パスワードを忘れた? アカウント作成

日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に」記事へのコメント

  • 別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた

    窃取されたデータは日経新聞社員約3000人の賃金などのデータ

    って、えー?

    時事通信の記事 [jiji.com]には

    元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り

    情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。

    • by Anonymous Coward

      プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

      • プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。

        難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。

        で、同規格の4.2(要求事項/個人情報保護方針)には

        個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

        を維持し、実行することが求められてるから。
        流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

        で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。

        • by Anonymous Coward on 2018年07月07日 7時56分 (#3438791)

          個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること

          を維持し、実行することが求められてるから。
          流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。

          とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
          末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。

          こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。

          そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。

          • by Anonymous Coward

            Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。

            • by Anonymous Coward

              そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。
              Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。
              みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...