パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大日本印刷、業務に支障をきたす恐れがあるため「Pマーク」取り消し処分なし」記事へのコメント

  • 大手ならOK (スコア:1, 興味深い)

    by Anonymous Coward
    タレコミにもありますが、Pマークの取得条件にシェアが大きいかどうかは含まれませんよねぇ。

    大手なら許されるんだなぁ。
    • by Anonymous Coward
      プライバシーマーク制度説明会資料(平成18年11月~平成19年3月開催) [privacymark.jp] 3ページ目より:

      付与の対象

      国内に活動拠点を持つ事業者で
      (1) JIS Q 15001(2006)に準拠した個人情報保護マネジメントシステム(PMS)を構築していること
      (2) PMSに基づき個人情報の適切な取り扱いが実施されていること
      (3) 欠格事項に該当しない事業者

      【欠格事項 - 主なもの - 】
      ・申請の日前3ヶ月以内にプライバシーマーク付与の申請又は再審査請求についてプライバシ
      • >大日本はこの種の受託事業のシェアが大きく、いきなりPマークを取り消すと企業や自治体の業務に支障をきたす恐れがあるため、現実的な処分にとどめたとみられる。
        マネジメントコンサルをやってる私がこの記者はマネジメントシステムそのものを理解していないお馬鹿さんと認定します(笑)
        こういう記事で社会に誤解を与えると認証制度そのものが意味のないものになってしまう可能性があるので、やめてもらいたいですね。

        Pマークを「個人情報を流出させない保証書」と勝手に解釈している人も多いので、マネジメントシステム認証を少し解説します。
        マネジメントシステムとは、QMSであ
        • Pマーク取得要件にあるJIS Q 15001
          (個人情報保護に関するコンプライアンス・プログラムの要求事項)には、
          収集した個人データを安全かつ適切に管理するという項目があります。

          >今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
          >#しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります

          「業務委託先の社員が明確な悪意を持って流失させたんでしょうがない」
          「再発防止策を立て、履行できることが大事」

          これは私の考える「データを安全かつ適切に管理」からはかなり遠い発想です。
          一回ならOKってことですか?一回やらないとわかんないんでしょうか。

          まだ流出事故を起こしていない会社が、他社の教訓を活かして対策を立ててます=認証
          だと思ってました。
          マネジメントコンサルさんの理屈はともかく、私がこの認証を今後信用しないことは事実です。

          • by Henrich (121) on 2007年03月24日 13時12分 (#1131331)
             コンサルタントではありませんが、認証取得などは検討しています。

            >これは私の考える「データを安全かつ適切に管理」からはかなり遠い発想です。
            >一回ならOKってことですか?一回やらないとわかんないんでしょうか。

             全く視点が違います。
             安全かつ適切に管理=全く事故が起こる確率が0である、という話ではありません。
             ・事故を起こす確率を下げる
             ・事故が起こっても被害を限定的にする
             ・事故が起こった場合に原因の調査を可能にする
             ・事故から修正をフィードバックする
             ことができる「仕組み」がマネジメントシステムです。

            >まだ流出事故を起こしていない会社が、他社の教訓を活かして対策を立ててます=認証
            >だと思ってました。

             ある意味あたりですが、適切な説明ではありません。

            >マネジメントコンサルさんの理屈はともかく、私がこの認証を今後信用しないことは事実です。

             マネジメントシステム自体を理解しようとせずに、信用するもしないもありません。
             単純なレッテルで判断したいのであれば、マネジメントシステムの認証取得だけと
             いうのは不適切な材料です。

            親コメント
            • > ・事故が起こっても被害を限定的にする
              なるほど、被害を限定的にする仕組みが整っていたからこそ、43社分、計863万7405件 [itmedia.co.jp]程度の被害ですんだというわけですね!
              さすがはPマークだ!
              • > > ・事故が起こっても被害を限定的にする
                > なるほど、被害を限定的にする仕組みが整っていたからこそ、43社分、計863万7405件程度の被害ですんだというわけですね!
                > さすがはPマークだ!

                仕組み自体は整っているので被害発生後フィードバックする体制ができています(はずです)。
                私はフィードバックする体制があるかどうかわからない組織にプライバシーを個人情報を
                預けたいと思いません。Pマークが無い会社とある会社であれば、少なくとも1度は体制を
                立てた前者を選びますね。

                とはいえ、1ヶ月間にプライバシーマーク事務局が指定した6項目を見たせば、
                取り消し処分にはあたらないことになったのは問題。フィードバックが反映されるまでの
                DNPの掲げるPマークに何を期待してユーザは個人情報を預ければいいのか。

                ユーザ視点としては1ヶ月の猶予期間を与えるような真似をしないで、
                一度取り消して取得しを強制するような認定であってほしいものです。
                親コメント
              • Pマークを取った上で大問題を発生させた方が、はるかに悪質だと思いますが・・・。
                まあ、Pマーク自体が認証商売目的のザルであることが皆に分かって良かったでしょう。
                くだらない利権だよねぇ。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...