こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般財団法人日本情報経済社会推進協会(JIPDEC)は10月27日、プライバシーマーク(ロゴ)の不正使用について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】プライバシーマークが不正に使用されている状況について、発表されています。プライバシーマークが付与されるために必要な条件や、セキュリティの第三者認証や国際規格に準じる意味について説明します。
プライバシーマークとは、Pマークとも略される、個人情報について適切な保護体制を整備している事業者に付与されるロゴです。一般的に、プライバシーマークが付与されている事業者は個人情報の取り扱いを適切に行っていることが第三者から認証されていることを示します。
今回の問題は、プライバシーマークの非付与事業者によるWebサイト、DMでの不正使用やプライバシーマークの付与契約が終了しているプライバシーマークの中止事業者による不正使用について発表されています。また、一般財団法人日本情報経済社会推進協会、通称JIPDECは、プライバシーマークのロゴが使用されている模倣サイトやなりすましECサイトの増加についても注意喚起を行っています。
JIPDECはプライバシーマークの不正使用を監視しており、不正使用事業者に対して必要に応じ法的措置を講じることも含め対処すると発表しています。また、不正使用している事業者を発見した場合は、JIPDECに連絡するよう協力を呼びかけています。
プライバシーマークが付与される対象は、病院や学校などを除いた、国内に活動拠点を持ち、日本産業規格に適合して、個人情報について適切な保護体制を整備している組織に付与されます。具体的な内容について説明します。
プライバシーマークが付与されるためには、日本産業規格のJIS Q 15001に基づいたPMSと呼ばれる個人情報保護マネジメントシステムを定めていることが求められます。PMSとは、Personal information protection Management Systemの略で、事業者が保持する個人情報を保護するための方針、体制、計画、実施、点検および見直しを含みます。PMSは社員等に周知された上で実行可能であることが求められます。
JIS Q 15001個人情報保護マネジメントシステムの要求事項では、個人情報を事業のために使っている、あらゆる事業者に適用できるPMSに関する要求事項について規定されています。具体的には、個人情報保護に関する取組みについて文書化し「個人情報保護方針」として内外に示すべきであると要求していますので、ホームページ等で公開されている個人情報保護に関する文書をご覧になられた事はないでしょうか。
その他にも、内部規定の策定や、個人情報の取得や利用、管理について定められており、これらの要求事項を満たし、個人情報の保護を適切に行っていると判断された組織は、JIPDECからプライバシーマークの使用が認められることになります。
プライバシーマークが不正使用されている理由として、ロゴが掲載されているだけでユーザに一定の信用を与えていることから、プライバシーマークの取得自体が目的になっている現状が挙げられます。「手段の目的化」とも言える問題について説明します。
実効性の伴うセキュリティの取り組みとするために、PMSやISMSなどは構築した後もPDCAが回り続けることまで意識して取り組みようにしましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