2007年5月22日火曜日

Pマークの現実

日経ネットのITプラスに興味深い記事が掲載されていました。’「Pマーク」への期待と現実’と題して、その現実についての考察です。私も共感することの多い記事でありました。

ちょっと長いのですが、記事前文を引用してみます。以下は、日経ネット ITからの引用です。

「Pマーク」への期待と現実――検証 864万件の個人情報流出(1)
大日本印刷は3月12日、個人情報流出問題について記者会見を開いた。
 個人情報保護法の全面施行から2年以上が経った。施行の準備期間も含めて企業は個人情報保護対策を進めてきたが、依然として情報流出はなくならない。3月に発覚した大日本印刷の事件では、「プライバシーマーク(Pマーク)」認証の取得など個人情報保護対策を進めていたにもかかわらず過去最大の864万件の個人情報が流出した。企業の個人情報保護対策は今後どうしていけばよいのか。今回の事件を契機に検証していく。
 大日本印刷は3月12日、ダイレクトメール(DM)印刷などのために顧客から預った約864万件の個人情報が漏えいしていたと発表した。業務を委託していた企業の従業員が不正に持ち出していた。流出した件数は、ソフトバンクBBの450万件、KDDIの400万件の約2倍となる過去最大の漏えい事故となった。また信販会社から預かった個人情報は実際に不正使用されるなどの被害もあった。
大日本印刷から個人情報が流出した企業と件数 企業名 件数
アメリカンホーム保険--------1,504,857
イオン-----------------------581,293
��ECビッグローブ-----------214,487
��TTファイナンス-----------640,225
カルピス---------------------195,552
近畿日本ツーリスト------------65,043
��DDI----------------------113,696
京葉銀行----------------------56,478
ジャックス-------------------150,000
ソネットエンタテインメント----59,026
千葉トヨタ自動車--------------22,788
ディーシーカード-------------337,480
トヨタカローラ神奈川----------43,953
トヨタ自動車-----------------273,277
ニフティ----------------------33,318
日本ヒューレット・パッカード-163,111
弥生-------------------------164,304
��FJニコス---------------1,190,336
公表企業合計---------------5,809,224
その他非公表25社分---------2,828,181
※大日本印刷の公表資料より
 大日本印刷は、個人情報の取り扱いに関する認証の1つであるPマークを取得していたため、Pマーク認証を出している日本情報処理開発協会(JIPDEC)の対応が注目されていたが、3月23日に今回の事件に関して大日本印刷の認証の「取り消し」はせず、次に厳しい措置である「要請」とすることを発表した。
 この措置に関して、多くのマスコミや識者から「処分が甘いのではないか」「Pマークの信頼性が揺らいだのではないか」という批判が相次いだ。こうした批判に対応してJIPDECは3月27日付で追加の声明を発表し、今回の事件について陳謝すると同時にPマーク制度の改革案を発表した。
 JIPDECはPマークの取り消しを行わないというよりは、できなかったというのが実情だろう。現在の制度では、「事故が起きたこと」「機密対策が不十分」というだけでは取り消しができず、JIPDECから改善の「要請」をし、それに対する対応が不十分だった時に初めて取り消しできるような制度になっているのである。制度に基づいて運用する場合「取り消し」ができないのだ。
 ただし、過去に実際に「取り消し」された企業は1社だけであり、認定事業者数が7514社もあることを考えると非常に少ない数にはなっている。
 そもそもPマークはどこまで信頼されていたのであろうか。広告業界やIT業界などでは、取引先に対してPマークの取得を義務付けるケースが多くあるが、これは決して「Pマークを取得していれば絶対に安全」というところまで期待しているわけではない。個人情報の適正な扱いについて「一応の対策をとっている」という保証を得ることを期待している企業がほとんどだと思われる。
��1
 そういったこともあり、実のところ、今回の事件に対して関係業界からは大きな失望の声は聞こえてこない。逆に言うとそこまで大きな期待をしていなかったという冷ややかな見方が大勢である。JIPDECによると事件後のPマーク認証申請の動きに大きな変化はないという。
 Pマーク自体は「機密保持レベルの保証」ではなく、個人情報に関する「マネジメントシステムが確立していることを保証」するような内容になっている。つまり、機密保持に関する企業としての方針が確立していることをチェックすることを主体にした制度になっているのである。
��2
 例えば、内部社員の犯罪も含めて個人情報の漏えいを防ぐためには「メールによるデータ伝送の禁止」「パソコンの外部記憶媒体の接続禁止」などのシステムを使った具体的な対策が必要と思われるが、このような対策をどこまでとるかは基本的には企業独自の判断に任されている。
��3
 この考え方自体は間違っておらず、数千件の個人情報しか管理していない企業に、それなりのシステム投資がかかる対策を取らせることは費用対効果の観点から無理があるのは確かである。
 今回の事件の一般への反響を考えてみると、個人情報を提供する立場の一般の人々がPマーク認証を持っている企業に抱く期待は「機密保持レベルの保証」であると思われる。つまり一般の人々がPマークという認証に抱く期待と実際の制度にはギャップがある。
 大日本印刷も個人情報保護の方針を決めて、ビデオ撮影や入退室の際の手荷物チェックなどの対策をしてきたが、それだけでは機密保持レベルの犯行抑止効果が働かなかったといえる。個人情報保護法施行の前後にPマークを取得した企業が多かったが、ともするとそれだけでは“お守り”か“厄除け”程度の効果しかないのである。
 この批判を意識して、今回JIPDECは制度の改革案を発表したが、その内容は以下の通りである。
・認定事業者の運用状況を定期的に監視・監督する制度
・事故や事件を起こした事業者に対して、一定期間の後に現地審査によって改善措置の実行状況を確認する制度
・大規模な個人情報取扱事業者に対する適正な現地審査の在り方
・内部監査担当者の監査知識・能力を客観的に評価する仕組み
 現在のPマークは、企業規模や保有する個人情報の件数に関係なく一律の制度になっているのは1つの問題である。今回のJIPDECの改善案にも挙げられているように、大規模な個人情報取扱事業者に対しては、それに合わせた機密保持レベルのチェックという考え方を盛り込んでいくことも必要と思われる。
[2007年5月21日]


��1
取引先企業がどの程度個人情報保護対策をとっているか、Pマーク認証取得がその目安とされているということですね。私も、そう思います。
��2
Pマークだけでなく、ISO27000(旧ISMS認証制度)やISO9000なども全てそうですね。個人情報保護や情報セキュリティなど、その水準を保証するのでなく、当該の目的に合致した管理体系があるとの認証ですから、当然と言えば当然です。ですから、保証型の情報セキュリティ監査制度を確立、普及促進させようとのプロジェクトが活動しているのです。
(私も幽霊メンバーです)
��3
企業が表明した管理策がきちんと運用され、PDCAのサイクルが機能しているか、もしくは機能し得るかが認証の基準です。当然、その効果も企業毎に異なります。
と共感することの多い記事でありました。
他の認証制度も含め、’マネジメントシステムの確立’という本来の認証目的ではなく、安全の保証と思われるという誤解を氷解させる、何らかの対策が必要なのだと、私は思います。

0 件のコメント:

コメントを投稿