パスワードを忘れた? アカウント作成
14968 story

大日本印刷、業務に支障をきたす恐れがあるため「Pマーク」取り消し処分なし 176

ストーリー by kazekiri
シェアが高ければ、何をしても... 部門より

jonykatz 曰く、

大日本印刷が800万件以上の個人情報を流出させた事件はまだ記憶に新しいが、NIKKEIによれば、日本情報処理開発協会が大日本印刷のプライバシーマーク(Pマーク)を取り消さないことを発表したようである。Pマークは個人情報を適切に取り扱う企業に対して日本情報処理開発協会が発行する認定マークであるが。協会のリリースを読んでも、原因特定や改善策の実施といった改善要請にとどまっている。NIKKEIの記事では、「金融機関、電話会社や自治体があて名印刷など個人情報を取り扱う業務を外部委託する際、委託先選定の条件にPマーク取得を含めているケースが多い」ということで、大日本印刷のシェアが大きいために取り消しを見送ったとしている。凸版印刷あたりは抗議してみる価値があるのではないかと思ったが、そもそもこれならPマークなんてのも要らないのではなかろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年03月24日 0時49分 (#1131039)
    「Pマークを取っていた大日本印刷ですら流出しましたから」で営業トーク的にOK。
  • 絶望した! (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年03月24日 0時53分 (#1131044)
    絶望した!本末転倒な社会に絶望した!

    で、本末転倒した例を箇条書きにしてから、さらにひねりを入れてネタを膨らませなければならんのだけど
    箇条書きの時点でネタ切れしました。絶望先生はすごいなあ。
  • プライバシー保護ごっこ (スコア:5, おもしろおかしい)

    by vn (10720) on 2007年03月24日 2時12分 (#1131103) 日記
    大日本印刷のお客さんで、発注の条件にPマークを含めているところが何社あるか知りませんが、
    そのうちの一社として、切実にPマークを必要としているところはない、ということを図らずも
    白状してしまった、かなり恥ずかしい話です。要するにPマークでもイワシの頭でも何でも付いていれば
    良かった、ということです。

    この幼稚さをもっと「見える化」するために、幼稚園児向けのおもちゃの金メダルを、これら発注者の
    社長さんや大臣さんらには首からぶら下げてもらうべきだと思います。どうせ物事のよく見える人には
    そのように見えている訳ですから。
    • by Anonymous Coward on 2007年03月24日 10時36分 (#1131253)
      仮にPマークを取得しないところに発注して問題が発生した場合「なんでPマークを取得していないようなところに発注したんだ」と責められることになります。
      Pマークなんて作られなければこんなことにはならなかったのにね。
      親コメント
  • 執行猶予 (スコア:5, 参考になる)

    by j3259 (7093) on 2007年03月24日 2時13分 (#1131106) ホームページ 日記
    裏にどういう話があったのかは分かりませんが、リンク先のプレスリリースによると、
    本件の要請は、以下の6項目について1ヶ月以内に改善し、その結果を報告することを求めるものであり、 この期間内に適切な対応がとられていないと判断された場合には、 認定は取り消されます。また6ヶ月間の観察期間を設け、この間、改善事項の運用状況の 報告を随時受けることとし、適切な運用が確認できない場合には、認定は取り消されます。
    ということなので、執行猶予みたいなものだと思います。

    感情的には即取り消しと思ってしまいますが、社長が頭下げて首になって終わりみたいになるよりは 晒し状態で対策を取らせて、それでもダメだったら取り消しって方がセキュアなんじゃないかと思いますが、どうでしょう。

    • by j3259 (7093) on 2007年03月24日 2時21分 (#1131113) ホームページ 日記
      みたいな訳の分からんものよりも、一部上場取り消しとかの方が痛いんじゃないかな。


