アカウント名:
パスワード:
別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた
窃取されたデータは日経新聞社員約3000人の賃金などのデータ
って、えー?
時事通信の記事 [jiji.com]には
元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り
情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。
個人情報保護方針 [nks.co.jp]には
当社は2007年6月、一般財団法人 日本情報経済社会推進協会より個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマークの付与認定を受けております。
なんて書いてあるけど、どこまでザルな審査してたんだか・・・
労基の方は大丈夫なんすかね
この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。
労基を恐れるあまり発覚が遅れたりしても、漏洩の被害者以外が誰も損しない世界に
bitlockerでも掛けていたら、こういうのは防げたかな
ノートPCは暗号化必須だが、デスクトップPCにまでその規制を徹底してるところは少ないなあくまで、出先で盗難されたケースしか想定してないからただ、個人情報を集約してるディスクを暗号化してないってのはずさんの一言に尽きる
つまるところ複合事案ってとこかな
* 情報システムなど専門部署でないのに入手できた(ただ廃棄プロセスまでいくと知ってる人間ならソーシャルハックはしやすいかもしれないが)* PCの暗号化や廃棄プロセス* 両方合せたプライバシーマーク他関係* 動機に関係する労働環境
処分自体はわりとちゃんとしてる?
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。
で、同規格の4.2(要求事項/個人情報保護方針)には
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。
とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。
こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。
そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。
Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。
そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。
プライバシーマークは企業が堂々と個人情報を使えるようにするために作られたもんだから過去にもお粗末な原因で大規模な流出しても大手企業ということで実質お咎めなしの実績が多々ある悪意のある言い方をすれば、ただの利権団体だからね入札するのに必要だから取得している会社は多いけど、セキュリティに対しての認識が驚くほど低レベルなのも珍しくない
PマークもISMSも取得してて、更新にも関わってて、私自身は安全支援士だけど、まぁザルですわ。世の中には、セキュリティ?個人情報?なにそれおいしいの?レベルの会社が大半なので、最低ライン(用語くらいは知ってて気をつけてますぐらい)の対策はしてますよ的な認証だと思って欲しい。取得しているからあそこは安心なんて考えは捨てたほうがよい。
>取得しているからあそこは安心なんて考えは捨てたほうがよい。
それは確かに事実だけど、取得してない会社は想像を超えるレベルを行くので一定の役割は果たしてると思う。
取得してないところの例では、購入した機器にユーザ登録する時のパスワードも、クラウド上の会計システムにログインするパスワードも、社内サーバのパスワードもNW機器のスーパーユーザのパスワードも全部同じで全社員が知ってるとかね。ついでにメールの添付ファイルのzipパスワードまで同じ・・・相手が取引先とかでも。
一見すると経済産業省が出す「ガイドライン」を守ってるように見えるのに、第三者認証を受けないと最も重要な部分が欠落するので、やっぱり第三者認証は必要だと思う。(認証通過の辻褄だけ合わせるって例を考慮してもね・・・)
取得しててもそのぐらい余裕でやってますよ。しかし監査ではしっかり規則を遵守してることになってます。取得してない会社は、必要性や意味すら分かってないレベルだと思います。
取得してない会社は、必要性や意味すら分かってないレベルだと思います。
CCCの悪口はやめて差し上げろ。
自分は、社内連絡ツールとしてLINEを正式に採用している企業があることにびっくりしました。なんてレベルが低いんだ。
機密情報を持つ公務員(警察関係者や自衛官とか)がLINEを使うような低レベルではないことを祈ります。まさか、政治家は使ってないよね・・・?
「みなし公務員」の業務請け負ってるけど、連絡手段でLINE WORKS導入されてるね。個人情報のやりとりとかにも使ってるね。
あんま厳しすぎると取得を諦める企業が増えて結果的に全体のレベルが下がるから、ゆるふわ規格も啓蒙の効果はあると思う。
こういった個人情報保護の審査は、管理体制を審査するものであって、結果を担保するものではない
管理体制がしっかりしてるにもかからわず漏れた場合でも別に審査不備にはつながらない管理体制がしっかりしてないが漏れなかったっていうのは審査不備
いや、・ソフトウェア的なデータ保護ソリューションなし・サーバー室等に物理隔離されてない・他部署の人間が出入りし持ち出せる場所・ワイヤー等の施錠もない・何千人単位の個人情報が格納されてる・賃金データのようなセンシティブ情報なんてものは、管理体制と呼べるモノがあれば存在できないよどれかひとつの要素ぐらいはあり得るけど、全部揃うのは管理漏れっていうレベルじゃない
それ、どこかの区役所ですか?
お役所とも仕事でお付き合いあるけどほんと大変そう。
それでも絶対審査側は悪くないんです!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
ツッコミ所が多くない? (スコア:3, すばらしい洞察)
別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた
窃取されたデータは日経新聞社員約3000人の賃金などのデータ
って、えー?
