パスワードを忘れた? アカウント作成
3407 story

中身のない個人情報保護方針を認めるプライバシーマーク 36

ストーリー by Oliver
ステッ 部門より

ppmarker曰く、"セキュリティホールMEMOで取り上げられたこの指摘によれば、プライバシーマーク制度で認定された複数の一流企業が、個人情報保護方針に意味不明な文言:

事業の内容および規模を考慮した適切な個人情報の収集・利用および提供を行う。
を掲げているという。(例1例2例3。)こうなったのはどうも、 JIS Q 15001
事業者の代表者は、次の事項を含む個人情報保護方針を定めるとともに … なくてはならない。
(a) 事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること。
という指示の文章をそのままコピペしたためではないかということらしい。これじゃまるで、「一言お願いします!」と質問されて、「一言。」と答弁するようなものだ。これを認定してしまうプライバシーマーク制度って…いったい?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 無いほうがマシ (スコア:4, 参考になる)

    by Technical Type (3408) on 2002年07月15日 15時33分 (#125620)
    プライバシーマークって、 このぐらいの悪の限りを尽くさない限り取り消しされない [mainichi.co.jp]上に、 毎日新聞では報道されたものの、 肝心のプライバシーマーク事務局のページでは 取消し事業者はゼロ [privacymark.jp] となっているもんね。 このWebサイトは、情報の賞味期限が遥かに過ぎて、「腐って」ますね。

    良くある「謎の団体」だなぁ。何も仕事しない役人の天下り先?

    • 1995年の阪神・淡路大震災が起きた際に安否確認などの電話によって該当周辺の電話回線がパンクしっぱなしになったのに対して Internet などの通信手段が海外への情報発信も含めて大いにその有用性を発揮したことで、地震等の災害時発生時の各種情報を各プロバイダなどと横断的に情報の交換と掲示等を行えるようにするという発表があったんだけど、その取りまとめ団体(団体名忘れた)も大手プロバイダとの協議委員会を立ち上げた旨の掲載を最後に1年以上その部分が未更新のままという事があったのを思い出した。

      それを見かけてから既に3年以上経っているけど、未だに災害発生時の身内・知人の安否確認は1995年当時と殆ど変わっていないように思う。
      かすかな記憶ではその団体の取りまとめた内容を公表し災害時の混乱を少しでも抑制する為にその際の情報取得の仕方などについて広く認知してもらえるようにするといったニュアンスの文言があったように記憶しているんだけど 6 年経過してそんな発表見聞きした記憶ないし。
      誰かその辺の話しを知ってる?

      携帯電話が増え、音声・メールと二つの手段があるけど災害時って携帯電話のアンテナ基地局だって不能になるものが出てくるだろうし、チャンネル数も十分あるとは思えないから結局またパンクするんだろうな。
      本気でまとめる気が無いならあんな発表なんかしないで欲しいよな。結局何にも未整備なままという学習のがの字も無い最悪な状況になってしまう。
      親コメント
    • by Technical Type (3408) on 2002年07月15日 16時14分 (#125633)
      プライバシーマークSMオンライン有効性確認開発実証 [privacymark.net]も凄いね。2000年6月の情報が最新情報だって。それでまだ有効性の検証もできないとは・・・ リンクは切れてるし。
      親コメント
    • by Anonymous Coward
      取消し事業者はゼロではありませんよ。
      公表できない理由があるか、単なる人手不足だとおもう。
  • 高木氏の指摘には続き [ryukoku.ac.jp]があって、その中に面白い洞察があります。
    > 誰が無能なのですか?

    マークについてる番号の頭1文字は、認定指定機関を指すようですね。
    http://www.jipdec.jp/security/privacy/shiteikikan.html
    によると、Bは、社団法人情報サービス産業協会だそうです。
    つまり、認定指定機関が腐っているということですね。
    で、認定指定機関ってなんなの?と探してみると、ここ [privacymark.jp]に
    個人情報を取り扱う国内に活動拠点を持った 民間事業者を会員とする事業者団体
    って書いてあります。
    で、社団法人情報サービス産業協会の役員 [jisa.or.jp]を見ると...

    何だかなーって感じです。
    --

    -----
    Team Slashdot Japan [tripod.co.jp]に参加しよう。

  • by Anonymous Coward on 2002年07月15日 22時04分 (#125847)
    #やヴァイんで AC

    これは ISO9001 なんかとちがって、会社がある一定以上の条件を満たしているから付与されるという性格のものではなく、環境 ISO の方にむしろ近く感じます。本審査まだなんで確言は出来ないけど、回ってきた審査基準を見ると、「少々問題があっても、制度が機能しないような問題ない限り合格」です。それよりは、問題点の指摘が幹部に上がった場合、それが速やかに制度に反映され、業務に反映されるという仕掛けがあるかのほうが重要視される。その結果は、ま、ご想像の通りだと思いますし、その制度の性格上少々の問題が発生しても、その問題に対して速やかに業務上の修正を行いましたといっている限り、認定が取り消されるものではありません。

