サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 増えるプライバシーマークの不正使用に注意喚起

増えるプライバシーマークの不正使用に注意喚起

目次
  • 今回の解説ニュース
  • Pマーク取得事業者が満たしている基準
  • なぜ不正使用をしてまでPマークを使いたい事業者がいるのか?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

プライバシーマーク不正使用を JIPDEC 注意喚起、不正使用事案バイネーム掲載

一般財団法人日本情報経済社会推進協会(JIPDEC)は10月27日、プライバシーマーク(ロゴ)の不正使用について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

プライバシーマークが不正に使用されている状況について、発表されています。プライバシーマークが付与されるために必要な条件や、セキュリティの第三者認証や国際規格に準じる意味について説明します。

プライバシーマークとは、Pマークとも略される、個人情報について適切な保護体制を整備している事業者に付与されるロゴです。一般的に、プライバシーマークが付与されている事業者は個人情報の取り扱いを適切に行っていることが第三者から認証されていることを示します。

今回の問題は、プライバシーマークの非付与事業者によるWebサイト、DMでの不正使用やプライバシーマークの付与契約が終了しているプライバシーマークの中止事業者による不正使用について発表されています。また、一般財団法人日本情報経済社会推進協会、通称JIPDECは、プライバシーマークのロゴが使用されている模倣サイトやなりすましECサイトの増加についても注意喚起を行っています。

JIPDECはプライバシーマークの不正使用を監視しており、不正使用事業者に対して必要に応じ法的措置を講じることも含め対処すると発表しています。また、不正使用している事業者を発見した場合は、JIPDECに連絡するよう協力を呼びかけています。

Pマーク取得事業者が満たしている基準

プライバシーマークが付与される対象は、病院や学校などを除いた、国内に活動拠点を持ち、日本産業規格に適合して、個人情報について適切な保護体制を整備している組織に付与されます。具体的な内容について説明します。

プライバシーマークが付与されるためには、日本産業規格のJIS Q 15001に基づいたPMSと呼ばれる個人情報保護マネジメントシステムを定めていることが求められます。PMSとは、Personal information protection Management Systemの略で、事業者が保持する個人情報を保護するための方針、体制、計画、実施、点検および見直しを含みます。PMSは社員等に周知された上で実行可能であることが求められます。

JIS Q 15001個人情報保護マネジメントシステムの要求事項では、個人情報を事業のために使っている、あらゆる事業者に適用できるPMSに関する要求事項について規定されています。具体的には、個人情報保護に関する取組みについて文書化し「個人情報保護方針」として内外に示すべきであると要求していますので、ホームページ等で公開されている個人情報保護に関する文書をご覧になられた事はないでしょうか。

その他にも、内部規定の策定や、個人情報の取得や利用、管理について定められており、これらの要求事項を満たし、個人情報の保護を適切に行っていると判断された組織は、JIPDECからプライバシーマークの使用が認められることになります。

なぜ不正使用をしてまでPマークを使いたい事業者がいるのか?

プライバシーマークが不正使用されている理由として、ロゴが掲載されているだけでユーザに一定の信用を与えていることから、プライバシーマークの取得自体が目的になっている現状が挙げられます。「手段の目的化」とも言える問題について説明します。

取得する事自体が目的となることが招くPMSの形骸化
例えば皆さんも、セキュリティやテクノロジーの勉強をするときに、まずは資格の取得を目指す方もいらっしゃるのではないでしょうか。確かに、資格を取得するために勉強することは、専門分野を学ぶためのモチベーションにもなりますし、途中で挫折しないためにも資格の取得を一つの通過点とすることは良いことだと思います。ただし、資格を取得すること自体が目的になってしまうと、ただ正解を覚えるだけになってしまい、実務で応用が利かなくなってしまうことも考えられます。プライバシーマークにも同様のことが言えるのではないでしょうか。プライバシーマークの取得は本来、個人情報を適切に取り扱うための手段を提供するものですが、プライバシーマークの取得自体が目的となってしまうと、PMSが形骸化してしまうことが考えられます。
「ロゴさえ取得できればよい」という考えの危険性
ロゴの取得さえできてしまえばよいという考えが、プライバシーマークの不正使用につながっていると考えられます。結果として、信用して個人情報を提供したユーザを裏切りることになりかねません。これは、プライバシーマークだけの問題ではなく、ISO 27001やその他のセキュリティ規格でも同様です。

実効性の伴うセキュリティの取り組みとするために、PMSやISMSなどは構築した後もPDCAが回り続けることまで意識して取り組みようにしましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