大日本印刷、業務に支障をきたす恐れがあるため「Pマーク」取り消し処分なし 176
ストーリー by kazekiri
シェアが高ければ、何をしても... 部門より
シェアが高ければ、何をしても... 部門より
jonykatz 曰く、
大日本印刷が800万件以上の個人情報を流出させた事件はまだ記憶に新しいが、NIKKEIによれば、日本情報処理開発協会が大日本印刷のプライバシーマーク(Pマーク)を取り消さないことを発表したようである。Pマークは個人情報を適切に取り扱う企業に対して日本情報処理開発協会が発行する認定マークであるが。協会のリリースを読んでも、原因特定や改善策の実施といった改善要請にとどまっている。NIKKEIの記事では、「金融機関、電話会社や自治体があて名印刷など個人情報を取り扱う業務を外部委託する際、委託先選定の条件にPマーク取得を含めているケースが多い」ということで、大日本印刷のシェアが大きいために取り消しを見送ったとしている。凸版印刷あたりは抗議してみる価値があるのではないかと思ったが、そもそもこれならPマークなんてのも要らないのではなかろうか。
これでみんな「Pマーク」いらずに (スコア:5, おもしろおかしい)
Re:これでみんな「Pマーク」いらずに(余計な物) (スコア:4, おもしろおかしい)
何故だ!
#ゴメン、言ってみたかった
Re:これでみんな「Pマーク」いらずに(余計な物) (スコア:2, おもしろおかしい)
# とりあえず言ってみる
絶望した! (スコア:5, おもしろおかしい)
で、本末転倒した例を箇条書きにしてから、さらにひねりを入れてネタを膨らませなければならんのだけど
箇条書きの時点でネタ切れしました。絶望先生はすごいなあ。
プライバシー保護ごっこ (スコア:5, おもしろおかしい)
そのうちの一社として、切実にPマークを必要としているところはない、ということを図らずも
白状してしまった、かなり恥ずかしい話です。要するにPマークでもイワシの頭でも何でも付いていれば
良かった、ということです。
この幼稚さをもっと「見える化」するために、幼稚園児向けのおもちゃの金メダルを、これら発注者の
社長さんや大臣さんらには首からぶら下げてもらうべきだと思います。どうせ物事のよく見える人には
そのように見えている訳ですから。
Re:プライバシー保護ごっこ (スコア:4, すばらしい洞察)
Pマークなんて作られなければこんなことにはならなかったのにね。
執行猶予 (スコア:5, 参考になる)
感情的には即取り消しと思ってしまいますが、社長が頭下げて首になって終わりみたいになるよりは 晒し状態で対策を取らせて、それでもダメだったら取り消しって方がセキュアなんじゃないかと思いますが、どうでしょう。
Pマーク (スコア:1)
再上場したければ、オンブズマンが抜き打ち検査しにくるみたいな北朝鮮の核疑惑のような仕打ちにしてしまう。
そういう法律作っちゃった方が早いと思うけど、誰も書きたがらないだろうな。有権者もそういうこと求めないだろうし。
Re:Pマーク (スコア:1, すばらしい洞察)
もちろん、株主は虚偽の情報で投資させられたとして賠償を訴えることもできる。
さらに株式市場を運営している側の協力を得たりする権利も当然ある。
むしろ、そんな会社に対して株式市場からペナルティを加えられないことの怖さの方が大きい。
ジオン軍技術者 (スコア:5, おもしろおかしい)
DNPマークを作ればOK (スコア:5, すばらしい洞察)
1件あたり1マーク。。
自殺したの? (スコア:4, おもしろおかしい)
Pマークは役割を終えたことを、自ら宣言したようなものですなぁ。
何らかの不注意、あるいは従業員等の個人的悪意により情報流出した結果、
マークを剥奪されてしまった会社から、訴訟でも起こされたらどうするつもりなのでしょう?
