アカウント名:
パスワード:
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。(03)の部分が審査クリア回数(認定取得の審査を含む)を指します。2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。
MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前)
プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。そして処分が決定したのが2011年1月25日。プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。
>> という事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。認定機関(JISA)のフットワークが重いって批判ならまだしも・・・。# 事件が起きる前に不適合を発見するのが望ましいですけどね。
あと、JISAはプライバシーマーク運用から初めてマーク取り消しの処分を決定した認定機関です。しっかりした認定機関ってイメージがあるのは私だけじゃないのでは。
〉監査員のあたりはずれもあると思います。
厳しくチェックする監査員はハズレですよね。
>業務に支障があるという理由で取り消しにならなかった時点で失われたと思う。
憶測記事しか読んだことないのですが、これって確定なんでしたっけ?
まぁ日経だから正しいに違いないという考え方の人もいるのかもしれませんが…
こういうのこそ事業仕分けで廃止されるべきだよなあ。
こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。
> こんなマークも取れないところは信頼できない。って言われる可能性があるんで> 取らざるを得ないんですよ。
御意。結局こういうものって、素人に対する虚仮威しですから。
素人がどうとか関係ないから。複数社で競合してるとき、他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。これ単独ではたいしたことなさそうでも、あるとないとじゃ大違い。
#むしろ「素人に対する虚仮威し」としか考えられないほうを敬遠したいね
その結果がこの有様じゃ、逆効果になりそうですけどね…。
「費用の中には、こんな無意味な物の維持費用まで載せられてるんだなぁ」となります。
いやいや。「他の条件がほぼ同じで」どころか、他の条件を精査する前に、まずそういうデコレーションを見る所も多いでしょ。てか、そういう所は他の条件を精査する事が出来るかどうかはアヤシイからデコレーションに頼る訳ですよ。その意味でプライバシーマークとか他の認証は意味がある、特にシロウトさんには、って話ですね。
> 他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。プライバシーマークなんて無駄で有害なものの取得で金をドブに捨てていないところを選ぶわけですね。
いや、この騒ぎで解るのは、「基準を満たしていない会社は取り消される」って事。逆に言えば、マークを付けている企業の信頼性は増えたって事だよ。
実質の判断基準は兎も角、目立つ酷いのを排除すれば全体の信頼が上がるのは確かだしな。
別コメントにあるように、取消ではなく一時停止のようです。
しかもDNPの時の記事 [impress.co.jp]に、> 認定取消に次いで重い処分となる「改善要請」の処分を決定した。とあります。
これが本当なら、今回の一時停止はどっから沸いて出たんでしょうか?火がついちゃったので、渋々停止処分を作ってお茶を濁してるようにしか見えません。
そもそもマークを参考にするユーザーが、「マークは付いてるけど、過去に何かやらかしてないか」をチェックしなきゃいけない時点で、制度としては終わってるでしょう。
認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。重要なのは「現状でマズイ状態時には表示されていない」事です。だから今回の事で停止されるのは当たり前ですしそれ自体は問題無い対処ですよ。
もっとチャッチャと早く対処するべきでは有ったけど、そのやり方自体には疑問も問題もありませんが。それとこの制度自体の信頼性は全く別の話だが、制度を制度足らしめるためにはこの方向で良いのは確か。というより、こうしないと沢山の意見の逆で信用性が落ちる訳ですが。
私もこれは信用していないけどもどうもケチの付け方が疑問なのが多いな。どんな理想論通りの現実ばかりの世界に生きているのかが気に成るよ。
その理屈だと問題発生後に無事更新の審査を通ったMDISに資格を一時停止する必要はないということになりますが。
> 認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
ですかねえ。現在の安全性も保証しないと思いますがねえ。保証するのはチェックリストをクリアしたことだけで、チェックリストのクリアが実態に即しているかは保証の限りではないでしょう。
# 監査したところが何かやらかしたら、監査人が皇居前でハラキリとかだったら、# 少なくとも監査人は監査に命を張っているんだと言うことは解りますが。
>業務に支障があるという理由で取り消しにならなかった
なんかこの投稿だけを鵜呑みにすると、当時の状況理解してない人が誤解まっしぐら(特にtwitterだけ見る人とかw)の気がするので、一応補足しておくと
