2,300万件が流出?

今回の個人情報漏えい事件の波紋は大きい。流出した2,300万件という個人情報は、日本の人口(15~64才)約7,856万人の3割弱を占めるわけだから、彼岸の火事ではすまされない忌々しき事件だ。

弊社も事件後、スタッフ全員で事件の背景や問題点を共有し、自社に置き換えた場合の予防策と抑止効果について、この事件から何を学ぶべきかを検証している。
断片的にしか見えてこない事件発生の疑問点・・、

・個人情報運用を外注しているのか?システムのメンテナンスを外注しているのか?
・派遣スタッフにDBへのアクセス権限を与えている?
・プライバシーマークを取得しているにも関わらず、どうして今回のようなずさんな管理が見過ごされてきたのか?
・貸与PC端末で個人情報のメンテナンス?そのPC端末にスマホで接続できる状況を予想していないのは何故?
・漏えいはいつから行われていれていたのか?顧客のクレームによってしか発見できなかったのか?
・2次被害防止のための事件後の対処、SNS対応も考慮すべき・・‥等。

真相が見えてこない内に、コメントは控えるべきだと思うが、ユーザー保護の観点から業界、関係団体の問題としても改善すべき点があると思う。一般的に、自分の個人情報を提供する時、ユーザーは何を基準に信頼性を判断するのだろうか?

殆どの人は、その企業の知名度や信頼性を担保するか、「プライバシーポリシー」を参照したり、「プライバシーマーク」を取得しているかどうで判断されることが多いと思われる。現実的には個人情報を取り扱う企業ならこの「プライバシーマーク」を取得していないと受注できないというのが実情であるから、取得に積極的だし運用にも細心の注意を払っているはずである。なのになぜ今回のような事件は発生したのだろうか?改めて「プライバシーマーク」って何?という疑問を抱く方も多いのでは。

Pマークは取得しているが、その運用や外部監査時の対応は外部のコンサルタント任せというケースが横溢しているのではないか?利用者の多くが、この「プライバシーマーク」を頼りに情報提供先の水準を担保しているのだから、消費者の信頼を裏切らないためにもこうした信用機関の指導、審査水準の向上を望みたい。

※「プライバシーマーク」は、一般財団法人日本情報経済社会推進協会(JIPDEC)が2年に1度の監査を実施し、JISQ15001規準をみたしている団体に発行している安全保証資格。

弊社もこの団体の外部監査を5回受けているが、毎回思うことはこの審査システムの形骸化。書類審査が主体で文言の訂正や書類の不備は指摘されるけど、刻々と変わるネット利用の問題点や対策などについての指導は殆どないといってよい。例えばfacebook上での個人情報の漏えいは運営主体の企業にその責任範囲はどこまで及ぶのか及ばないのか?クラウドサービスの利用は安全といえるのか?個人情報保護の観点から不正事件に学ぶ事例はどんな事例か?またその対策は‥‥等この機会に指導やアドバイスを求めるが、明確な回答をいただくことはない。

今回の事件からの警鐘として、「プライバシーマーク」の重みを、消費者保護の立場から、しっかりと受け止めていただきたいものである。

garasspmark

こういう事件が発生すると、まず消極的な方向へベクトルが向いてしまい慎重意見があるのは当然なことだが、もともと日本の保護法・JIS規格は、取扱いルールを明確化して個人情報を積極的に活用しようというOECDの8原則に根差しているはず。今回の事件の真相究明と事実を公開し、より安全な運用を追及し続ける姿勢を保持していきたいものである。

一緒に働きませんか? コマース求人情報はこちらから>