      再上場したければ、オンブズマンが抜き打ち検査しにくるみたいな北朝鮮の核疑惑のような仕打ちにしてしまう。


      そういう法律作っちゃった方が早いと思うけど、誰も書きたがらないだろうな。有権者もそういうこと求めないだろうし。

      親コメント
  • ジオン軍技術者 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年03月24日 7時48分 (#1131192)
    「Pマークなんて飾りです!えらい人にはそれがわかっとるのです!」
  • DNPマークを作ればOK (スコア:5, すばらしい洞察)

    by mizuho (7378) on 2007年03月24日 11時39分 (#1131278)
    取り消さないで、漏洩フラグを立てていけばいいんじゃないかな。
    1件あたり1マーク。。
  • 自殺したの? (スコア:4, おもしろおかしい)

    by Mooolyeee (19868) on 2007年03月24日 2時23分 (#1131115) 日記
    社会的影響を考慮して、というDNPへの処分を決定した瞬間、
    Pマークは役割を終えたことを、自ら宣言したようなものですなぁ。

    何らかの不注意、あるいは従業員等の個人的悪意により情報流出した結果、
    マークを剥奪されてしまった会社から、訴訟でも起こされたらどうするつもりなのでしょう?
    誰か提訴してくれないかなぁ~、面白いことになりそう。
  • そりゃまぁ。 (スコア:3, 参考になる)

    by Anonymous Coward on 2007年03月24日 2時56分 (#1131133)
    Pマーク剥奪したら査察料が入らなくなるわけで。
    # プライバシーマーク申請に関する費用 [privacymark.jp]

    連中もビジネスでやってるわけだから、そう簡単にやめさせないんじゃないですかね。
    取り消し事業者も今のところゼロ [privacymark.jp]だし。

    ・・ISMSもそうだけど、こういうのってヤクザのみかじめ料みたいにしか見えない。
    • 取消事業者 (スコア:3, 参考になる)

      by masy (195) on 2007年03月24日 13時40分 (#1131343) ホームページ
      過去に 1 社取消になった事業者が有りますよ。 その後、数年かけて取り組みの見直しを行い、再認定を受けたので、現状は取消事業者がゼロなだけです。 そもそも、取消事業者がウェブ上で晒されるのは、2 年間くらいの期間限定じゃないかな?
      親コメント
  • by Anonymous Coward on 2007年03月24日 7時03分 (#1131184)
    昨日より新運営要領等がアップされているようです。
    http://privacymark.jp/ref/0213/uneiyouryou070209_1.pdf [privacymark.jp]
    目立つのが(認定の取消し)22条における項番2における弁明の機会の追加でしょうか。。。

    #そんなもんなの!?
  • by Anonymous Coward on 2007年03月24日 0時54分 (#1131046)
    公然と筋の通らないことをして平気な社会っておかしいよね。最近ますます増えてるような気がするし。
    • by Anonymous Coward on 2007年03月24日 1時21分 (#1131064)
      東証の日興の件もメンタリティは同じようなもんです。

      ダブルスタンダードは将来禍根を残すということを
      学びませんね、この国の組織は。

      ルールを曲げれば、誰もそのルールを重んじなくなるのにね。
      親コメント
      • by metta (20740) on 2007年03月24日 2時16分 (#1131109) 日記
        >ダブルスタンダードは将来禍根を残すということを
        バブル崩壊後のダブルスタンダードの将来が今で、禍根なんですよ。

        当時、モラルハザードの後始末をどうするかという議論がありましたが
        結局、より大きなモラルハザードで現実を覆ってしまう(偽装)という手法が発明されたという事ですかね。
        親コメント
        • by Anonymous Coward on 2007年03月24日 12時04分 (#1131294)
          発明というか輸入じゃないかな。
          たぶんそれ、貧乏諸国では珍しくないよね。

          一般的に、経済のいけてない国では、例えば政治家から警察下っ端に至るまでが賄賂駆動だったり、ダブルどころの騒ぎじゃない目茶目茶スタンダードが横行しまくってて、それがまた経済の足を引っ張る悪循環をやらかしてるけど、

          日本も段々、そういう国の仲間入りをし始めてる、ってことじゃないかな。

          日本については、水だの安全だのを只だと思っているっていう揶揄が有るが、逆にいえばそれは日本というシステムが如何に強大で安定してて頼りがいが有る(もとい、有った)か、ということでもあるんだ。

