫌い。

        • by Anonymous Coward

          ISOなんちゃらが仲間になりたそうに見ています

        • by Anonymous Coward

          この世の中で社会の要請に応えながら仕事をして生きていくなら好き嫌いは言ってられないと思うよ
          仕組みをこう変えてほしい その方が社会が良くなる なら判るけどね

          • by Anonymous Coward

            言えますよ。上げられているものを避けても生活できますし。
            行動を押さえつけるような制度はやりたい人だけがやればいいんですよ。
            法律で強制されてもいない社会の要請を真面目に守っても、守ってない競合がその費用分安い商品を出してきたら会社はおしまいです。
            社会の要請では温暖化は止まりませんよ。

            • by Anonymous Coward

              守ってない競合がその費用分安い商品を出してきたら

              そういうところとの取引を避けるための仕組みなんだよ。
              B2Bでそれなりの金が動く話は安けりゃ勝てるなんてほど甘くない。
              リスクヘッジという言葉を学び直した方がいいかと。

            • by Anonymous Coward

              アピリッツがプライバシーマークとっとるやんけ

        • by Anonymous Coward

          それはあなた個人にとって意味が無いだけでしょ。
          社会の認可全般についての話なのに、あなたが嫌いなものだけ例示するのはどうなの。

  • 情報漏洩しても不正利用の報告がなければ問題無いみたいな風潮
    情報漏洩された側は不快なんだが、見られても減るものじゃ無いからヘーキヘーキ理論が通じるならおパンツだって風呂だって覗き見放題だわ。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...