中身のない個人情報保護方針を認めるプライバシーマーク 36
ストーリー by Oliver
ステッ 部門より
ステッ 部門より
ppmarker曰く、"セキュリティホールMEMOで取り上げられたこの指摘によれば、プライバシーマーク制度で認定された複数の一流企業が、個人情報保護方針に意味不明な文言:
事業の内容および規模を考慮した適切な個人情報の収集・利用および提供を行う。を掲げているという。(例1、 例2、 例3。)こうなったのはどうも、 JIS Q 15001 の
事業者の代表者は、次の事項を含む個人情報保護方針を定めるとともに … なくてはならない。という指示の文章をそのままコピペしたためではないかということらしい。これじゃまるで、「一言お願いします!」と質問されて、「一言。」と答弁するようなものだ。これを認定してしまうプライバシーマーク制度って…いったい?"
(a) 事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること。
無いほうがマシ (スコア:4, 参考になる)
良くある「謎の団体」だなぁ。何も仕事しない役人の天下り先?
更新がいつまでたってもされない団体で思い出したのが (スコア:2, 参考になる)
それを見かけてから既に3年以上経っているけど、未だに災害発生時の身内・知人の安否確認は1995年当時と殆ど変わっていないように思う。
かすかな記憶ではその団体の取りまとめた内容を公表し災害時の混乱を少しでも抑制する為にその際の情報取得の仕方などについて広く認知してもらえるようにするといったニュアンスの文言があったように記憶しているんだけど 6 年経過してそんな発表見聞きした記憶ないし。
誰かその辺の話しを知ってる?
携帯電話が増え、音声・メールと二つの手段があるけど災害時って携帯電話のアンテナ基地局だって不能になるものが出てくるだろうし、チャンネル数も十分あるとは思えないから結局またパンクするんだろうな。
本気でまとめる気が無いならあんな発表なんかしないで欲しいよな。結局何にも未整備なままという学習のがの字も無い最悪な状況になってしまう。
Re:無いほうがマシ (スコア:1)
Re:無いほうがマシ (スコア:0)
公表できない理由があるか、単なる人手不足だとおもう。
Re:無いほうがマシ (スコア:2, 興味深い)
丁度2年ほど前に調べた時には約300社中で既に10数社取り消しされていたと記憶していますが、
ひょっとして有効期限が切れた(過ぎた)事業者については公開しないつもりなのでしょうか?
Re:無いほうがマシ (スコア:1, おもしろおかしい)
つまり、やっぱり「何も仕事しない役人の天下り先」ってことですか?
誰が無能なのですか? (スコア:4, 興味深い)
で、認定指定機関ってなんなの?と探してみると、ここ [privacymark.jp]に って書いてあります。
で、社団法人情報サービス産業協会の役員 [jisa.or.jp]を見ると...
何だかなーって感じです。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:誰が無能なのですか? (スコア:2, おもしろおかしい)
自画ズサン
Re:誰が無能なのですか? (スコア:0)
プライバシーを確保できる具体的なフレームワーク
を提示してほしい。
とおもう。
(こんなところで話題ののぼるのは心外かもしれないけど...)
これはこういうものです (スコア:4, 参考になる)
これは ISO9001 なんかとちがって、会社がある一定以上の条件を満たしているから付与されるという性格のものではなく、環境 ISO の方にむしろ近く感じます。本審査まだなんで確言は出来ないけど、回ってきた審査基準を見ると、「少々問題があっても、制度が機能しないような問題ない限り合格」です。それよりは、問題点の指摘が幹部に上がった場合、それが速やかに制度に反映され、業務に反映されるという仕掛けがあるかのほうが重要視される。その結果は、ま、ご想像の通りだと思いますし、その制度の性格上少々の問題が発生しても、その問題に対して速やかに業務上の修正を行いましたといっている限り、認定が取り消されるものではありません。
まぁ、そういう制度にマーク出すな、というのはその通りかもしれませんけど、Q 15001 も輸入品だし、第一「マークを出さなければならない」がこの制度を作った理由ですからね。制度は出来ているのに現場が暴走したといって、上層部が責任を回避できるという利点もあるし。
Re:これはこういうものです (スコア:0)
現場の暴走・・・こわいね。
一般の人が入手可能な措置 (スコア:3, 興味深い)
# もちろん、好意的に解釈してます…。
しかし、個人情報を集めるWebページがあって、そこから「個人情報の取り扱いについてはこちらをご覧下さい」とか言ってリンクを張ってある先にこの例のような文章が挙げられているのなら、それはあきらかにダメでしょう。(4.4.2.4に違反しています。)
Re:一般の人が入手可能な措置 (スコア:3, 興味深い)
1のところは、担当者休暇中。
2のところは、「適切な個人情報の収集、利用および提供を定めた社内規則を遵守します」の社内規則を見せてもらえないかと尋ねたところ、「社内文書なので見せられない」との返事。
それではJISに準拠していないのではと突っ込んで趣旨を理解してもらった上で、他に見せてもらえる文書はないのかと尋ねたところ、無いとの返事。
でも後で気付いたのですが、個人情報保護方針 [nri.co.jp]とは別にプライバシー・ポリシー [nri.co.jp]というページがあるではないですか。どう違うねん。というかリンクすればいいのに。
3のところは、他の文書は何もないとの返事。
趣旨を説明して、方針が示されていないのでは意味がないのでは?と突っ込んだところ、「こう言ってはなんですが、プライバシーマークの認定を受けているんです。」という返事。そういうものらしい。
ちなみにページのURLが「praibacy」というオマケ付き(笑い)。
怖いのでAC。
お役所みたい? (スコア:2, 興味深い)
始末書を書かされました。そのときに言われたことは
例文を見せられて、
「固有名詞と時間以外はきっちり同じに書いてね」
でした。私は本当に上の通りほぼきっちり同じの文を
書いて提出しました。
役所の場合、「要件が揃っている」=「受理」
「揃っていない」=「却下」というのが法律に
よって決められている場合があるので、書類が
コピペになるのもある程度仕方ない面があります。
しかし、「日本情報処理開発協会」はお役所じゃない
ですよね。こりゃ一体なんなのでしょうね?