    まぁ、そういう制度にマーク出すな、というのはその通りかもしれませんけど、Q 15001 も輸入品だし、第一「マークを出さなければならない」がこの制度を作った理由ですからね。制度は出来ているのに現場が暴走したといって、上層部が責任を回避できるという利点もあるし。

  • by k3c (4386) on 2002年07月15日 15時43分 (#125624) ホームページ 日記
    タレコミ文の「…」のところを展開すると、
    事業者の代表者は、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなければならない。事業者の代表者は、この方針を文書化し、役員および従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない。
    (4.2 個人情報保護方針)とのことなんですが、例に挙げられた各社の「個人情報保護ページ」には、「個人情報保護方針に関するお問い合わせ」とか「お客さま相談窓口」とかいう形で連絡先が提示されています。これがどのような機能を持った窓口かは分かりませんが、とりあえず、「個人情報保護方針を見せてもらえますか?」くらいの問い合わせはやってみてもいいのでは。それでもし「個人情報保護方針」なるものが入手できるのであれば、そしてその方針がJIS Q 15001の要求事項を満たしていれば、それは
    一般の人が入手可能な措置を講じ
    ている、ということに(一応)あたるのではないでしょうか…?で、そういう措置を「講じてます」というのが、例に挙げられた各社の宣言なのではないかと。

    # もちろん、好意的に解釈してます…。

    しかし、個人情報を集めるWebページがあって、そこから「個人情報の取り扱いについてはこちらをご覧下さい」とか言ってリンクを張ってある先にこの例のような文章が挙げられているのなら、それはあきらかにダメでしょう。(4.4.2.4に違反しています。)
    • by Anonymous Coward on 2002年07月16日 3時10分 (#126050)
      昨夕、例1~3の問い合わせ先に電話して確認してみました。

      1のところは、担当者休暇中。

      2のところは、「適切な個人情報の収集、利用および提供を定めた社内規則を遵守します」の社内規則を見せてもらえないかと尋ねたところ、「社内文書なので見せられない」との返事。
      それではJISに準拠していないのではと突っ込んで趣旨を理解してもらった上で、他に見せてもらえる文書はないのかと尋ねたところ、無いとの返事。
      でも後で気付いたのですが、個人情報保護方針 [nri.co.jp]とは別にプライバシー・ポリシー [nri.co.jp]というページがあるではないですか。どう違うねん。というかリンクすればいいのに。

      3のところは、他の文書は何もないとの返事。
      趣旨を説明して、方針が示されていないのでは意味がないのでは?と突っ込んだところ、「こう言ってはなんですが、プライバシーマークの認定を受けているんです。」という返事。そういうものらしい。
      ちなみにページのURLが「praibacy」というオマケ付き(笑い)。

      怖いのでAC。
      親コメント
  • by a Coward (5383) on 2002年07月16日 0時05分 (#125940) ホームページ
    昔パスポートを無くしたときの再発行に行ったときに
    始末書を書かされました。そのときに言われたことは
    例文を見せられて、

    「固有名詞と時間以外はきっちり同じに書いてね」

    でした。私は本当に上の通りほぼきっちり同じの文を
    書いて提出しました。

     役所の場合、「要件が揃っている」=「受理」
    「揃っていない」=「却下」というのが法律に
    よって決められている場合があるので、書類が
    コピペになるのもある程度仕方ない面があります。
    しかし、「日本情報処理開発協会」はお役所じゃない
    ですよね。こりゃ一体なんなのでしょうね?
  • by Akiho (5343) on 2002年07月15日 15時32分 (#125618)
    適切な個人情報の収集・利用』が本当に適切なのか&適切に運用できてるのか
    をどうやって判断するのかが気になる
    • JIS Q 15001:1999のコンプライアンス・プログラム要求事項が言う「適切な収集、利用、提供に関する方針を定めよ」といのは、単に「適切にやれ」と言っているのではなく、「あなたはどのように適切に扱うのですか?それを明示してください」という意味ですね。

      例えば名簿屋にとっては、「収集した個人情報は転売する」というのが、その「事業の内容を考慮」して「適切」であるわけで、そういうポリシーなのか、それとも別のポリシーなのかを消費者に説明するのが個人情報保護に関する方針なわけで。

      どうもこう、日本全体がでしょうか、こういうポリシーを明示することの価値を理解するのが不得手のような気がします。もしかすると、

      「適切」=「第三者に渡さない」
      しかあり得ない。それが当たり前。
      とか思いこんでいて、それを明示することに価値を見いだせないでいるのかも。
      ちゃんとやってるんだから、わざわざポリシー掲げる必要ななんかないよ。
      そもそも何て書いたらいいんだかわからん。例文見せてくれ。
      「当社はきちんとやっています」…と。
      我ながらこんなこと書いて意味あるのか疑問だな。
      まあ、マークが取れるから取っておくか。
      こんな感じなのではないかと。
      親コメント
      • >JIS Q 15001:1999のコンプライアンス・プログラム要求事項が言う「適切な収集、利用、提供に関する方針を定めよ」といのは、単に「適切にやれ」と言っているのではなく、「あなたはどのように適切に扱うのですか?それを明示してください」という意味ですね。

