ICHIRO BLOG引っ越しました

山本一郎です。長男と次男がベネッセの教材を買っていたんですが、なぜかお詫びのお手紙が7通もベネッセから送られてきて、先方の情報処理において我が子がどのように細胞分裂していたのか知りたいなあとも思う次第であります。

そのベネッセの件、昨年の話になりますが、一般財団法人日本情報経済社会推進協会（JIPDEC）は、大規模な顧客情報漏洩事故を起こしたベネッセのプライバシーマーク対応をどうするかについて長らく対応協議中でしたが、4か月を経てようやく11月に結論を出していました。

株式会社ベネッセコーポレーションのお客様情報の漏えいについて（JIPDEC 14/7/10）

当協会が運営するプライバシーマーク制度の付与事業者である株式会社ベネッセコーポレーション（登録番号：10190316(05)）におきまして、大規模な個人情報の漏えいと思われる事故が発生した旨、公表されました。 当協会としましては、この事実を重く受け止め、当該事故に関する事実関係を確認したうえで、厳正に対応いたします。JIPDEC

株式会社ベネッセコーポレーションへの措置通知について（JIPDEC 14/11/26）

当協会は、プライバシーマーク制度の付与事業者である株式会社ベネッセコーポレーション（登録番号：10190316(05)）の個人情報の取扱いに関し、プライバシーマーク制度委員会による審議を経て「プライバシーマーク制度運営要領」の「プライバシーマーク付与に関する規約」第15 条に基づくプライバシーマークの付与取消し措置とすることを決定し、同社にこれを通知いたしました。JIPDEC

この措置を受け、ベネッセでも自社Webサイトにて以下のようなページを公開しています。

よくいただくご相談とその回答（ベネッセお客様本部 2014/11/26）

プライバシーマークの取り消し措置とはどのようなものですか。また、どのように捉えているのでしょうか。

回答

この度のお客様情報の漏えいを受けて、一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターより、「プライバシーマーク付与の取り消し措置」を決定した旨、通知がありました。この措置は、事故発生時の当社の管理状況に関する報告に基づくものです。

弊社としては、既に提出が完了しております経済産業省への改善報告書に記載した情報セキュリティ対策を引き続き鋭意進めていくとともに、全グループをあげて再発防止に徹底して取り組み、信頼回復に努めてまいります。ベネッセお客様本部

起きてしまったことはもはや取り返しようがありませんから、今後は同様な事態が起きないように努めていただきたいところです。

他方、ベネッセから流出した個人情報を大量に購入していたジャストシステムについては、ベネッセよりも先に以下のように勧告措置がとられておりました。

プライバシーマーク付与事業者に対する措置について（JIPDEC 14/10/10）

当協会は、プライバシーマーク制度の付与事業者である株式会社ジャストシステム（登録番号：22000030(06)）の個人情報の取扱いに関し、プライバシーマーク制度委員会による審議を経て「プライバシーマーク制度運営要領」の「プライバシーマーク付与に関する規約」第13 条に基づく勧告措置とすることを決定し、同社にこれを通知いたしました。JIPDEC

ジャストシステムがこれらの個人情報を購入した際、違法な手口で入手されたデータであることを確信していたのではないかと疑わなくもありませんが、ここは疑わしきは罰せずという原則に倣ったということなのでしょうか、プライバシーマークの停止までには及ばずという判断になっています。

しかしながら、こうした事故が起きる度にプライバシーマーク制度の効用そのものがはたして意味はあるのかという疑問が繰り返し問われ続けているのも事実です。実務担当者の立場から見れば、ライバシーマークにはほとんど効果を期待できないといった論考もあるようです。プライバシーマークがついていても、玄関先に張ってある「犬」というシールみたいなもので、結局なんだかんだで入られたり出てったりしてるじゃないかという話です。

