パスワードを忘れた? アカウント作成
13759 story

TRUSTeマークは信頼できる? 52

ストーリー by Acanthopanax
信用の信用 部門より

Anonymous Coward曰く、"インターネットコムに「TRUSTe ロゴは信頼できるのか」という記事が出ている。TRUSTe は米国の NPO 団体で、「TRUSTe が定める厳しいプライバシーの原則を遵守する企業」を表すものとして TRUSTe マークを販売している。ググってみると日本でも TRUSTe マークを取得している企業がけっこうあることがわかるのだが、この記事によると、「TRUSTe の認証を受けたサイトのほうが、認証を受けていないサイトよりも2倍以上信用性に欠ける」という調査結果が、ハーバード大学法学大学院卒のアナリストである Ben Edelman 氏によって公表(PDF) されたという。 調査内容はこうだ。個人情報保護への取り組みが「悪い」と評価する判断基準として SiteAdvisor を用いたところ、調査サイト全体では 2.5% が SiteAdvisor により「悪い」と判定されたのに対し、TRUSTe マークを取得している 874 サイトについては 5.4% が「悪い」と判定されたという。記事によると、TRUSTe からの反論も出ているようだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 別段この「TRUSTe」に限定するハナシではなく、例えばISO14000/ISO9000両シリーズとかHACCPとかでも同様なのですが、この手の認証とか規格とかって、分かり易い目印であるためにどうしても「取得するコト自体が目的」になってしまいがちなのですよね。
    実際には取得してからが勝負なワケですが、実態としてはまともな監査が行われるはずもなく、よほどしっかりとした志を持ち続けているのでもない限り容易く有名無実化するのはどうしても避けがたいモノであり…
    もちろん、堕落してしまいそうなところを踏ん張ってしっかりと改革し、その認証に恥じない素晴らしい実効をあげているところもあるのでしょうが、実際問題として「監査を巧くすり抜けるための欺瞞術」ばかりが磨かれていると云うところが存在している以上、消費者・利用者としては、結局いつもの通り、「どんなマークが顕示されていても、その実態を見極め信頼に足るものかどうかを判断するのは自己責任」ってコトになるわけですよね。

    ちなみに、調査方法やその種類などにもよるのでしょうが、ヘボい管理しかできていないってハッキリ確認できたのが一割にも満たないって、結構驚異的に好成績なんではないかとか思ってしまいます(笑)
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
  • Yahoo! JAPAN (スコア:5, 興味深い)

    by newotani (22623) on 2006年10月29日 7時39分 (#1047144) 日記
    私の家族がYahoo!に情報を登録した際、生年月日を誤って入力してしまった(か、Yahoo!側が間違って登録した。多分当方のミスだと思うけれど、定かではない)ので、修正しようと思ったら、修正できなかった。
    Yahoo!側に「書面でも何でも提出するから修正させて下さい」という趣旨のメールを出したけれども、修正できない、の一点張り。

    で、Yahoo! プライバシーセンター [yahoo.co.jp]にここのロゴがあったので、試してみようと仲介をお願いしてみた。

    で、結果は・・・。何度かのやり取りの末、結論は「Yahoo!とあなたで法的に争うしかないです」とのこと。

    結局私の家族は、自分の生年月日がYahoo! JAPANにどのように登録されているかを知ることもできず、修正もできず。
    修正しようと思ったら裁判するしかない、という結論。

    「なぁんだ、こんなもんか。」というのが、TRUSTeに対する評価。
    --
    **やっぱりITやるか。しょうがない。**
    • Re:Yahoo! JAPAN (スコア:4, すばらしい洞察)

      by Elbereth (17793) on 2006年10月29日 9時26分 (#1047167)
      それはTRUSTe云々でなくて、そもそもYahoo!JAPANがアレなだけでは……
      と思う人は多いに違いない。

