プライバシーマーク取消し「メイケイ」「ベネッセコーポレーション」勧告「ジャストシステム」

ベネッセのプライバシーマーク取り消し、JIPDEC ＜2014/11/26 日経コンピュータ＞
　一般財団法人日本情報経済社会推進協会（JIPDEC）は2014年11月26日、7月に顧客情報の大量漏洩が発覚したベネッセコーポレーションへのプライバシーマーク（Pマーク）の付与を取り消すと発表した。20日にベネッセコーポレーションへ通知した。
　ベネッセコーポレーションは2014年11月26日にWebサイトで、取り消し措置は「事故発生時の当社の管理状況に関する報告に基づくもの」とし、「経済産業省への改善報告書に記載した情報セキュリティ対策を引き続き鋭意進めていく」と公表している。
　JIPDECは取り消しの理由について、「委託先の監督及び安全管理措置（資源、役割、責任及び権限を含む）の両面において不備があった」ことや、漏洩した個人情報が膨大で「幼児や小中学生などの若年層の個人情報を多数含むため、長期にわたる事故の影響が見過ごせないと判断された」としている。さらに、「プライバシーマーク制度の信頼性に対しても重大な影響をもたらした」という理由を挙げている。
　JIPDECによると、これまでPマークの取り消しとなった事業者は2社目。JIPDECは2014年10月にジャストシステムに対して勧告措置を公表している。ベネッセコーポレーションは2006年1月に最初にPマークを取得して以降、2年ごとに4回更新し、直近では2014年2月14日に更新認定を受けたという。取り消された後に再取得する場合、1年間は申請できない。
　プライバシーマークは、JIPDECが個人情報に適切な保護措置を行う体制を整備していると独自に認定する制度。日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合するか民間事業者団体の指定機関が審査して、JIPDECが付与している。
～～～～
JIPDEC、ジャストシステムに勧告 ＜2014/10/10＞
　ベネッセから流出した個人情報を名簿屋を介して購入してダイレクトメールを送信した株式会社ジャストシステム（徳島県徳島市）に対して、一般財団法人日本情報経済社会推進協会（JIPDEC）は、10月10日付でプライバシーマーク制度における「勧告」措置とすると発表した。
　プライバシーマーク制度では、個人情報の取扱における事故が発生した場合には「欠格レベル」に応じて下記の措置を取ることとなっている。
欠格レベル10「付与の取消」、欠格レベル8、9「付与の一時停止」、欠格レベル6、7「勧告文書の発行」、欠格レベル1～5「注意文書の発行」
　今回の「勧告」は、マークの一時停止を伴わない措置の中では最も厳しい措置となっている。
～～～～
JISA、名古屋の情報サービス業者「メイケイ」のプライバシーマーク認定を取り消し ＜2000/7/11＞
　財団法人日本情報処理開発協会(JIPDEC)の指定団体として、個人情報の取扱いが適切な事業へのプライバシーマーク付与の認定作業を行なっている財団法人情報サービス産業協会（JISA）は、名古屋市の情報処理サービス業者「メイケイ」のプライバシーマークの認定を取り消した。認定事業者の取り消しは1998年4月の制度発足以来初めて。
　JISAや厚生省によると、メイケイは厚生省が3年に1回行なう患者調査の調査票の入力業務を2000年1月に請け負ったが、3月の納期に間に合わないことなどから、厚生省の再委託禁止の申し入れに反し、下請け業者に業務を発注していた。その際、責任分担や守秘に係る契約書の交付は行なっていなかった。
　また、その下請け業者はさらに2次下請けに業務を委託、結果的に4次下請け業者にまで委託が行なわれていた。4月になって厚生省へ調査票の返却をする際、一部紛失していたことからこの問題が発覚したもの。
　メイケイは4次下請け業者にまで業務委託が行なわれていることを知らず、1次下請け業者までしか把握していなかったという。
　JISAでは、「企業外部への個人情報の提供、取扱いの委託を行なう際には、責任分担や守秘に係る契約を結ぶなど、個人情報について適切な保護をしなければならないうえに下請けの把握も行なわれていないなど外注管理が徹底していない」として6月28日付けで認定を取り消した。
　メイケイは1998年9月にプライバシーマークを取得。JIPDECの認定事業者は155社、そのうちJISAは79社を認定している。プライバシーマークの認定は原則として書類審査を経た後、情報システムのアクセス制御機構など設備の整備状況を確認する現地調査で行なわれる。更新は2年ごと。取り消しを受けた事業者は2年間再申請することができない。
[Reported by moriyama@impress.co.jp]