アカウント名:
パスワード:
Pマーク取得まで個人情報にかなりナイーブになってる会社も取ってしまえば 元のゆるゆるに・・・なんて話山ほど聞くし。
Pマークに限った話じゃないような……。 この手の資格は、取得や更新の前だけアレコレやるけど、それ以外は何もしない、って事が多いような……。 そうでなくても、書類の形式整えるだけとか、取得・更新が自己目的化してるんじゃないか、って事も多々、有ります。
内容が内容だけにAC。
【JIPDEC 6つの要求】 1.臨時監査の実施 2.現状の対策の評価 3.上記で不十分な事項に対する是正計画 4.リスク分析 5.文書の修正、及び委託先への統制 6.継続的改善
認証制度そのものが意味のないものになってしまう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
大手ならOK (スコア:1, 興味深い)
大手なら許されるんだなぁ。
Pマークとやらの取得条件 (スコア:5, 参考になる)
付与の対象
国内に活動拠点を持つ事業者で
(1) JIS Q 15001(2006)に準拠した個人情報保護マネジメントシステム(PMS)を構築していること
(2) PMSに基づき個人情報の適切な取り扱いが実施されていること
(3) 欠格事項に該当しない事業者
【欠格事項 - 主なもの - 】
・申請の日前3ヶ月以内にプライバシーマーク付与の申請又は再審査請求についてプライバシーマーク付与を否とする旨の決定を受けた事業者
・申請の日前1年以内にプライバシーマーク付与認定の取消し又はプライバシーマーク使用契約の解除を受けた事業者
・申請の日前1年以内に個人情報の取扱いにおいて個人情報の外部への漏えいその他の情報主体の利益の侵害を行った事業者
うん、たしかにシェアは入っていないですねぇw
Re:Pマークとやらの取得条件 (スコア:5, すばらしい洞察)
Re:Pマークとやらの取得条件 (スコア:5, 興味深い)
ある意味核心を突いてるな・・・Pマークなんて本当に飾りですよ。
Pマーク取得まで個人情報にかなりナイーブになってる会社も取ってしまえば
元のゆるゆるに・・・なんて話山ほど聞くし。
Pマーク取得してない会社の方がある意味安全ですよ。
Re:Pマークとやらの取得条件 (スコア:2, すばらしい洞察)
>元のゆるゆるに・・・なんて話山ほど聞くし。
審査直前になって品質管理の報告書作ったりとか
審査直前になって電気を消して省エネをしているようにみせかけたりですか?
#どことは言えないけども、どこでもありそう・・・
Re:Pマークとやらの取得条件 (スコア:3, おもしろおかしい)
Re:Pマークとやらの取得条件 (スコア:2, おもしろおかしい)
Re:Pマークとやらの取得条件 (スコア:1)
・全く行われていない定期パスワード変更の記録を捏造。
・全く使われていない情報セキュリティルームの入退室記録を捏造。
・個人情報の範囲の周知があまりされていない。
・そのため、平文でインターネットに個人情報ではないがそのメールがあれば簡単に引き出せる情報を送信。
まさに氷山の一角。これでもPマーク取れますからね。
その会社の新入社員が「Pマークなんか絶対に信じないことにしました」と言っていたのが印象的でした。
情報漏れ発覚したら誰かがスケープゴートになるんでしょうかねぇ。
Re:Pマークとやらの取得条件 (スコア:0)
>審査直前になって電気を消して省エネをしているようにみせかけたりですか?
毎朝朝礼でキープロセスエリアの名称を全員で唱和して覚えさせるとか…。
こんなのでレベル2達成してうれしいのか?
いや、こんなのだからレベル2どまりなのか?