          というわけでだ。多分日本の今後数年(数十年)の未来像は、

          「もっと悪い現象が年を追うごとに起きるようになっていく」

          という緩やかな死なのではないかな?そして気づけば所謂途上国になって(戻って)る。

          例えば賄賂ってのは、力の有るものから(金で)力を(むろん不当かつ不平等に)借り受けることであるが、それをやると結局金は金持ちへ集中することになる。つまりいわゆる格差が広がるわけだ。社会全体が豊かだと「安全は只」みたいに誰もが力を低コストで分けてもらえるのだが、金も力も希少リソースになってしまった社会では、賄賂のような力の不当流通(と金の格差)が起きるようになる。
          そしてそうなると経済が益々不調になる…のは恐らく事実なのだろう…のでリソースは益々希少になる。悪循環だ。

          というわけでだ。今後の日本では、例えば賄賂系の事件が増えると見た。

          まあ、見るまでもなく既に、金持ちは天下りと談合をしまくり、いっぽう貧乏人は家の中ですら殺し合って益々弱体化する、って現象が起きてるが。

          輸入という言い方をするのは他国に失礼にあたるかも知れないが、日本は(貧乏な)他国のようになってしまうのだろうな。
          親コメント
      • by Anonymous Coward on 2007年03月24日 2時03分 (#1131095)
        > ダブルスタンダードは将来禍根を残すということを
        > 学びませんね、この国の組織は。

        別に「この国」に限った話じゃないでしょうに>ダブルスタンダード

         アメリカ、イギリスの中東政策
         核開発における5カ国、その他の国、イラン、北朝鮮との違い
         
        こうしてみると、問題が小さければ、「シングルスタンダード」で解決できるけど、大きい問題になるとそういう“杓子定規”で考えちゃイカン、定規はいくつも持っていないとダメ。

        なんてダブルスタンダードを擁護するのもいいかなと思えてくる。

        親コメント
  • by deaf_ear (31391) on 2007年03月24日 1時03分 (#1131051) 日記
    この記事の問題しているところを斜にしてみると。
    なんでもかんでも人任せにしない。
    その基準や認定の本質的な意味や、技術水準を見極めろってことでしょうね。

    ただ個人レベルには限界があり、ある技術に対しては異常に詳しくとも、
    こんなのわかんないよ。というのがあると思います。

    そういう意味でもこういう場が必要なのだと認識した次第です。
    もっとみんな発言しよう。おいら含めて。

    ただ思うのは、この大日本印刷の問題はPマークではありません。
    もっと深いところにある。
    --
    がんばろう。と自分に言い聞かせる。
    • by Anonymous Coward on 2007年03月24日 3時11分 (#1131140)
      >なんでもかんでも人任せにしない。
      >その基準や認定の本質的な意味や、技術水準を見極めろってことでしょうね。

      いやあ、それは大切な事だけど、この事件を斜めに見ても的外れでは?
      個人的には、今まではPマークという共通基準を満たそうと努力する社会が続けば良い、
      Pマーク取のための設定ハードルは本質的に間違っていないと思ってきました。
      しかし、それが甘い認識だと思い知らされた今からは違います。

      要は、どんなに良く出来たルールでも、鶴の一声で無かった事にされるわけで、
      社長が三振したらストライクカウントが、もう三つ増える野球のようなもの、
      社長の息子が万引きして、警備員に捕まっても見逃されるデパートのようなもの。
      さながら接待ゴルフでナイスショ!を連呼するサラリーマンが運用している、
      風見鶏マークに過ぎなかったという事が明らかになったのですから。

      だというのに、実態が伴わないのに、この認定を背景に有利な取引が行われる。
      だから、大日本印刷は不問になったのでしょうが、こうなってくると個人、
      中小企業が「本質的意味、技術的水準を見極める」意味なんてなくなります。
      有利な立場が得られるならば、間違った仕組みでも活用してしまうからです。
      だから、3流以下でもいいから大卒資格が欲しいというような社会になった。
      (大学不要論ではありません念のため)

      逆にいえば、大日本印刷クラスの業務を行いたければPマークが絶対必要と言うこと、
      プライバシー保護とは何の関係もないんだけど、馴れ合い社交クラブの会費ですよと。
      まさに、Pマークの本質的(皮肉)必要性を知らしめたのではないでしょうか。
      ここまで不公平なシステムだと最初から明文化されていれば、公に支持するのが困難で、
      不公平の恩恵に預かれる企業だけが支持するシステムだったでしょうか?
      否、限定的な馴れ合いに魅力を感じ、談合的な取引で利益を確保しようとするのは、
      日本人がどうとかでなく、競争社会における生存本能のなせる技なのだと思います。