時事通信の記事 [jiji.com]には
元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り
情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。
個人情報保護方針 [nks.co.jp]には
当社は2007年6月、一般財団法人 日本情報経済社会推進協会より個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマークの付与認定を受けております。
なんて書いてあるけど、どこまでザルな審査してたんだか・・・
Re:ツッコミ所が多くない? (スコア:3, すばらしい洞察)
労基の方は大丈夫なんすかね
この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。
Re: (スコア:0)
労基を恐れるあまり発覚が遅れたりしても、漏洩の被害者以外が誰も損しない世界に
Re:ツッコミ所が多くない? (スコア:1)
bitlockerでも掛けていたら、こういうのは防げたかな
Re:ツッコミ所が多くない? (スコア:1)
ノートPCは暗号化必須だが、デスクトップPCにまでその規制を徹底してるところは少ないな
あくまで、出先で盗難されたケースしか想定してないから
ただ、個人情報を集約してるディスクを暗号化してないってのはずさんの一言に尽きる
Re:ツッコミ所が多くない? (スコア:1)
つまるところ複合事案ってとこかな
* 情報システムなど専門部署でないのに入手できた(ただ廃棄プロセスまでいくと知ってる人間ならソーシャルハックはしやすいかもしれないが)
* PCの暗号化や廃棄プロセス
* 両方合せたプライバシーマーク他関係
* 動機に関係する労働環境
処分自体はわりとちゃんとしてる?
M-FalconSky (暑いか寒い)
Re: (スコア:0)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
Re:ツッコミ所が多くない? (スコア:2)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。
で、同規格の4.2(要求事項/個人情報保護方針)には
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。
Re:ツッコミ所が多くない? (スコア:1)
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。
こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。
そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。
Re: (スコア:0)
Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。
Re: (スコア:0)
そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。
Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。
みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。
Re: (スコア:0)
プライバシーマークは企業が堂々と個人情報を使えるようにするために作られたもんだから
過去にもお粗末な原因で大規模な流出しても大手企業ということで実質お咎めなしの実績が多々ある
悪意のある言い方をすれば、ただの利権団体だからね
入札するのに必要だから取得している会社は多いけど、セキュリティに対しての認識が驚くほど低レベルなのも珍しくない
Re:ツッコミ所が多くない? (スコア:3, 興味深い)
PマークもISMSも取得してて、更新にも関わってて、私自身は安全支援士だけど、まぁザルですわ。
世の中には、セキュリティ?個人情報?なにそれおいしいの?レベルの会社が大半なので、
最低ライン(用語くらいは知ってて気をつけてますぐらい)の対策はしてますよ的な認証だと思って欲しい。
取得しているからあそこは安心なんて考えは捨てたほうがよい。
Re: (スコア:0)
>取得しているからあそこは安心なんて考えは捨てたほうがよい。
それは確かに事実だけど、取得してない会社は想像を超えるレベルを行くので一定の役割は果たしてると思う。
取得してないところの例では、購入した機器にユーザ登録する時のパスワードも、クラウド上の会計システムにログインする
パスワードも、社内サーバのパスワードもNW機器のスーパーユーザのパスワードも全部同じで全社員が知ってるとかね。
ついでにメールの添付ファイルのzipパスワードまで同じ・・・相手が取引先とかでも。
一見すると経済産業省が出す「ガイドライン」を守ってるように見えるのに、第三者認証を受けないと最も重要な部分が
欠落するので、やっぱり第三者認証は必要だと思う。(認証通過の辻褄だけ合わせるって例を考慮してもね・・・)
Re: (スコア:0)
取得しててもそのぐらい余裕でやってますよ。
しかし監査ではしっかり規則を遵守してることになってます。
取得してない会社は、必要性や意味すら分かってないレベルだと思います。
Re: (スコア:0)
取得してない会社は、必要性や意味すら分かってないレベルだと思います。
CCCの悪口はやめて差し上げろ。
Re: (スコア:0)
そのあと独自認証に移行しただけで。
Re: (スコア:0)
自分は、社内連絡ツールとしてLINEを正式に採用している企業があることにびっくりしました。
なんてレベルが低いんだ。
機密情報を持つ公務員(警察関係者や自衛官とか)がLINEを使うような低レベルではないことを祈ります。
まさか、政治家は使ってないよね・・・?
Re: (スコア:0)
「みなし公務員」の業務請け負ってるけど、連絡手段でLINE WORKS導入されてるね。
個人情報のやりとりとかにも使ってるね。
Re: (スコア:0)
いやいや、Pマークのおかげで個人情報を好き放題に扱えるんだからおいしいんですよ。
取得企業にも、認定団体にも。
Re: (スコア:0)
あんま厳しすぎると取得を諦める企業が増えて結果的に全体のレベルが下がるから、ゆるふわ規格も啓蒙の効果はあると思う。
Re:ツッコミ所が多くない? (スコア:2)
Re: (スコア:0)
こういった個人情報保護の審査は、管理体制を審査するものであって、結果を担保するものではない
管理体制がしっかりしてるにもかからわず漏れた場合でも別に審査不備にはつながらない
管理体制がしっかりしてないが漏れなかったっていうのは審査不備
Re: (スコア:0)
いや、
・ソフトウェア的なデータ保護ソリューションなし
・サーバー室等に物理隔離されてない
・他部署の人間が出入りし持ち出せる場所
・ワイヤー等の施錠もない
・何千人単位の個人情報が格納されてる
・賃金データのようなセンシティブ情報
なんてものは、管理体制と呼べるモノがあれば存在できないよ
どれかひとつの要素ぐらいはあり得るけど、全部揃うのは管理漏れっていうレベルじゃない
Re: (スコア:0)
それ、どこかの区役所ですか?
Re: (スコア:0)
お役所とも仕事でお付き合いあるけどほんと大変そう。
Re: (スコア:0)
それでも絶対審査側は悪くないんです!