誰か提訴してくれないかなぁ~、面白いことになりそう。
すいませんが、 (スコア:3, すばらしい洞察)
すいません、これってどこかに明言されてますかね?リンク先を読んでも、“~とみられる”みたいな推測の文章しか書いてないように思えるんですが。何か見落としてるのかな。
Re:自殺したの? (スコア:2, 興味深い)
Re:自殺したの? (スコア:2)
プライバシーマークが果たす役割と課題 [ryukoku.ac.jp]
[memo:4138] [ryukoku.ac.jp]
ここらへんのハナシかな。
過去に取り消し業者が存在したことがあった。
とかいうわけわからない日本語で説明しないといけないのがアレ。
そりゃまぁ。 (スコア:3, 参考になる)
# プライバシーマーク申請に関する費用 [privacymark.jp]
連中もビジネスでやってるわけだから、そう簡単にやめさせないんじゃないですかね。
取り消し事業者も今のところゼロ [privacymark.jp]だし。
・・ISMSもそうだけど、こういうのってヤクザのみかじめ料みたいにしか見えない。
取消事業者 (スコア:3, 参考になる)
運営要領が変更になったようですね (スコア:3, 興味深い)
http://privacymark.jp/ref/0213/uneiyouryou070209_1.pdf [privacymark.jp]
目立つのが(認定の取消し)22条における項番2における弁明の機会の追加でしょうか。。。
#そんなもんなの!?
日本のこういうとこ嫌い (スコア:2, すばらしい洞察)
Re:日本のこういうとこ嫌い (スコア:2, 興味深い)
ダブルスタンダードは将来禍根を残すということを
学びませんね、この国の組織は。
ルールを曲げれば、誰もそのルールを重んじなくなるのにね。
Re:日本のこういうとこ嫌い (スコア:3, すばらしい洞察)
バブル崩壊後のダブルスタンダードの将来が今で、禍根なんですよ。
当時、モラルハザードの後始末をどうするかという議論がありましたが
結局、より大きなモラルハザードで現実を覆ってしまう(偽装)という手法が発明されたという事ですかね。
Re:日本のこういうとこ嫌い (スコア:2, 興味深い)
たぶんそれ、貧乏諸国では珍しくないよね。
一般的に、経済のいけてない国では、例えば政治家から警察下っ端に至るまでが賄賂駆動だったり、ダブルどころの騒ぎじゃない目茶目茶スタンダードが横行しまくってて、それがまた経済の足を引っ張る悪循環をやらかしてるけど、
日本も段々、そういう国の仲間入りをし始めてる、ってことじゃないかな。
日本については、水だの安全だのを只だと思っているっていう揶揄が有るが、逆にいえばそれは日本というシステムが如何に強大で安定してて頼りがいが有る(もとい、有った)か、ということでもあるんだ。
というわけでだ。多分日本の今後数年(数十年)の未来像は、
「もっと悪い現象が年を追うごとに起きるようになっていく」
という緩やかな死なのではないかな?そして気づけば所謂途上国になって(戻って)る。
例えば賄賂ってのは、力の有るものから(金で)力を(むろん不当かつ不平等に)借り受けることであるが、それをやると結局金は金持ちへ集中することになる。つまりいわゆる格差が広がるわけだ。社会全体が豊かだと「安全は只」みたいに誰もが力を低コストで分けてもらえるのだが、金も力も希少リソースになってしまった社会では、賄賂のような力の不当流通(と金の格差)が起きるようになる。
そしてそうなると経済が益々不調になる…のは恐らく事実なのだろう…のでリソースは益々希少になる。悪循環だ。
というわけでだ。今後の日本では、例えば賄賂系の事件が増えると見た。
まあ、見るまでもなく既に、金持ちは天下りと談合をしまくり、いっぽう貧乏人は家の中ですら殺し合って益々弱体化する、って現象が起きてるが。
輸入という言い方をするのは他国に失礼にあたるかも知れないが、日本は(貧乏な)他国のようになってしまうのだろうな。
Re:日本のこういうとこ嫌い (スコア:1, すばらしい洞察)
> 学びませんね、この国の組織は。
別に「この国」に限った話じゃないでしょうに>ダブルスタンダード
アメリカ、イギリスの中東政策
核開発における5カ国、その他の国、イラン、北朝鮮との違い
こうしてみると、問題が小さければ、「シングルスタンダード」で解決できるけど、大きい問題になるとそういう“杓子定規”で考えちゃイカン、定規はいくつも持っていないとダメ。
なんてダブルスタンダードを擁護するのもいいかなと思えてくる。
本質を見ろということですよね。 (スコア:2, 興味深い)
なんでもかんでも人任せにしない。
その基準や認定の本質的な意味や、技術水準を見極めろってことでしょうね。
ただ個人レベルには限界があり、ある技術に対しては異常に詳しくとも、
こんなのわかんないよ。というのがあると思います。
そういう意味でもこういう場が必要なのだと認識した次第です。
もっとみんな発言しよう。おいら含めて。
ただ思うのは、この大日本印刷の問題はPマークではありません。
もっと深いところにある。
がんばろう。と自分に言い聞かせる。
Re:本質を見ろということですよね。 (スコア:3, 参考になる)
>その基準や認定の本質的な意味や、技術水準を見極めろってことでしょうね。
いやあ、それは大切な事だけど、この事件を斜めに見ても的外れでは?