「大日本印刷の業務に支障をきたす」ためではなく「大日本印刷の顧客の業務に支障をきたす」ため
の判断じゃないかと言われていたのを記憶しています。数億の帳票を出力してる企業が停止したら、顧客企業のみならず日本経済が大混乱になるのは目に見えてましたからね。
#そして、規模的にそれをまかなえる他の企業は存在しないという。
Pマークの意義は「何か起きた場合に速やかに是正措置を計る」ということも含まれているので、その部分がきちんと働いたか働かなかったか、というのがMDISとの処分の差だと思います。
#規模はどうでもいいんですよ。1件だろうが全国民だろうが流出は流出w
MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。
自分はタレコミ主じゃありやせんが、ちったあタレコミ文を読みましょうや。
平成23年1月24日から平成23年3月23日までの間、プライバシーマーク付与認定を一時停止する措置が行われるという事だが、今回停止された認定は事件発覚後になされている。
「処分」じゃなくて、「認定」ですぜ。こいつぁ、2010年12月17日に行われた更新認定のことを指しているんでしょ。
第7 回プライバシーマーク審査会 結果報告 [jisa.or.jp][※PDF]
2.更新認定(計24事業者) :11820285(04) 三菱電機インフォメーションシステムズ株式会社
更新認定後一ヶ月そこそこで認定一時停止ってのは、クレームでも付いたんじゃないかと勘ぐっちまうってもんです。
失礼しました。ご指摘のとおり見逃してました。
>> 認定事業者の監査も行わなければ~~って一文から、タレこみ主が「MDISが更新審査を受けていることを知らない」と思い込んでました。もしや、"認定事業者"でなく、"認定機関"のことだろうか・・・。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
「認定事業者の監査」とやらにツッコミ (スコア:3, 参考になる)
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。
(03)の部分が審査クリア回数(認定取得の審査を含む)を指します。
2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。
MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前)
プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。
そして処分が決定したのが2011年1月25日。
プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。
>> という事だが、今回停止された認定は事件発覚後になされている。認定事業者の監査も行わなければライバシーマーク制度に対する信頼回復(もともと無いという突っ込み禁止)は程遠いだろう。
MDISが過去2回の更新審査をどのように切り抜けているかは知りませんが、事件によって発覚した不適合に対し、事件発覚前に処分を決定できねぇと思います。
認定機関(JISA)のフットワークが重いって批判ならまだしも・・・。
# 事件が起きる前に不適合を発見するのが望ましいですけどね。
あと、JISAはプライバシーマーク運用から初めてマーク取り消しの処分を決定した認定機関です。
しっかりした認定機関ってイメージがあるのは私だけじゃないのでは。
プライバシーマークの信頼性 (スコア:5, すばらしい洞察)
個人情報漏えいをしたときに業務に支障があるという理由で
取り消しにならなかった時点で失われたと思う。
Re:プライバシーマークの信頼性 (スコア:2, 興味深い)
ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり
セキュリティを担保する設計や運用の話とか何もしないのね
Re:プライバシーマークの信頼性 (スコア:2, 参考になる)
運用に関しては監査の際に説明するまたは質問をうけます。
うちの会社は中で開発しないので、主に社員の情報をどのように管理しているか、情報を格納しているサーバーをどのように管理してるか、
ログやバックアップの運用など、質問にあがります。
監査自体はそこまで細かくみない(サーバーの中身みせろよとか、バックアップから復元してみろとかは言われない)ので
きちんと資料作ってあって、サーバーもきちんと管理してPDCAも回してますよって体で監査員を納得させられれば実態は適当でも更新はできてしまうかもしれませんね。
あと、監査員のあたりはずれもあると思います。
Re:プライバシーマークの信頼性 (スコア:1, おもしろおかしい)
〉監査員のあたりはずれもあると思います。
厳しくチェックする監査員はハズレですよね。
Re: (スコア:0)
> ハンドブックを全社員に渡して読んでおけ、監査人が来たらそれを見せて教育が行われていることを示せ、で終わり
ウチもそんなんだったら楽だったんですが・・・トップから情報セキュリティ管理部門までキッチリしている人が多くて何かと大変です。
いや、社員もキッチリしているので大枠で問題ないのですが、そうでない人にとっては大変です。
Re:プライバシーマークの信頼性 (スコア:1)
>業務に支障があるという理由で
取り消しにならなかった時点で失われたと思う。
憶測記事しか読んだことないのですが、これって確定なんでしたっけ?