      親コメント
      • Re:Yahoo! JAPAN (スコア:2, 興味深い)

        by deki (5563) on 2006年10月29日 10時48分 (#1047189)
        TRUSTeマークは個人情報の遵守についてその程度って話でしょ?
        今回、TRUSTeマーク付き企業が信頼できるか否かという話で、
        明らかに信頼できない事例があるのに、認証をやめようとしない。
        これはTRUSTeマークそのものの信頼性が疑われる事例じゃないかと。
        親コメント
      • Re:Yahoo! JAPAN (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年10月29日 9時46分 (#1047172)
        だよねえ。ここまであからさまな違法行為をやってるんだから、
        「じゃあ法廷行きますか?」とyahooに一言言えば一瞬で解決する話だね。
        逆にあからさまな違法行為だからこそTRUSTeは何も出来なくて当然。警察じゃあるまいし。
        親コメント
        • Re:Yahoo! JAPAN (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2006年10月29日 10時00分 (#1047175)
          > 逆にあからさまな違法行為だからこそTRUSTeは何も出来なくて当然。

          認証マーク外すことくらいできるんじゃね?
          親コメント
          • by TRUST_USO (32619) on 2006年11月08日 23時28分 (#1054196)
            > 認証マーク外すことくらいできるんじゃね?

            するわけないですよ。
            儲けが減ります。

            TRUSTeは、個人情報保護が目的ではなく、金儲けが目的の組織ですから。

            ちなみに認証の際の審査は形だけ。
            申請内容と実態が異なっていても、見て見ぬふり。
            親コメント
    • by Anonymous Coward on 2006年10月29日 9時27分 (#1047168)
      件の話が個人情報保護法の施行前ならともかく、少なくとも今でそのような対応を取る企業は、法に違反していますよね。

      だいたい第十九条(データ内容の正確性の確保)と第二五条(開示)・第二六条(訂正等)・第二八条(理由の説明)かな。他にも触れる条項があるかも。
      http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ [kantei.go.jp]
      http://www5.cao.go.jp/seikatsu/kojin/index.html [cao.go.jp] // でも違反したところで、大した罰則無いんだよなぁ。

      親コメント
      • 施行後の話です・・・。

        その辺のことも、条文をあげてYahoo、TRUSTe共にメールしたんですけど、結局裁判する以外ないってことになって。

        裁判アレルギーは無いので、裁判すること自体には抵抗は無いんですけど、元が取れるかどうかが不安で。
        --
        **やっぱりITやるか。しょうがない。**
        親コメント
        • つ [ 調停 / 仲裁 ]

          # 日本人は頻発に訴訟を起こさないが、ルートが短絡過ぎる。 と、思う。

          # という自分が調停も仲裁も経験ないんだが……いいやIDで。
          --
          ==========================================
          投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
          親コメント
          • それって無料or数千円単位の金額でできますか?
            いや、本気で聞いてるんですけれど。

            可能なら妻(あ、書いちゃった)のオークション評価を残してやりたいと思っているんですけれど、今のままじゃパスワードの変更(ログインじゃない方のヤツ)も面倒な手続きを取らなくてはいけない(かつ、自分では指定できない)ので、何とかして生年月日を、と思っているんですけれど・・・。

            それと、(システム的に生年月日をいじると影響範囲がでかいから)調停なんて飲む気ないよ!って態度で出られたら、結局裁判になるような気がするんですが・・・。
            --
            **やっぱりITやるか。しょうがない。**
            親コメント
            • by Anonymous Coward on 2006年10月29日 12時53分 (#1047235)
              そもそも調停なり仲裁は相手との合意が必要だし
              斡旋でも相手が顔を出さない時もある。
              料金だって調停になるか仲裁になるか、斡旋になるかで違うだろう。

              まずセンターに対して「取扱いが好ましいかどうか」の相談からはじめたらどうだ。
              自分が抱えている問題がどれだけのものか。
              内包的な危険性等も含めて考えられる第三者に聞いてみればいい。

              費用度外視だとしても「時間」は取り戻せない。
              それを承知の上で、自分の主張を通したいのであれば
              先ずは斡旋の申立てを行う、相手が拒否して必要であれば法の場に出す。それで問題ないはずだ。
              (それだってセンターの人達が相談乗ってくれるはずだが……)