個人的には、今まではPマークという共通基準を満たそうと努力する社会が続けば良い、
Pマーク取のための設定ハードルは本質的に間違っていないと思ってきました。
しかし、それが甘い認識だと思い知らされた今からは違います。
要は、どんなに良く出来たルールでも、鶴の一声で無かった事にされるわけで、
社長が三振したらストライクカウントが、もう三つ増える野球のようなもの、
社長の息子が万引きして、警備員に捕まっても見逃されるデパートのようなもの。
さながら接待ゴルフでナイスショ!を連呼するサラリーマンが運用している、
風見鶏マークに過ぎなかったという事が明らかになったのですから。
だというのに、実態が伴わないのに、この認定を背景に有利な取引が行われる。
だから、大日本印刷は不問になったのでしょうが、こうなってくると個人、
中小企業が「本質的意味、技術的水準を見極める」意味なんてなくなります。
有利な立場が得られるならば、間違った仕組みでも活用してしまうからです。
だから、3流以下でもいいから大卒資格が欲しいというような社会になった。
(大学不要論ではありません念のため)
逆にいえば、大日本印刷クラスの業務を行いたければPマークが絶対必要と言うこと、
プライバシー保護とは何の関係もないんだけど、馴れ合い社交クラブの会費ですよと。
まさに、Pマークの本質的(皮肉)必要性を知らしめたのではないでしょうか。
ここまで不公平なシステムだと最初から明文化されていれば、公に支持するのが困難で、
不公平の恩恵に預かれる企業だけが支持するシステムだったでしょうか?
否、限定的な馴れ合いに魅力を感じ、談合的な取引で利益を確保しようとするのは、
日本人がどうとかでなく、競争社会における生存本能のなせる技なのだと思います。
情報社会のサバイバルに、Pマークは絶対必要悪として大いに認知されていくでしょう。
これさえあれば、情報流出があっても「Pマークが取り消されなかったから、
あの会社は社会に影響がでかい会社なんだ」というアピールにできます。
情報流出がなければ、普通に「Pマークの無い会社よりも有利な条件」が得られます。
この事件を斜めに見ると、そういうビジネス的利点を見極めろという事なんですよ。
Re:本質を見ろということですよね。 (スコア:2, おもしろおかしい)
それなら納得。
結局、Pマークがあれば信用できない (スコア:2, おもしろおかしい)
Re:結局、Pマークがあれば信用できない (スコア:4, おもしろおかしい)
Re:結局、Pマークがあれば信用できない (スコア:2, 参考になる)
:Bマーク
大手ならOK (スコア:1, 興味深い)
大手なら許されるんだなぁ。
Pマークとやらの取得条件 (スコア:5, 参考になる)
付与の対象
国内に活動拠点を持つ事業者で
(1) JIS Q 15001(2006)に準拠した個人情報保護マネジメントシステム(PMS)を構築していること
(2) PMSに基づき個人情報の適切な取り扱いが実施されていること
(3) 欠格事項に該当しない事業者
【欠格事項 - 主なもの - 】
・申請の日前3ヶ月以内にプライバシーマーク付与の申請又は再審査請求についてプライバシーマーク付与を否とする旨の決定を受けた事業者
・申請の日前1年以内にプライバシーマーク付与認定の取消し又はプライバシーマーク使用契約の解除を受けた事業者
・申請の日前1年以内に個人情報の取扱いにおいて個人情報の外部への漏えいその他の情報主体の利益の侵害を行った事業者
うん、たしかにシェアは入っていないですねぇw
Re:Pマークとやらの取得条件 (スコア:5, すばらしい洞察)
Re:Pマークとやらの取得条件 (スコア:5, 興味深い)
ある意味核心を突いてるな・・・Pマークなんて本当に飾りですよ。
Pマーク取得まで個人情報にかなりナイーブになってる会社も取ってしまえば
元のゆるゆるに・・・なんて話山ほど聞くし。
Pマーク取得してない会社の方がある意味安全ですよ。
Re:Pマークとやらの取得条件 (スコア:2, すばらしい洞察)
>元のゆるゆるに・・・なんて話山ほど聞くし。
審査直前になって品質管理の報告書作ったりとか
審査直前になって電気を消して省エネをしているようにみせかけたりですか?
