成長したJIPDEC?結果責任を問う処置は当然ながら立派!
- ベネッセコーポレーション
- プライバシーマーク(Pマーク)取り消し
- JIPDEC
http://itpro.nikkeibp.co.jp/atcl/news/14/112602031/?ST=system
ベネッセのプライバシーマーク取り消し、JIPDEC
2014/11/26
大豆生田 崇志=日経コンピュータ (筆者執筆記事一覧)
日本情報経済社会推進協会(JIPDEC)は2014年11月26日、7月に顧客情報の大量漏洩が発覚したベネッセコーポレーションへのプライバシーマーク(Pマーク)の付与を取り消すと発表した。20日に同社へ通知した。
ベネッセは26日にWebサイトで、取り消し措置は「事故発生時の当社の管理状況に関する報告に基づくもの」とし、「経済産業省への改善報告書に記載した情報セキュリティ対策を引き続き鋭意進めていく」と公表している。
JIPDECは取り消しの理由について、「委託先の監督及び安全管理措置(資源、役割、責任及び権限を含む)の両面において不備があった」ことや、漏洩した個人情報が膨大で「幼児や小中学生などの若年層の個人情報を多数含むため、長期にわたる事故の影響が見過ごせないと判断された」としている。さらに、「プライバシーマーク制度の信頼性に対しても重大な影響をもたらした」という理由を挙げている。
JIPDECによると、これまでPマークの取り消しとなった事業者は2社目。JIPDECは10月にジャストシステムに対して勧告措置を公表している。ベネッセコーポレーションは2006年1月に最初にPマークを取得して以降、2年ごとに4回更新し、直近では2014年2月14日に更新認定を受けたという。取り消された後に再取得する場合、1年間は申請できない。
プライバシーマークは、JIPDECが個人情報に適切な保護措置を行う体制を整備していると独自に認定する制度。日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合するか民間事業者団体の指定機関が審査して、JIPDECが付与している。
※
- 情報セキュリティ、個人情報保護、など第三者による認定認証の制度は仕組み、プロセスの管理が大事と強調されるが、それは方法論の一環であるに過ぎないことを正しく理解すべきだ。「先生に言われた通りに正しくやりましたが結果は駄目でした」では本当に駄目なのです。仕組み・プロセスは正しい結果をもたらすことを期待して整備改善されますが、結果がNGの時はどんな言い訳も通用しません。結果が全てであり、結果が外部から持たされたら最低なのです。
- 従って、Pマーク付与取り消しは当然の処置です。顧客あるいは個人を守れなかった事実の前にはどんな理由も否定されるものです。
- 企業側の問題であろうが審査側の問題であろうが、結果は不適合だったのだから取り消さざるを得ません。
- 一方で、ISMSはどうか?。Pマークよりマネジメント(組織・プロセス)を重視しますが、所詮は同じ土俵です。ISMS審査機関は特別審査を実施しました。特別審査(臨時審査?)の結果は改善ポイントを明らかにしたものの認証取り消しとはしなかったのではないでしょうか?。
- 問題は若干複雑です。(1)ベネッセの管理能力が適正な水準にあるかどうかの審査。(2)審査は適切に実施されたか(計画と実績)、更には(3)審査レビューは適切に行なわれたか。
- 俯瞰すれば単純です。
- (1)については全く不十分だったということです。必要移住にリスクを抱え込み、漏えいされ、自ら気付くことも出来なかったのですから認証のレベルにない。特別審査でもこれを良し=認証登録の取り消しに至らず=とするなら審査の意味は何もないでしょう。
- (2)審査は適切だったと判断しているかも知れない。JIPDECにも当然そのように報告しているだろう。
- (3)審査レビューも問題なしで通しているだろうか。
- 要するにどの一つが躓いても、この能率最優先の審査機関のビジネスモデルにひびが入るからだ。言い訳の決めては主たる問題は適用範囲の外にあったとすることかも知れない。常套手段だが、不適切な適用除外は許されないことも知っての上での言い訳だったら問題の根は深い。
- 他の審査機関のように第三者を入れた審査判定委員会がないから、全てが能率最優先で動く。その弊害は全ての審査プロセスに潜伏しているだろう。
- JIPDECはこの審査機関に対してどの程度の審査をやっただろうか。効率一辺倒ビジネスの裏にあるブラック企業的側面の有無まで調べただろうか。パワハラとか就業時間とかの問題の有無まで調べたかな?。只の噂で事実無根かもしれない。JIPDECはUK本社ともコンタクトすべきかも知れない。
