アカウント名:
パスワード:
別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた
窃取されたデータは日経新聞社員約3000人の賃金などのデータ
って、えー?
時事通信の記事 [jiji.com]には
元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り
情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。
で、同規格の4.2(要求事項/個人情報保護方針)には
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。
とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。
こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。
そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。
Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。
そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
ツッコミ所が多くない? (スコア:3, すばらしい洞察)
別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していた
窃取されたデータは日経新聞社員約3000人の賃金などのデータ
って、えー?
時事通信の記事 [jiji.com]には
元社員はデジタル販売局に所属していた2012年10月、総務局員の業務用パソコンを分解してハードディスクを抜き取り
情シスとかなら兎も角、販売局の人が別部署のPC、それも個人情報が入ってるやつに物理的にアクセスできる時点で駄目でしょ。
Re: (スコア:0)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
Re: (スコア:2)
プライバシーマークの取得は全然難しくないんですよ、普通の小売店とかでも取得できるマークです。
難しくはないけど、一応、JIS Q 15001:2006に準拠してることは求められたはず。
で、同規格の4.2(要求事項/個人情報保護方針)には
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
で、PDCAサイクルだって「形の上だけでも」維持することは要求されるし、2007年にPマーク取得してから2012年までの間に、審査で一度も「物理盗難防止の指摘を受けてなかった」としたら、それって審査機関の責任問題でもおかしくないよーな?って。
Re:ツッコミ所が多くない? (スコア:1)
個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること
を維持し、実行することが求められてるから。
流石に「他部署の人でも触れる場所にある個人情報いりパソコンに、マトモなディスクの暗号化もケンジントンロックもしてませんでした」は通用しないよ。
とはいえ、「ここには個人情報が入ってない(入ってるけど気付かなかったことにしておく)からOK」とか、「これは個人情報じゃない(実は個人情報だけど曲解してる)からOK」とか、現場ではいくらでも「策」が通用しちゃってるのが現在だったりします。
末端の零細出入り業者ですらあちこち気がつくレベルなので、隅々まで状況を知る管理職の方々であればごく当たり前のように違反があるものと思います。
こういう状況ならばマークを取り消されるのが当然なのでしょうが、お役所仕事にがっちり食い込んじゃってる会社さんなので、検査機関の方々も手続きや書類しか見ておらず、「見ないフリ」をしちゃっている状況です。
そういう意味では、もはや形の上だけだとしても何の効果もないマークですよ、Pマークって。
Re: (スコア:0)
Pマークは「取得してるから信用できる」ではなくて「取得してないと相手にされない」なので、「取っていないと特定業界ではまともに商売させてもらえない」という、ヤ○ザのみかじめ料みたいなもんです。
Re: (スコア:0)
そうそう。Pマーク取ってれば、じゃあお話を聞きましょうかという感じ。
Pマークすら取らずに、うちは大丈夫です!と言ったところで、誰が信用すんねんという話ですよ。
みかじめ料と言うよりは、就活の学歴フィルターみたいなものでは。