      情報社会のサバイバルに、Pマークは絶対必要悪として大いに認知されていくでしょう。
      これさえあれば、情報流出があっても「Pマークが取り消されなかったから、
      あの会社は社会に影響がでかい会社なんだ」というアピールにできます。
      情報流出がなければ、普通に「Pマークの無い会社よりも有利な条件」が得られます。
      この事件を斜めに見ると、そういうビジネス的利点を見極めろという事なんですよ。
      親コメント
  • by Anonymous Coward on 2007年03月24日 1時44分 (#1131085)
    ということだ。
  • 大手ならOK (スコア:1, 興味深い)

    by Anonymous Coward on 2007年03月24日 0時46分 (#1131036)
    タレコミにもありますが、Pマークの取得条件にシェアが大きいかどうかは含まれませんよねぇ。

    大手なら許されるんだなぁ。
    • by Anonymous Coward on 2007年03月24日 1時09分 (#1131055)
      プライバシーマーク制度説明会資料(平成18年11月~平成19年3月開催) [privacymark.jp] 3ページ目より:

      付与の対象

      国内に活動拠点を持つ事業者で
      (1) JIS Q 15001(2006)に準拠した個人情報保護マネジメントシステム(PMS)を構築していること
      (2) PMSに基づき個人情報の適切な取り扱いが実施されていること
      (3) 欠格事項に該当しない事業者

      【欠格事項 - 主なもの - 】
      ・申請の日前3ヶ月以内にプライバシーマーク付与の申請又は再審査請求についてプライバシーマーク付与を否とする旨の決定を受けた事業者
      ・申請の日前1年以内にプライバシーマーク付与認定の取消し又はプライバシーマーク使用契約の解除を受けた事業者
      ・申請の日前1年以内に個人情報の取扱いにおいて個人情報の外部への漏えいその他の情報主体の利益の侵害を行った事業者

      うん、たしかにシェアは入っていないですねぇw
      親コメント
      • by Anonymous Coward on 2007年03月24日 1時29分 (#1131073)
        申請日以降なら何やってもOKなんだよ、きっと。
        親コメント
        • by Anonymous Coward on 2007年03月24日 1時36分 (#1131077)
          > 申請日以降なら何やってもOKなんだよ、きっと。

          ある意味核心を突いてるな・・・Pマークなんて本当に飾りですよ。
          Pマーク取得まで個人情報にかなりナイーブになってる会社も取ってしまえば
          元のゆるゆるに・・・なんて話山ほど聞くし。

          Pマーク取得してない会社の方がある意味安全ですよ。
          親コメント
          • by dummyk (31080) on 2007年03月24日 1時51分 (#1131090) 日記
            >Pマーク取得まで個人情報にかなりナイーブになってる会社も取ってしまえば
            >元のゆるゆるに・・・なんて話山ほど聞くし。

            審査直前になって品質管理の報告書作ったりとか
            審査直前になって電気を消して省エネをしているようにみせかけたりですか?

            #どことは言えないけども、どこでもありそう・・・
            親コメント
            • by Anonymous Coward on 2007年03月24日 2時50分 (#1131129)
              USO900x ...
              親コメント
            • by Anonymous Coward on 2007年03月24日 3時37分 (#1131149)

              ・全く行われていない定期パスワード変更の記録を捏造。
              ・全く使われていない情報セキュリティルームの入退室記録を捏造。
              ・個人情報の範囲の周知があまりされていない。
              ・そのため、平文でインターネットに個人情報ではないがそのメールがあれば簡単に引き出せる情報を送信。

              まさに氷山の一角。これでもPマーク取れますからね。
              その会社の新入社員が「Pマークなんか絶対に信じないことにしました」と言っていたのが印象的でした。
              情報漏れ発覚したら誰かがスケープゴートになるんでしょうかねぇ。
              親コメント
      • by takayouxxx (21282) on 2007年03月24日 11時02分 (#1131263)
        >大日本はこの種の受託事業のシェアが大きく、いきなりPマークを取り消すと企業や自治体の業務に支障をきたす恐れがあるため、現実的な処分にとどめたとみられる。
        マネジメントコンサルをやってる私がこの記者はマネジメントシステムそのものを理解していないお馬鹿さんと認定します(笑)
        こういう記事で社会に誤解を与えると認証制度そのものが意味のないものになってしまう可能性があるので、やめてもらいたいですね。