#どことは言えないけども、どこでもありそう・・・
Re:Pマークとやらの取得条件 (スコア:3, おもしろおかしい)
Re:Pマークとやらの取得条件 (スコア:2, おもしろおかしい)
Re:Pマークとやらの取得条件 (スコア:1)
・全く行われていない定期パスワード変更の記録を捏造。
・全く使われていない情報セキュリティルームの入退室記録を捏造。
・個人情報の範囲の周知があまりされていない。
・そのため、平文でインターネットに個人情報ではないがそのメールがあれば簡単に引き出せる情報を送信。
まさに氷山の一角。これでもPマーク取れますからね。
その会社の新入社員が「Pマークなんか絶対に信じないことにしました」と言っていたのが印象的でした。
情報漏れ発覚したら誰かがスケープゴートになるんでしょうかねぇ。
Re:Pマークとやらの取得条件 (スコア:5, 参考になる)
マネジメントコンサルをやってる私がこの記者はマネジメントシステムそのものを理解していないお馬鹿さんと認定します(笑)
こういう記事で社会に誤解を与えると認証制度そのものが意味のないものになってしまう可能性があるので、やめてもらいたいですね。
Pマークを「個人情報を流出させない保証書」と勝手に解釈している人も多いので、マネジメントシステム認証を少し解説します。
マネジメントシステムとは、QMSであれば品質、ISMSであれば情報セキュリティ、QMSであれば個人情報と、マネジメントをするフレームワークのことです。
マネジメントシステムの認証はそのフレームワークがあり、機能しているかを保証する認証です。
認証を取得している=事故を起こさない保証
ではありません。
また、事故を起こすこと自体は問題ではなく、事故に対し、調査し、再発防止策を立て、その履行を管理することが実施可能かということが問題なのです。
もし、マネジメントシステムとして全く機能しておらず、同様の事件が起きたのであれば、即、認証剥奪でしょう。
また、認証推薦した審査員も処分されるでしょう。
しかし、今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
#しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります
大事なのは原因を分析し、再発防止に努めることです。
その点から考えてJIPDECの処分は相当重いものだと思います。
何が何でも1ヶ月以内に以下の6事項を行い、6ヶ月以内に改善が証明できなければ認証が失効します。
その場合、多くの案件を失注するわけですから。
【JIPDEC 6つの要求】
1.臨時監査の実施
2.現状の対策の評価
3.上記で不十分な事項に対する是正計画
4.リスク分析
5.文書の修正、及び委託先への統制
6.継続的改善
Re:Pマークとやらの取得条件 (スコア:4, すばらしい洞察)
原発事故などの場合は「技術に絶対は無い。それを信じる奴は馬鹿。事故そのものが問題じゃなくて、隠蔽とか再発防止に努めない姿勢が問題」とか言うのに、この件に関しては絶対を求めるのはどうしてでしょう。
一般消費者がそう信じるのはまだ分かりますが、技術についてある程度理解のあるはずのスラド民も情報セキュリティについては安全神話の存在を信じてるように見えます。これまでのコメントの流れを見ていると。
Re:Pマークとやらの取得条件 (スコア:3, 興味深い)
誰かがいっていましたが、「執行猶予」に非常に近い処分だと思います。
猶予期間に再度同様の事故、及び更正の態度が見られない場合は剥奪されるということでしょう。
Henrich さん、フォローありがとうございました。
PMS、ISMS何でもそうですが、リスクアセスメントは「リスクを0にする」ということではありません。
リスクを極小化することを思考し、「リスクの値がどこで最もコストパフォーマンスがよくなるか」を考えることです。
ここで言うコストは「漏洩」等を起こした際に追う「社会的責任」とか「損害賠償」とかですね。
この辺りはJNSA辺りの算出根拠を元に計算してみることも可能でしょう。
安全管理措置も「○○をしなければならない」と細かく規格に規定してあるわけではありません。
また、企業規模や予算の関係から全ての企業が同じレベルで管理が出来ているわけではないです。
Re:Pマークとやらの取得条件 (スコア:3, 興味深い)
そうなんですが、事故を起こしたという結果だけを見て、ルールを守ってたかどうかという観点で話をしている人がほとんどいないようなのですが…
Pマークの取得項目に対して何らかの違反が行われていたという話は出てましたっけ。
