800万件個人情報漏えいの大日本印刷、Pマークの取り消し処分はナシ
2007年03月25日 11:00
個人情報の管理を適切に行っているという証「プライバシーマーク(Pマーク)」を発行している【日本情報処理開発協会】は3月23日、先に【大日本印刷(7912)で大量情報流出、863万7405件の個人データ持ち出しが確認】でも報じたように【大日本印刷(7912)】が800万件以上の個人情報を漏えいさせた件につき、「改善要請」処分を発表した(【発表リリース(PDF)】)。資格取り消し処分は行わない。
スポンサードリンク
すでに報じられているように、大日本印刷の情報漏えいの件では計864万件あまりもの個人情報が漏えいしたに留まらず、そのデータを元にしたネット通販詐欺も多数発生している。「Pマークをつけていた企業がこの体たらくか」という批判もあり、リリースでも「制度に対する信頼を根底から揺るがす重大な事故と認識しております」と説明している。
その上で協議の結果、同協会では臨時監査の実施や原因の特定、原因に対する改善策を執り行うことなどの6項目における改善を一か月以内に行うよう要求。これについてできなければ資格取り消し、その後六か月間の観察期間を設け、運用が適切でないと判断されればやはり資格の取り消しとする処分を下した。
これらの処分については「ちゃんとやらなきゃ資格取り消し」という縛りがあるものの、実質的にはすでに大日本印刷側が自主的に行う要件であり、何の罰則にもなっていないというのが実情。流出の規模や実害の度合と比べればあまりにも軽すぎる処分に、「Pマークの存在意義、信頼性そのものが疑われる」との批判も多い。
【一部報道】では、金融機関や電話会社、自治体が宛名印刷などの個人情報を取り扱う業務を外部委託する際には、その委託先の選択基準に「Pマーク取得」が前提となるため、仮に大日本印刷が「Pマーク取り消し」ともなれば、これらの企業への影響が大きいから取り消しはしなかったのではないかとする説明がおこなわれている。
しかしそれならばなぜ、そのような事業を主業務とする、しかも上場企業の大会社において、このような問題を起こしてしまうようなスキがあったのか。また、「改善を求めている」のなら、なぜ「改善を求められるような問題点」が多数存在し、その問題点がありながらもPマークを認定していたのか。その疑問に答えるすべは、少なくとも関連会社・機関には無いだろう。
よくよく考えれば今回「Pマークの取り消し」を行わなかったことで、Pマークの信頼性そのものが大きく損なわれたことにならないだろうか。「なんだ、800万件以上も情報漏えいして事件まで引き起こしても、取り消し処分にならないくらいの基準・資格なんだな」と思われる前例を作ってしまったことだけは間違いない。
日本情報処理開発協会のトップページ下部には、これまでの処分件数が掲載されている。
認定事業者 (7,136社) [2007.3.23]
中止事業者 (197社) [2007.3.23]
取消し事業者 (0社)
これらを見れば、Pマークにどこまで有効性があるのか、「資格としての価値」があるのかがある程度うかがいしれよう。
スポンサードリンク
ツイート