        Pマークを「個人情報を流出させない保証書」と勝手に解釈している人も多いので、マネジメントシステム認証を少し解説します。
        マネジメントシステムとは、QMSであれば品質、ISMSであれば情報セキュリティ、QMSであれば個人情報と、マネジメントをするフレームワークのことです。
        マネジメントシステムの認証はそのフレームワークがあり、機能しているかを保証する認証です。

        認証を取得している=事故を起こさない保証

        ではありません。
        また、事故を起こすこと自体は問題ではなく、事故に対し、調査し、再発防止策を立て、その履行を管理することが実施可能かということが問題なのです。

        もし、マネジメントシステムとして全く機能しておらず、同様の事件が起きたのであれば、即、認証剥奪でしょう。
        また、認証推薦した審査員も処分されるでしょう。

        しかし、今回のDNPの事件は"明確な悪意"に基づくものであり、リスクを完全になくすことは出来ません。
        #しかも業務委託先の元社員の犯行ですから自社で統制できる範囲は限界があります

        大事なのは原因を分析し、再発防止に努めることです。

        その点から考えてJIPDECの処分は相当重いものだと思います。
        何が何でも1ヶ月以内に以下の6事項を行い、6ヶ月以内に改善が証明できなければ認証が失効します。
        その場合、多くの案件を失注するわけですから。

        【JIPDEC 6つの要求】
        1.臨時監査の実施
        2.現状の対策の評価
        3.上記で不十分な事項に対する是正計画
        4.リスク分析
        5.文書の修正、及び委託先への統制
        6.継続的改善
        親コメント
      • by xan (25964) on 2007年03月24日 2時50分 (#1131128) 日記
        そもそも、Pマークとやらの取得条件に内部犯行に対する施策関連の項目ってないんでしょうかね。

        そっち方面は誰も気にしてない?
        親コメント
  • HACCP (スコア:1, 興味深い)

    by Anonymous Coward on 2007年03月24日 1時32分 (#1131074)
    雪印乳業の件があってからHACCP [wikipedia.org]の認証取ったってどこも自慢しなくなったような。
    Pマークの認知され具合からしてひっそりと消えていくだけだと予想。
    • Re:HACCP (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2007年03月24日 1時59分 (#1131093)
      何をおっしゃるんですか!!
      マークは死守します!!
      例え名前がQマークになろうとも。

      天下り先の確保が、社会にとっての最優先課題であることを御存知無いとは嘆かわしい。
      大手企業の皆様は、天下り先を大量に用意してくださる、社会にとって、かけがえない存在なのです。

      ひっそりと消えてゆく、なんて......。
      もっと社会を勉強していただきたいものです。
      親コメント
  • 企業が「委託先選定の条件」を決めるのは自由であり、その条件で問題が生じるなら企業の責任においてDNPをPマーク取得と「みなす」などすればよい。
    プライバシーマークは誰を守りたいのか。消費者なのか企業なのか。誰の顔に向かってアピールしたいのか考え直した方が良いのではないだろうか。

    記憶があいまいで情報が見つからないのだが、誰かの日記に次のような指摘があったと思うのですがどこだか分かりませんか。
    協会だったか、認定団体かのサイトがマークに違反している事を見つけ、指摘しマークの取消対象ですよねと問い合わせた所、口を濁して継続されたという内容。
  • by Celeborn (24673) on 2007年03月24日 2時12分 (#1131105)
    Pマーク取得できなかった某大手企業本体の担当者が暴れ出しそうですね
    別にどことは言わないけどさ…

    しかしこんな対応が罷り通るのでは外注含めて全社員の研修受講を
    必須にしてる意味がまるでありませんね
  • 天下り団体 (スコア:1, 興味深い)

    by Anonymous Coward on 2007年03月24日 3時38分 (#1131150)
    形だけとスローガンを認定する天下り団体でしかない気がします。
    情報が漏れて杜撰さがわかるわけで計りようがないですからね
    大部分の原因が持ち運びなら専用機で取り外しできないようにしちゃって下さい。

    #ノートパソコンの禁止にするだけでも効果あったりしてね
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...