#すまんオフとぴ
Re:Pマークとやらの取得条件 (スコア:0)
Pマークに限った話じゃないような……。
この手の資格は、取得や更新の前だけアレコレやるけど、それ以外は何もしない、って事が多いような……。
そうでなくても、書類の形式整えるだけとか、取得・更新が自己目的化してるんじゃないか、って事も多々、有ります。
内容が内容だけにAC。
Re:Pマークとやらの取得条件 (スコア:0)
部屋は鍵があってないようなもんですし、別にネットワークも独立しているわけでもないし。何せ、そこに来ている人 / 派遣さんなども、一向に意識していないみたいだし。
扉開けっぱなしなんて、日常です。
よくこれで、一部上場だ……
Re:Pマークとやらの取得条件 (スコア:5, 参考になる)
マネジメントコンサルをやってる私がこの記者はマネジメントシステムそのものを理解していないお馬鹿さんと認定します(笑)
こういう記事で社会に誤解を与えると認証制度そのものが意味のないものになってしまう可能性があるので、やめてもらいたいですね。
Pマークを「個人情報を流出させない保証書」と勝手に解釈している人も多いので、マネジメントシステム認証を少し解説します。
マネジメントシステムとは、QMSであれば品質、ISMSであれば情報セキュリティ、QMSであれば個人情報と、マネジメントをするフレームワークのことです。
マネジメントシステムの認証はそのフレームワークがあり、機能しているかを保証する認証です。
認証を取得している=事故を起こさない保証
ではありません。
また、事故を起こすこと自体は問題ではなく、事故に対し、調査し、再発防止策を立て、その履行を管理することが実施可能かということが問題なのです。
もし、マネジメントシステムとして全く機能しておらず、同様の事件が起きたのであれば、即、認証剥奪でしょう。
また、認証推薦した審査員も処分されるでしょう。
しかし、今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
#しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります
大事なのは原因を分析し、再発防止に努めることです。
その点から考えてJIPDECの処分は相当重いものだと思います。
何が何でも1ヶ月以内に以下の6事項を行い、6ヶ月以内に改善が証明できなければ認証が失効します。
その場合、多くの案件を失注するわけですから。
【JIPDEC 6つの要求】
1.臨時監査の実施
2.現状の対策の評価
3.上記で不十分な事項に対する是正計画
4.リスク分析
5.文書の修正、及び委託先への統制
6.継続的改善
Re:Pマークとやらの取得条件 (スコア:1)
(個人情報保護に関するコンプライアンス・プログラムの要求事項)には、
収集した個人データを安全かつ適切に管理するという項目があります。
>今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
>#しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります
「業務委託先の社員が明確な悪意を持って流失させたんでしょうがない」
「再発防止策を立て、履行できることが大事」
これは私の考える「データを安全かつ適切に管理」からはかなり遠い発想です。
一回ならOKってことですか?一回やらないとわかんないんでしょうか。
まだ流出事故を起こしていない会社が、他社の教訓を活かして対策を立ててます=認証
だと思ってました。
マネジメントコンサルさんの理屈はともかく、私がこの認証を今後信用しないことは事実です。
Re:Pマークとやらの取得条件 (スコア:5, 参考になる)
>これは私の考える「データを安全かつ適切に管理」からはかなり遠い発想です。
>一回ならOKってことですか?一回やらないとわかんないんでしょうか。
全く視点が違います。
安全かつ適切に管理=全く事故が起こる確率が0である、という話ではありません。
・事故を起こす確率を下げる
・事故が起こっても被害を限定的にする
・事故が起こった場合に原因の調査を可能にする
・事故から修正をフィードバックする
ことができる「仕組み」がマネジメントシステムです。
>まだ流出事故を起こしていない会社が、他社の教訓を活かして対策を立ててます=認証
>だと思ってました。
ある意味あたりですが、適切な説明ではありません。
>マネジメントコンサルさんの理屈はともかく、私がこの認証を今後信用しないことは事実です。
マネジメントシステム自体を理解しようとせずに、信用するもしないもありません。
単純なレッテルで判断したいのであれば、マネジメントシステムの認証取得だけと
いうのは不適切な材料です。
Re:Pマークとやらの取得条件 (スコア:0)
なるほど、被害を限定的にする仕組みが整っていたからこそ、43社分、計863万7405件 [itmedia.co.jp]程度の被害ですんだというわけですね!
さすがはPマークだ!
Re:Pマークとやらの取得条件 (スコア:1)
> なるほど、被害を限定的にする仕組みが整っていたからこそ、43社分、計863万7405件程度の被害ですんだというわけですね!
> さすがはPマークだ!