              # ま。センターへの相談は、ココでグダグダ言うよりはマシな事には違いない。
              親コメント
            • by Anonymous Coward on 2006年10月30日 10時38分 (#1047973)
              「あ、書いちゃった」なんてわざわざ括弧書きで強調するぐらいなら、そのまま「家族」で通せばいいのに。
              妻だと言いたくて仕方ないなら、普通にサラッと書けばいいのに。
              親コメント
    • by TRUST_USO (32619) on 2006年11月08日 23時40分 (#1054203)
      TRUSTeは、個人情報の取り扱いに関して消費者と企業の仲裁するのを大義名分にしています。
      しかし、実態は話を聞いた振りをして、お仕舞いです。
      自分で「問題解決に努める」と言いながら何もしません。

      はっきり言えば、「嘘つき」なんですがね。
      親コメント
    • by Anonymous Coward
      法律以前の話として、
      なぜ変更ができないのかの理由はありましたか?
      なぜ変更してくれないのか、さっぱり理由が思いつかないのですが。
      • Re:Yahoo! JAPAN (スコア:4, 興味深い)

        by newotani (22623) on 2006年10月29日 11時45分 (#1047200) 日記
        Yahoo! JAPANからの返答を晒します。
        さて、TRUSTe・Watchdog経由にてご連絡いただきました件につきましては、
        以下のとおり回答させていただきます。

        ご連絡いただきました生年月日の開示および修正に関してですが、前回、弊社
        より回答させていただいた通り、弊社では生年月日が変更となる余地のない
        情報であることから、これにより本人確認を実施させて頂いているところで、
        セキュリティーの上その開示および修正については承っておりません。

        個人情報保護法においては、その第25条第1項但書にあたる場合については、
        個人情報取扱事業者がその保有個人データを開示しないことを認めており、
        上記の取扱いに関しては、幣社の監督官庁たる総務省からも適切である旨の
        コメントをいただいているところです。

        以上の通りでございますので、何卒ご理解賜りますようお願い申し上げます。
        で、ここからもう一押ししたら、TRUSTeさんから、当事者同士で法的に云々、って言われる展開に・・・。
        --
        **やっぱりITやるか。しょうがない。**
        親コメント
        • Re:Yahoo! JAPAN (スコア:3, 興味深い)

          by herewe (21291) on 2006年10月29日 15時05分 (#1047328) 日記
          25条1項但し書きは、開示しないことができるだけで、訂正しないことができるわけではないですね。
          訂正に関しては26条1項です。本人からの申請があると、利用目的の達成に必要な範囲で訂正しなくてはいけません。
          本人確認を要するサービスを受けられないので、利用目的の達成はできていないですね。
          これだけ見ると、「修正させてください」ではなく、「修正してください」ならOKになりそうです。

          今回修正まで拒否されているのは、多分本人確認ができないからではないですか?
          Yahooの言い分としては、
           本人確認に使っているので生年月日は開示できない
           生年月日が分からないなら本人ではない
           本人か分からないので、開示/修正には応じられない
          といったところでしょうか。

          25条1項の但し書きを使っても、26条に基づく訂正を回避できるわけではないですから、
          そのための手段がないことの違法性を争う裁判が必要なんでしょうか。
          #身分証明書の送付とコールバック、当該YahooIDのメールが受信できているかどうかを組み合わせれば、
          #IDユーザかどうかも検証できると思うんですけどね…。

          後学のためにも、Yahooの主張する点を教えてもらえると嬉しいですね。
          親コメント
        • by Anonymous Coward
          全然理由になってないような気が。
          大体入力ミスがありえないとでも思っているのかな?
          それに25条1項って、該当するとも思えないし。
          だいたい総務省も本当にそんなこと言ったのかな?
          • ここで25条1項だ (スコア:3, 参考になる)

            by Elbereth (17793) on 2006年10月29日 12時09分 (#1047210)
            ここでわざわざ25条1項を探さない人のために、
            以下、個人情報の保護に関する法律 [e-gov.go.jp]より引用。改行適当。