まぁ日経だから正しいに違いないという考え方の人もいるのかもしれませんが…
Re: (スコア:0)
○ インキ野郎どもだ
Re: (スコア:0)
Re: (スコア:0)
こういうのこそ事業仕分けで廃止されるべきだよなあ。
Re: (スコア:0)
こんなマークに頼らなければ信頼性を誇示できないって時点で、もう駄目だと思う。
Re:プライバシーマークの信頼性 (スコア:2, すばらしい洞察)
こんなマークも取れないところは信頼できない。って言われる可能性があるんで取らざるを得ないんですよ。
Re:プライバシーマークの信頼性 (スコア:1, すばらしい洞察)
> こんなマークも取れないところは信頼できない。って言われる可能性があるんで
> 取らざるを得ないんですよ。
御意。結局こういうものって、素人に対する虚仮威しですから。
Re:プライバシーマークの信頼性 (スコア:2, 興味深い)
素人がどうとか関係ないから。
複数社で競合してるとき、他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
これ単独ではたいしたことなさそうでも、あるとないとじゃ大違い。
#むしろ「素人に対する虚仮威し」としか考えられないほうを敬遠したいね
Re:プライバシーマークの信頼性 (スコア:1, 興味深い)
その結果がこの有様じゃ、逆効果になりそうですけどね…。
「費用の中には、こんな無意味な物の維持費用まで載せられてるんだなぁ」
となります。
Re: (スコア:0)
いやいや。「他の条件がほぼ同じで」どころか、他の条件を精査する前に、まずそういうデコレーションを見る所も多いでしょ。てか、そういう所は他の条件を精査する事が出来るかどうかはアヤシイからデコレーションに頼る訳ですよ。その意味でプライバシーマークとか他の認証は意味がある、特にシロウトさんには、って話ですね。
Re: (スコア:0)
> 他の条件がほぼ同じで一ヶ所だけ明確な差がついてたら、誰だって選ぶのは一緒。
プライバシーマークなんて無駄で有害なものの取得で金をドブに捨てていないところを選ぶわけですね。
Re: (スコア:0)
いや、この騒ぎで解るのは、
「基準を満たしていない会社は取り消される」
って事。
逆に言えば、マークを付けている企業の信頼性は増えたって事だよ。
実質の判断基準は兎も角、目立つ酷いのを排除すれば全体の信頼が上がるのは確かだしな。
Re: (スコア:0)
別コメントにあるように、取消ではなく一時停止のようです。
しかもDNPの時の記事 [impress.co.jp]に、
> 認定取消に次いで重い処分となる「改善要請」の処分を決定した。
とあります。
これが本当なら、今回の一時停止はどっから沸いて出たんでしょうか?
火がついちゃったので、渋々停止処分を作ってお茶を濁してるようにしか見えません。
そもそもマークを参考にするユーザーが、「マークは付いてるけど、過去に何かやらかしてないか」
をチェックしなきゃいけない時点で、制度としては終わってるでしょう。
Re: (スコア:0)
認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
重要なのは「現状でマズイ状態時には表示されていない」事です。
だから今回の事で停止されるのは当たり前ですしそれ自体は問題無い対処ですよ。
もっとチャッチャと早く対処するべきでは有ったけど、そのやり方自体には疑問も問題もありませんが。
それとこの制度自体の信頼性は全く別の話だが、制度を制度足らしめるためにはこの方向で良いのは確か。
というより、こうしないと沢山の意見の逆で信用性が落ちる訳ですが。
私もこれは信用していないけどもどうもケチの付け方が疑問なのが多いな。
どんな理想論通りの現実ばかりの世界に生きているのかが気に成るよ。
Re: (スコア:0)
その理屈だと問題発生後に無事更新の審査を通ったMDISに資格を一時停止する必要はないということになりますが。
Re: (スコア:0)
> 認定制度ってのはそもそも現在の安全性しか保証するもんじゃないですよ。
ですかねえ。現在の安全性も保証しないと思いますがねえ。保証するのはチェックリストをクリアしたことだけで、チェックリストのクリアが実態に即しているかは保証の限りではないでしょう。
# 監査したところが何かやらかしたら、監査人が皇居前でハラキリとかだったら、
# 少なくとも監査人は監査に命を張っているんだと言うことは解りますが。
Re: (スコア:0)
>業務に支障があるという理由で取り消しにならなかった
なんかこの投稿だけを鵜呑みにすると、当時の状況理解してない人が
誤解まっしぐら(特にtwitterだけ見る人とかw)の気がするので、
一応補足しておくと
「大日本印刷の業務に支障をきたす」ためではなく
「大日本印刷の顧客の業務に支障をきたす」ため
の判断じゃないかと言われていたのを記憶しています。
数億の帳票を出力してる企業が停止したら、顧客企業のみならず
日本経済が大混乱になるのは目に見えてましたからね。
#そして、規模的にそれをまかなえる他の企業は存在しないという。
Pマークの意義は「何か起きた場合に速やかに是正措置を計る」
ということも含まれているので、その部分がきちんと働いたか
働かなかったか、というのがMDISとの処分の差だと思います。
#規模はどうでもいいんですよ。1件だろうが全国民だろうが流出は流出w
Re:「認定事業者の監査」とやらにツッコミ (スコア:2, 参考になる)
自分はタレコミ主じゃありやせんが、ちったあタレコミ文を読みましょうや。
「処分」じゃなくて、「認定」ですぜ。
こいつぁ、2010年12月17日に行われた更新認定のことを指しているんでしょ。
第7 回プライバシーマーク審査会 結果報告 [jisa.or.jp][※PDF]
更新認定後一ヶ月そこそこで認定一時停止ってのは、クレームでも付いたんじゃないかと勘ぐっちまうってもんです。
Re:「認定事業者の監査」とやらにツッコミ (スコア:1)
失礼しました。
ご指摘のとおり見逃してました。
>> 認定事業者の監査も行わなければ~~
って一文から、タレこみ主が「MDISが更新審査を受けていることを知らない」と思い込んでました。
もしや、"認定事業者"でなく、"認定機関"のことだろうか・・・。
Re:「認定事業者の監査」とやらにツッコミ (スコア:1, 参考になる)
更新認定直後に停止という無様な事態を引き起こしてしまった審査プロセス自体に問題があるのでしょう。