プライバシーマーク取得企業の現実（何気ない記録 14/9/26）

私自身はコンサルとしての立場ではなく、クライアント企業側の実務担当者であったり、責任者という立場でヒアリングや更新作業に従事していたわけなんですが、ハッキリいうと、ほとんど効果なんて期待できません。
（中略）
審査料として数十万はらい、コンサルの助言もちゃんとうけ、最低限の事はやってますよ、というのが企業側の意見なんですが、それは情報を如何に守るかという取り組みではなく、企業を如何に守るか、つまり、万が一漏洩した場合にも「ちゃんとやるべきことはやっており、その事を第三者にちゃんとチェックしてもらっていましたよ」という事を述べたいだけであって、そんなものは「お客様の情報を守る為の取り組み」ではないんですよ。何気ない記録

マジですか…。

こういう制度が全く無いよりはマシだろうが、あってもそれほど効果は期待できないという感じなのでしょうか。なかなかむつかしいところであります。

城田さんも以下のようなツイートされていますね。

ベネッセのPマーク:取り消しが話題だが、注目すべきはこれから。つまり、Pマーク取り消しでもベネッセの顧客が減らなければ、Ｐマークが形骸化していることの証明になってしまう。JIPDECは自らの首を絞める結果にならなければいいが。
RT http://itpro.nikkeibp.co.jp/atcl/news/14/112602031/ …
Twitter- 城田真琴

ところで、プライバシーマークという話題のついでになりますが、個人情報取り扱いでは国内でも最大手事業者の一つに数えられるであろうCCCのプライバシーマーク付与有効期間が昨年の2月7日で満了となっているようです。

プライバシーマーク付与事業者一覧（JIPDEC 15/1/8）

プライバシーマーク付与の有効期間は2年ごとに更新が必要となっており、更新申請については「有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければなりません」（[http://privacymark.jp/privacy_mark/about/validity_period.html 有効期間について]）と定められています。よく分からないのは、先のプライバシーマーク付与事業者一覧には「有効期間を過ぎている事業者は現在更新手続き中です。更新手続き中の場合は、引き続きプライバシーマークの使用を認めています」とあるので、単に更新が反映されていないだけなのかもしれません。ざっと事業者一覧データを見たところ、同じような平成26年2月というタイミングで有効期間が満了したままになっている事業者は他にありません。

で、この事態を受けて、ネット民の一部では同社がプライバシーマークを放棄したのではないかという憶測が出たりしておりましたが、実際にJIPDECへ問い合わせたという方がツイートされておりましたので、以下にそのまま引用しておきます。

JIPDECへの問い合わせで興味深いことが判明しました。
CCCのPマークは期限が切れておりますが現時点でも「更新審査の途上」とのことです。

また、JIS不適合に関しては当方の指摘通り「利用者の同意を得ていない状態」であり、CCCに改善を求めるとの回答でした。書肆ふろすてぃ（ただの古本屋のようだ）

なるほど。JIS不適合云々の話は、CCCによる第三者への個人情報提供にまつわるエンドユーザー側のオプトアウト手法がNGということのようですが、これはこれでなにやら興味深い展開が今後あるのかもしれないですね。更新審査の結果を正座して待ちたいところです。

なお、情報流出事件を起こしてしまったベネッセの方については集団訴訟が規模を拡大化する可能性も出てきたようで、こちらも成り行きが気になるところです。

集団訴訟、異例の規模に＝訴状ひな型で個人も提訴―ベネッセ情報流出事件（時事通信/Yahoo!ニュース 15/1/4）

約3504万件の個人情報が名簿業者に売却された通信教育大手ベネッセコーポレーションの顧客情報流出事件で、同社に損害賠償を求めて提訴する動きが本格化している。同社側は「おわびの品」として1件当たり500円分の金券を提供中だが、「誠意が感じられない」「子どもの情報が漏れたのに金額が安すぎる」などと納得していない被害者が多く、同種訴訟としては異例の規模に拡大する勢いだ。時事通信/Yahoo!ニュース

私の子供たちも何人かに分裂していることですし、一口乗ってみようかと思わないでもありません。こういうのってどこにもしもしすれば教えてくれるんでしょうかね。