            >第二十五条  個人情報取扱事業者は、本人から、当該本人が識別される
            >保有個人データの開示(当該本人が識別される保有個人データが
            >存在しないときにその旨を知らせることを含む。以下同じ。)を
            >求められたときは、本人に対し、政令で定める方法により、遅滞なく、
            >当該保有個人データを開示しなければならない。ただし、開示する
            >ことにより次の各号のいずれかに該当する場合は、その全部又は一部を
            >開示しないことができる。
            >一  本人又は第三者の生命、身体、財産その他の権利利益を害する
            >おそれがある場合
            >二  当該個人情報取扱事業者の業務の適正な実施に著しい支障を
            >及ぼすおそれがある場合
            >三  他の法令に違反することとなる場合

            一と三には該当しそうにないから、二に該当するんじゃないですかねー。
            Yahoo!の顧客管理システムがどんなんかは知らないけど、そこまでクソだと。
            親コメント
  • プライバシーマーク (スコア:5, すばらしい洞察)

    by Tsann (15931) on 2006年10月29日 10時13分 (#1047179)
    プライバシーマーク制度 [privacymark.jp]なんてのがあるけど、これもマークを取得することに意義があって、プライバシーはどうでもいいんですよね。
    よくこのサイトへのリンクを見かけますが、トップページを見る限りマークの取得方法ばかりで、このマークの意味がなかなか見つかりませんし。
    • Re:プライバシーマーク (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2006年10月29日 12時38分 (#1047228)
      プライバシーマーク取得企業との取引には、同レベルの個人情報保護対策が必須
      なので、周りが取ったら自分らも取らなきゃ取引できないマルチレベルマーケティング

      #./初投稿につきなんとなくAC
      親コメント
      • Re:プライバシーマーク (スコア:3, おもしろおかしい)

        by Anonymous Coward on 2006年10月29日 16時50分 (#1047404)
        初投稿おめでとう。
        初投稿で、初./してしまった記念日ですよ。

        # ./tterの集まりはこちら [about]
        親コメント
        • > # ./tterの集まりはこちら
          /.(スラッシュドット)する人、 /.er(スラッシュドッター)を /.tter と書くのはまだわからないでもないけど、
          ./(ドットスラッシュ)する人は ./er(ドットスラッシャー)になっても、./tter(ドットスラッシュッター)にはならないと思います。

          #「ドットスラッシャー」って必殺技みたいで強そうだと思ってるのでAC。
          • >#「ドットスラッシャー」って必殺技みたいで強そうだと思ってるのでAC。
            コンバトラーV?

            #それはドスプレッシャー
        • ぐはorz
      • >プライバシーマーク取得企業との取引には、同レベルの個人情報保護対策が必須

        ん、そんな鎖国的条項があるんですか?
        取得している企業にいますが、社員にそんな認識はない…。

        鶏と卵問題で、「極力、取得企業と取引するのが望ましい。取得していない企業と取引する際には、管理責任を負う」ぐらいならまだしも、現状で相手が少なくて遵守不能なものを守らせようとするのはいかがか。

        よろしければそれを定めた箇所のソースを教えていただければ幸いです。
    • プライバシーマークの取得は、相応に面倒だし、お金もかかる。それだけの手間をかけている、という証明にはなるかな。個人情報保護に取り組んでいるという証明にはならないが。

      親コメント
  • by Takahiro_Chou (21972) on 2006年10月29日 9時03分 (#1047161) 日記
    取ったって、取らなくったって同じ。
    どうせ、取得・更新直前に余計な仕事が増えるだけなんでしょ。
  • by Anonymous Coward on 2006年10月29日 7時30分 (#1047143)
    トップにスポンサー広告が来ますね(そのこと自体は問題ではない)。
    その広告の内容を見てみると…。

    「コンサルティング、審査、ライセンス費込みで約20万円から」なんて書いてあったりします。

    会社の本来のポリシーなんか関係なく、20万払えば取得出来るようなもんになんの意味があるのか?と
    • by Anonymous Coward on 2006年10月29日 9時13分 (#1047165)
      >会社の本来のポリシーなんか関係なく