        なるほど。
        つまり、タレコミの挙げている例1~3は明示してないので失格なはずなのですね。
        親コメント
        • > つまり、タレコミの挙げている例1?3は明示してないので失格なはずなのですね。

          たとえば社長に承認されたマニュアルがあったその中に明示してあればいいし、各部署が個別にもつ手順書なりで明示してあればよいと思います。
          部署ごとにポリシーが異なる場合(あるのか?)はWEB上ですべてを公開するのは面倒かも。
          • 事業者の代表者は、この方針を文書化し、役員および従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない
            とありますから、「社長に承認されたマニュアルがあったその中に明示してあればいい」というわけにはいかないのではないでしょうか。マニュアルを一般の人も見せてもらえるというのは考えにくいような。
            親コメント
            • 一般の人が「見せて」と言った時に「はいどうぞ」って見せることが出来ればいいのではないでしょうか?
              ISO9001の品質マニュアルなんかは、対顧客に対してはこういう位置付けですね。ただし、個人情報保護方針に関する位置付けは知りません。

              私が顧客だったら「見せて」と
              • 本末転倒 (スコア:2, すばらしい洞察)

                by Anonymous Coward on 2002年07月16日 3時45分 (#126062)
                WWW を使わずにそれを「見せて」もらうとしたら、
                自分の FAX 番号か住所かメールアドレスを事業者に伝える必要が生じますね。
                個人情報保護方針を確認するために個人情報を提供する必要があるんでは、本末転倒。
                親コメント
              • by Anonymous Coward
                > 個人情報保護方針を確認するために個人情報を提供する必要があるんでは、本末転倒。

                入手した個人情報を社内で保護していれば別に問題はないはず。
                そのための個人情報保護であって、個人の情報の提供についてどうこう言うのとは本来的に意味が違いますね。
                まあ、開示された保護方針を見て「これでは個人情報が保護されない」と思ったら
  • by Anonymous Coward on 2002年07月15日 15時46分 (#125626)
    これら保護方針がJIS準拠とは言い難いにしても、マーク認定が取り消されることは、絶対にないでしょうね。 取り消すということは、認定を行った自分たちが誤っていたと認める事になりますからね。 このまま放置なのでしょう。プライバシーマーク、終わったな。
    • >これら保護方針がJIS準拠とは言い難いにしても、マーク認定が取り消されることは、絶対にないでしょうね。

      取り消されてるみたいですよ(w
      #125620参照

      >取り消すということは、認定を行った自分たちが誤っていたと認める事になりますからね。

      認定取った時点では公正でもそのあとずさんになったということはありうるわけで、別に取り消したからって当時
  • by krackmania (7864) on 2002年07月15日 21時46分 (#125837) 日記
    実際には、プライバシ-や情報についてどのような対策を取ってるか企業の取り組みについて知りたい。
    実際に働いてる人の情報求む。
    NHK特集で見たけどイマイチ納得できない所が・・・。
    希にHARDOFFなんかコレやべ-って情報入ってる格安HDDやFDなんか見かけるのだが、こういうのはHARDOFF側で処分すべき
    でないのかな<汗
  • by wadatch (6649) on 2002年07月15日 21時56分 (#125843) 日記
    方針だからってのもあるんじゃないですかね。
    この下にこの方針をとるためには自分たちがどうすべきかをずらずら決めていて、 ここの必要書類一覧 [privacymark.jp]入っているのではないかなと思います。
    ただ、それが「絵に描いた餅」になっていないかどうやって監査してるのか大変興味がありますが・・・。
  • by minz (3213) on 2002年07月16日 0時28分 (#125953) ホームページ 日記
    認証までで、ん百万円以上の時価ご奉仕。

    こういうのを平気で成果物にするコンサルが山ほどいるから、
    日本じゃコンサル屋の認知度なんて上がらないんだろうな。

    それにしたってこのあたりの方針の明示って、一番気をつかうところなんだが…
    どこをどうやると「コピペ」になるんだぁ~。

    #セキュリティ屋のコンサルのはしくれなので、自戒をこめて、ですが
    --
    みんつ
    • by Anonymous Coward
      いやあ、他人の成果物を「私が指導した」とか
      遠くでしゃべってくる方多いですね。
      #ばれないと思ってるんだろうか
      #業界は狭い。地獄耳だぞ :)

      >認証までで、ん百万円以上の時価ご奉仕。

      お客が儲かるようにすればい
  • by Anonymous Coward on 2002年07月15日 15時31分 (#125615)
    私の勤務先の個人情報保護方針にも
    これらの取扱は、当社の事業内容や規模に合せて適切に行います。
    なんてかたちでばっちり入ってるよ。
    # 恥ずかしいのでAC
  • by Anonymous Coward on 2002年07月15日 18時11分 (#125700)

    csvファイルを誰でも閲覧できるフルオープンの状態にしておいても「ハッカーに攻撃された」と言い張れるお国柄ですから、プライバシーを本当の意味で守ってくれる保証なんて誰もできないのでは。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...