仕組み自体は整っているので被害発生後フィードバックする体制ができています(はずです)。
私はフィードバックする体制があるかどうかわからない組織にプライバシーを個人情報を
預けたいと思いません。Pマークが無い会社とある会社であれば、少なくとも1度は体制を
立てた前者を選びますね。
とはいえ、1ヶ月間にプライバシーマーク事務局が指定した6項目を見たせば、
取り消し処分にはあたらないことになったのは問題。フィードバックが反映されるまでの
DNPの掲げるPマークに何を期待してユーザは個人情報を預ければいいのか。
ユーザ視点としては1ヶ月の猶予期間を与えるような真似をしないで、
一度取り消して取得しを強制するような認定であってほしいものです。
Re:Pマークとやらの取得条件 (スコア:0)
まあ、Pマーク自体が認証商売目的のザルであることが皆に分かって良かったでしょう。
くだらない利権だよねぇ。
Re:Pマークとやらの取得条件 (スコア:1)
Re:Pマークとやらの取得条件 (スコア:1)
こんなもんほとんど書類の書き方だけの問題じゃん。
文書の書き方だけでどうとでもなる。意味ねー。
ISOと同じ末路だ。
書式にはうるさいが内容はどうでもいい書類作って、
監査の時だけ対策委員が走り回ればいいだけの認証制度なんて
とっくに意味ねーや。
認証制度の有効性なんて、それを売り物にしてるコンサルしか信じてねーですよ。
--------------------
/* SHADOWFIRE */
Re:Pマークの守備範囲 (スコア:1, 興味深い)
>今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
ならば、「そのマネジメントシステムは、明確な悪意をコントロールするレイヤーがない」し
対象としていないとはっきりいったうえで、下手な制約を課さずにDNPを不問にするべきだった。
中途半端に処分を与えたことで「認証を取得している=事故を起こさない保証」と受け取って、
処罰が甘いか厳しいかという話になるのは当然だといえるでしょう。
処分にしても、いままでそういう明確な悪意を想定していなかったフレームワークだとしたら、
運営者自体が良い悪いを判断できるだろうかというと随分怪しいもの。
結局、6ヵ月後に所定の書類に印鑑が押してあるかだけをチェックして終わりというような、
お役所的な決着で終了しているのではないだろうか。
>#しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります
これも、業務を委託するほどでかい会社ならいいのかっていう誤解を生みますね。
いっそ、「Pマークを取得している」と謳う事は、業務委託先は関係ないと言えばいいのに。
そうすれば、大企業がPマークを取得してると謳っていても、他人は「ああ、そういう
仕組みを意識して動いているのは末端まで」と諦めがつく。
なぜ、このような誤解を与えかねないとされる展開になるかと言うと、「SSLだから安全」に似て
「認証を取得」という価値が、HPに貼るだけの対外的アピール目的になりさがっている点。
客観的にはマークしか見えないのに、信じるほうが馬鹿と言えばそれまでながらも、
取得さえしてしまえばA社とB社で遵守度合いが違っても、消費者には一定レベル達成とされる。
そんなことを許していたら、まじめにやるほうが馬鹿ということになって、これをやれば安心という
マネジメントシステムとしての後光効果がなくなってしまう。
だから「関係ないレイヤーで起きた事故を中途半端に処分した」ように見えてしまう。
マネジメント違反をしていたのか、していないのか、まずそこを明らかにして、
大日本印刷の事故は社会的に問題があり、遺憾だが、Pマークの守備範囲ではなかったので、
Pマークは悪意を防ぐためのものではありませんので不問にしました。
と、いうほうが、どっちみち反発はされるにしても正しく理解されていただろうにね。
こういう中途半端な処分がマネジメントシステムを駄目にする。
Re:Pマークの守備範囲 (スコア:1)
>こういう中途半端な処分がマネジメントシステムを駄目にする。
処分の流れ自体は中途半端だとは思いません。憶測ですが、原因の特定なんていう項目が入ってることを考えると協会側もまだ正確な情報を貰ってないんじゃないですかね。最終処分が確定したわけでもないようですし、今の段階では何とも。
Re:Pマークとやらの取得条件 (スコア:0)
やっぱりPマークの存在価値は無いも同然。
Pマークを見て企業の姿勢を判断するのは消費者だったり
取引先だったりするのだから
Pマークの趣旨をもっと啓蒙しないとダメでしょ。
Re:Pマークとやらの取得条件 (スコア:0)
じゃなくて
「認証を取得している=事故を起こしてもフォロー体制が整っている」
ってことだよね?
だったら、それをアピールしろよ、って思うがな。ふつーの人がふつーにPマークの説明読んだら、ふつー前者だと思っちゃうぞ。
#まぁ、後者だってことアピールしたら、ふつーの人には「意味ないじゃん!」って言われるのがオチなんだがな。
Re:Pマークとやらの取得条件 (スコア:4, すばらしい洞察)
原発事故などの場合は「技術に絶対は無い。それを信じる奴は馬鹿。事故そのものが問題じゃなくて、隠蔽とか再発防止に努めない姿勢が問題」とか言うのに、この件に関しては絶対を求めるのはどうしてでしょう。
一般消費者がそう信じるのはまだ分かりますが、技術についてある程度理解のあるはずのスラド民も情報セキュリティについては安全神話の存在を信じてるように見えます。これまでのコメントの流れを見ていると。
Re:Pマークとやらの取得条件 (スコア:0)
Re:Pマークとやらの取得条件 (スコア:0)
でかいことやらかしちゃったんだから、認定取消くらいやれよなってことじゃね?