      とは何処にも書いてないわけだが。こんなありがちなミスリーディングに引っかかるモデレータが未だに居るとは。

      >20万払えば取得出来るようなもんになんの意味があるのか?と

      会社の本来のポリシーがTRUSTeに既に沿っていさえすれば、「コンサルティング、審査、ライセンス費込みで約20万円」で済む、と言っているだけだろ。
      沿っていなければコンサルティング料が跳ね上がる、と。商売の常套手段。



      …と思ったら、
      http://www.kojinjoho.com/truste/price.html [kojinjoho.com]
      おーい!本当に固定料金(依頼元企業の売上額に応じて26万~70万円)かよ!!こりゃ意味無いわ。

      しかも

      > TRUSTe認証取得に特化した「オンラインコンサルティングシステム」と、
      >全社的な個人情報保護活動を含んだ「TRUSTe認証取得パッケージ」

      何この不自由な日本語。こんな会社に依頼しても数十万で取れるのか…
      親コメント
      • by Anonymous Coward on 2006年10月29日 9時57分 (#1047174)
        いやいや。
        コンサルやってますが、こんなもんですよ。一見さんが払ってくれる料金って。プラン名が「もっと考えろよ」ってのは同感ですが。

        例えば「SOHO事業者様」が年間売上「0 〜 1億円未満」で「TRUSTe 認証オンラインコンサルティングシステム」ですが、

        http://www.kojinjoho.com/truste/flow.html
        に「コンサルティング・診断業務」と、ありますが、

        ・ウェブサイトの個人情報診断 サイトを一通りチェック(半日)
        ・ウェブサイトのセキュリティ診断 ・・SSL無いとか突っ込みを入れる?(1時間)
        ・各種申請書類・ガイドラインの作成 テンプレ使って(1時間)
        ・プライバシーステートメントの作成 テンプレ使って(30分)

        なーんて見積もってみるとライセンス費込み26万で利益出せるでしょう。上記以上のプロセスが必要だって認識してくれるお客様なら他のプラン、オプション、任意のコンサルティングを提案します。

        お客様がこれ以上は絶対に払えない!、これ以上は絶対に必要ないっていうケースでは「これ以上」はお勧めしません。

        お客様がこれ以上は絶対に払えない!、でも、もっとやってほしい!ってケースでは、「その瞬間は商売にならないかもしれないけど、可能性としては検討の余地がある」とコンサルが判断できるかどうかはそのコンサルの能力によります :-p
        親コメント
    • 払えば即取得できるはずもなく。
      • TRUSTeは知らんが、ISMSのコンサルやってる部門を見てる限り、金払ったらすぐに取得できるほど間抜けなものじゃない。
        少なくとも、自動車教習所で免許を“買う”よりは大変だよ。
  • 中にはこういうサイトも (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2006年10月29日 12時29分 (#1047223)
    ベリサインのセキュアサイトシールの GIFのイメージだけを貼っていたWebデザイナー がいたなー(リンクになってない) 更新時期になるまで誰も気づかなかった......orz
    • つまり誰にも利用されていないサイトだったと…
      訪れた人がチェックしようとしてただの飾りだと気づいたら、指摘するなんて面倒なことしないで、もう二度と来なくなるのが普通だろうし。
    • TRUSTeのイメージだけっていうのも見たことがあります。
    • >ベリサインのセキュアサイトシールの GIFのイメージだけを貼っていたWebデザイナーがいたなー(リンクになってない)
      アダルトサイトでよくあります。
      恐らく「気づかない云々」ではなくて、意図的なんでしょうね。
      • 元ACの人が言いたいのは、自社サイトの作成を頼んだWebデザイナーがセキュアサイトシール
        の意味を分かってなかったってことでしょう。
    • 寧ろ古いままのサイトとかあったりしてオイって突っ込みいれたくなることもありました。
      次見たときは直ってましたが。

      # ちなみにIT系の本も沢山出してる出版社の通販サイトでの事。
  • とりあえず (スコア:1, 参考になる)

    by Anonymous Coward on 2006年10月29日 8時32分 (#1047153)
    聞いたこともありませんでした。
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...