># たとえ話はややこしいからしないほうが
そうですね。親コメントの方が、事故を起こしたら免許剥奪だ!と言ってたもので、実際にそんなことやったらすぐにペーパードライバーだらけになっちゃうじゃないかと。考慮しなくてはいけない点が一つ抜けてるんじゃないかな、と。
Re:Pマークとやらの取得条件 (スコア:5, 参考になる)
>これは私の考える「データを安全かつ適切に管理」からはかなり遠い発想です。
>一回ならOKってことですか?一回やらないとわかんないんでしょうか。
全く視点が違います。
安全かつ適切に管理=全く事故が起こる確率が0である、という話ではありません。
・事故を起こす確率を下げる
・事故が起こっても被害を限定的にする
・事故が起こった場合に原因の調査を可能にする
・事故から修正をフィードバックする
ことができる「仕組み」がマネジメントシステムです。
>まだ流出事故を起こしていない会社が、他社の教訓を活かして対策を立ててます=認証
>だと思ってました。
ある意味あたりですが、適切な説明ではありません。
>マネジメントコンサルさんの理屈はともかく、私がこの認証を今後信用しないことは事実です。
マネジメントシステム自体を理解しようとせずに、信用するもしないもありません。
単純なレッテルで判断したいのであれば、マネジメントシステムの認証取得だけと
いうのは不適切な材料です。
Re:Pマークとやらの取得条件 (スコア:2, 興味深い)
そっち方面は誰も気にしてない?
HACCP (スコア:1, 興味深い)
Pマークの認知され具合からしてひっそりと消えていくだけだと予想。
Re:HACCP (スコア:2, おもしろおかしい)
マークは死守します!!
例え名前がQマークになろうとも。
天下り先の確保が、社会にとっての最優先課題であることを御存知無いとは嘆かわしい。
大手企業の皆様は、天下り先を大量に用意してくださる、社会にとって、かけがえない存在なのです。
ひっそりと消えてゆく、なんて......。
もっと社会を勉強していただきたいものです。
二枚舌かダブルスタンダードとしか思えない (スコア:1)
プライバシーマークは誰を守りたいのか。消費者なのか企業なのか。誰の顔に向かってアピールしたいのか考え直した方が良いのではないだろうか。
記憶があいまいで情報が見つからないのだが、誰かの日記に次のような指摘があったと思うのですがどこだか分かりませんか。
協会だったか、認定団体かのサイトがマークに違反している事を見つけ、指摘しマークの取消対象ですよねと問い合わせた所、口を濁して継続されたという内容。
これじゃ (スコア:1)
別にどことは言わないけどさ…
しかしこんな対応が罷り通るのでは外注含めて全社員の研修受講を
必須にしてる意味がまるでありませんね
天下り団体 (スコア:1, 興味深い)
情報が漏れて杜撰さがわかるわけで計りようがないですからね
大部分の原因が持ち運びなら専用機で取り外しできないようにしちゃって下さい。
#ノートパソコンの禁止にするだけでも効果あったりしてね
Re:某NTTグループ企業だけど (スコア:1, おもしろおかしい)
ごめん。
Re:某NTTグループ企業だけど (スコア:2, 興味深い)
以下は、私が前いた会社の先輩のお話。
その会社はちっちゃーい零細企業でしたが、NTTドコモと取引があった関係上、ある時その先輩がドコモに派遣として出向することになりました。
#知ってる方は多いと思いますが、ドコモさんは半分以上が派遣で正社員はごく少ないため、特段めずらしいことではありません、念のため。
で、そーいう派遣出向の人にもドコモさんはロゴ入りの名刺をくれます。当然ですね。
#まあ、正社員用の名刺とはデザインが違うそうなので、わかる人は一瞥しただけで「あ、こいつ派遣だな」とわかるそうなのですが。
で、その名刺を前に営業かけてた会社に持っていったら、元の会社の名刺出してた時にはまったくけんもほろろにほぼ無視状態扱いされてたのに対し、その名刺を出して挨拶したとたん、その会社の部長さんがすぐさま飛んでやってきたそうです。
・・・これが悲しいかな現実だったりします。
私が知ってる範囲では、OKIさんも結構ひどいです。
以前、本社の部長さんが、同じ本社(!)の役員から名刺をお辞儀しながら「拝領致します」と言って、大事そうに受け取る場面を見たことがあります。
しかも、「名刺を受け取ること自体がかなりの名誉」だったらしく、回りの人たち皆が「よかったね」と言わんばかりに拍手しておりました。
・・・正直本気で引きました。気持ち悪かったです。
#絶対AC