Re:Pマークとやらの取得条件 (スコア:1)
交通安全ルールを適切に守って運転していても、人を轢き殺しちゃったら免許剥奪とかそういう考え方ですかね。
そういうもんなんでしたっけ。
Re:Pマークとやらの取得条件 (スコア:0)
# たとえ話はややこしいからしないほうが
Re:Pマークとやらの取得条件 (スコア:3, 興味深い)
誰かがいっていましたが、「執行猶予」に非常に近い処分だと思います。
猶予期間に再度同様の事故、及び更正の態度が見られない場合は剥奪されるということでしょう。
Henrich さん、フォローありがとうございました。
PMS、ISMS何でもそうですが、リスクアセスメントは「リスクを0にする」ということではありません。
リスクを極小化することを思考し、「リスクの値がどこで最もコストパフォーマンスがよくなるか」を考えることです。
ここで言うコストは「漏洩」等を起こした際に追う「社会的責任」とか「損害賠償」とかですね。
この辺りはJNSA辺りの算出根拠を元に計算してみることも可能でしょう。
安全管理措置も「○○をしなければならない」と細かく規格に規定してあるわけではありません。
また、企業規模や予算の関係から全ての企業が同じレベルで管理が出来ているわけではないです。
Re:Pマークとやらの取得条件 (スコア:3, 興味深い)
そうなんですが、事故を起こしたという結果だけを見て、ルールを守ってたかどうかという観点で話をしている人がほとんどいないようなのですが…
Pマークの取得項目に対して何らかの違反が行われていたという話は出てましたっけ。
># たとえ話はややこしいからしないほうが
そうですね。親コメントの方が、事故を起こしたら免許剥奪だ!と言ってたもので、実際にそんなことやったらすぐにペーパードライバーだらけになっちゃうじゃないかと。考慮しなくてはいけない点が一つ抜けてるんじゃないかな、と。
Re:Pマークとやらの取得条件 (スコア:0)
「Pマークを付けているいるところから情報が流出したら○○円」という保険を組んでくれるかどうか、保険会社に聞いてみるといいよ。
Re:Pマークとやらの取得条件 (スコア:0)
そういうもんじゃないの?
Re:Pマークとやらの取得条件 (スコア:1)
いつ無罪放免になったんですか?DNPは損害賠償を一切しなくても良いことになったんでしたっけ?
Pマークはそういう役割じゃないでしょ、と書いてるつもりなんだけど。
Re:Pマークとやらの取得条件 (スコア:0)
-- ゼロ
Re:Pマークとやらの取得条件 (スコア:0)
Re:Pマークとやらの取得条件 (スコア:0)
社畜に過剰な期待をするな
geekやnerdが必要なら本家に行って探してこい
Re:Pマークとやらの取得条件 (スコア:0, すばらしい洞察)
#夏休みの計画表かよ。
Re:Pマークとやらの取得条件 (スコア:0)
でも、DM出すのにクレジットカードの番号が必要なの? そんな杜撰な管理をしていても取得できるPマークって意味ない、というのが私の感想です。
#問題が起こったときに同じ問題を起こさない対応する体制があれば十分で、問題を起こさないための体制はいらないということか。
Re:Pマークとやらの取得条件 (スコア:1)
PMSです。。。はずかすぃ。。。
#穴があるなら埋めて欲しい
Re:Pマークとやらの取得条件 (スコア:0)
要するに業務プロセスを手間暇コストかけて標準に準拠させたところで、
悪意ある従業員には全くの無力だと証明されたわけですしね(笑)
Re:Pマークとやらの取得条件 (スコア:2, 興味深い)
そっち方面は誰も気にしてない?
Re:Pマークとやらの取得条件 QUOカードを用意しておくこと (スコア:1)
QUOカード自体はCSKホールディングス(QUOカード株式会社)さんが発行して(儲かって)いる事になっていますが、
印刷している会社はまさか、あの会社だったりしないですよね。
それより、本当にQUOカードで済まして良いことなのでしょうか>株主の皆様。
Re:大手ならOK (スコア:1)
Re:大手ならOK (スコア:0)