アカウント名:
パスワード:
会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)
第4条(個人情報について)1.個人情報のお取り扱い方針当社は、会員が同意した本条の定めに従い会員の個人情報を取り扱います。当社は、個人情報の保護に関する法律(改正された場合は、改正後のものをいいます)その他各種法令を遵守するとともに、会員のプライバシー保護に十分配慮いたします。(後略)
と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。
個人情報の保護に関する法律には、
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安
Pマークは取得すると漏洩率が高まるという話もありましたし、CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。少なくとも「Pマークがあるから安心」は成り立ちません。返納は合理的だと思います。他の組織も追従して欲しいです。
Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。
「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。
Pマーク取得によってセキュリティレベルが低下することはPマーク取得企業にいるエンジニアなら誰でも知っていることだよ?
その根拠をまず明示したまえ。
PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。
つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。
元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P
JIS Q 15001の要求仕様を形式的に満たそうとするコンサルの言う通りにセキュアな運用を崩さないとマークが取れないからだよ。
だからその具体例を提示してみろって。コンサルが馬鹿か元々の運用がおかしいだけのことが大半たべ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
は? (スコア:4, 興味深い)
会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)
と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。
個人情報の保護に関する法律には、
Pマークは無意味、返納は合理的 (スコア:0, すばらしい洞察)
Pマークは取得すると漏洩率が高まるという話もありましたし、
CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。
少なくとも「Pマークがあるから安心」は成り立ちません。
返納は合理的だと思います。他の組織も追従して欲しいです。
Re: (スコア:0)
Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。
「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。
Re: (スコア:0)
Re:Pマークは無意味、返納は合理的 (スコア:2, すばらしい洞察)
その根拠をまず明示したまえ。
PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。
でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。
つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。
元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P
Re: (スコア:0)
だからその具体例を提示してみろって。
コンサルが馬鹿か元々の運用がおかしいだけのことが大半たべ。