適切? (スコア:1)
をどうやって判断するのかが気になる
「適切」は事業内容毎に異なる だから明示が必要 (スコア:5, 参考になる)
例えば名簿屋にとっては、「収集した個人情報は転売する」というのが、その「事業の内容を考慮」して「適切」であるわけで、そういうポリシーなのか、それとも別のポリシーなのかを消費者に説明するのが個人情報保護に関する方針なわけで。
どうもこう、日本全体がでしょうか、こういうポリシーを明示することの価値を理解するのが不得手のような気がします。もしかすると、
とか思いこんでいて、それを明示することに価値を見いだせないでいるのかも。 こんな感じなのではないかと。Re:「適切」は事業内容毎に異なる だから明示が必要 (スコア:1)
なるほど。
つまり、タレコミの挙げている例1~3は明示してないので失格なはずなのですね。
Re:「適切」は事業内容毎に異なる だから明示が必要 (スコア:0)
たとえば社長に承認されたマニュアルがあったその中に明示してあればいいし、各部署が個別にもつ手順書なりで明示してあればよいと思います。
部署ごとにポリシーが異なる場合(あるのか?)はWEB上ですべてを公開するのは面倒かも。
Re:「適切」は事業内容毎に異なる だから明示が必要 (スコア:3, 参考になる)
Re:「適切」は事業内容毎に異なる だから明示が必要 (スコア:0)
ISO9001の品質マニュアルなんかは、対顧客に対してはこういう位置付けですね。ただし、個人情報保護方針に関する位置付けは知りません。
私が顧客だったら「見せて」と
本末転倒 (スコア:2, すばらしい洞察)
自分の FAX 番号か住所かメールアドレスを事業者に伝える必要が生じますね。
個人情報保護方針を確認するために個人情報を提供する必要があるんでは、本末転倒。
Re:本末転倒 (スコア:0)
入手した個人情報を社内で保護していれば別に問題はないはず。
そのための個人情報保護であって、個人の情報の提供についてどうこう言うのとは本来的に意味が違いますね。
まあ、開示された保護方針を見て「これでは個人情報が保護されない」と思ったら
プライバシーマーク制度は死にました (スコア:1, おもしろおかしい)
Re:プライバシーマーク制度は死にました (スコア:0)
取り消されてるみたいですよ(w
#125620参照
>取り消すということは、認定を行った自分たちが誤っていたと認める事になりますからね。
認定取った時点では公正でもそのあとずさんになったということはありうるわけで、別に取り消したからって当時
Re:プライバシーマーク制度は死にました (スコア:2)
けど (スコア:1)
実際に働いてる人の情報求む。
NHK特集で見たけどイマイチ納得できない所が・・・。
希にHARDOFFなんかコレやべ-って情報入ってる格安HDDやFDなんか見かけるのだが、こういうのはHARDOFF側で処分すべき
でないのかな<汗
方針 (スコア:1)
この下にこの方針をとるためには自分たちがどうすべきかをずらずら決めていて、 ここの必要書類一覧 [privacymark.jp]入っているのではないかなと思います。
ただ、それが「絵に描いた餅」になっていないかどうやって監査してるのか大変興味がありますが・・・。
これでも (スコア:1)
こういうのを平気で成果物にするコンサルが山ほどいるから、
日本じゃコンサル屋の認知度なんて上がらないんだろうな。
それにしたってこのあたりの方針の明示って、一番気をつかうところなんだが…
どこをどうやると「コピペ」になるんだぁ~。
#セキュリティ屋のコンサルのはしくれなので、自戒をこめて、ですが
みんつ
Re:これでも (スコア:0)
遠くでしゃべってくる方多いですね。
#ばれないと思ってるんだろうか
#業界は狭い。地獄耳だぞ :)
>認証までで、ん百万円以上の時価ご奉仕。
お客が儲かるようにすればい
参ったなぁ (スコア:0)
# 恥ずかしいのでAC
Re:参ったなぁ (スコア:1, おもしろおかしい)
Re:参ったなぁ (スコア:1, 興味深い)
と思って、東芝 [toshiba.co.jp]の個人情報保護方針 [toshiba.co.jp]のページを見ると、これは全然違っている。 揃って親会社の真似をしたわけでもないのね。
# でも、真似をした方がまだまし...
Re:参ったなぁ (スコア:0)
プライバシー厳守まではまだ長い道のり (スコア:0)
csvファイルを誰でも閲覧できるフルオープンの状態にしておいても「ハッカーに攻撃された」と言い張れるお国柄ですから、プライバシーを本当の意味で守ってくれる保証なんて誰もできないのでは。