増えるプライバシーマークの不正使用に注意喚起
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月5日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・Pマーク取得事業者が満たしている基準
・なぜ不正使用をしてまでPマークを使いたい事業者がいるのか?
ニュース解説
プライバシーマークが不正に使用されている状況について、発表されています。プライバシーマークが付与されるために必要な条件や、セキュリティの第三者認証や国際規格に準じる意味について説明します。
プライバシーマークとは、Pマークとも略される、個人情報について適切な保護体制を整備している事業者に付与されるロゴです。一般的に、プライバシーマークが付与されている事業者は個人情報の取り扱いを適切に行っていることが第三者から認証されていることを示します。
今回の問題は、プライバシーマークの非付与事業者によるWebサイト、DMでの不正使用やプライバシーマークの付与契約が終了しているプライバシーマークの中止事業者による不正使用について発表されています。また、一般財団法人日本情報経済社会推進協会、通称JIPDECは、プライバシーマークのロゴが使用されている模倣サイトやなりすましECサイトの増加についても注意喚起を行っています。
JIPDECはプライバシーマークの不正使用を監視しており、不正使用事業者に対して必要に応じ法的措置を講じることも含め対処すると発表しています。また、不正使用している事業者を発見した場合は、JIPDECに連絡するよう協力を呼びかけています。
Pマーク取得事業者が満たしている基準
プライバシーマークが付与される対象は、病院や学校などを除いた、国内に活動拠点を持ち、日本産業規格に適合して、個人情報について適切な保護体制を整備している組織に付与されます。具体的な内容について説明します。
プライバシーマークが付与されるためには、日本産業規格のJIS Q 15001に基づいたPMSと呼ばれる個人情報保護マネジメントシステムを定めていることが求められます。PMSとは、Personal information protection Management Systemの略で、事業者が保持する個人情報を保護するための方針、体制、計画、実施、点検および見直しを含みます。PMSは社員等に周知された上で実行可能であることが求められます。
JIS Q 15001個人情報保護マネジメントシステムの要求事項では、個人情報を事業のために使っている、あらゆる事業者に適用できるPMSに関する要求事項について規定されています。具体的には、個人情報保護に関する取組みについて文書化し「個人情報保護方針」として内外に示すべきであると要求していますので、ホームページ等で公開されている個人情報保護に関する文書をご覧になられた事はないでしょうか。
その他にも、内部規定の策定や、個人情報の取得や利用、管理について定められており、これらの要求事項を満たし、個人情報の保護を適切に行っていると判断された組織は、JIPDECからプライバシーマークの使用が認められることになります。
その他のトピック
なぜ不正使用をしてまでPマークを使いたい事業者がいるのか?
プライバシーマークが不正使用されている理由として、ロゴが掲載されているだけでユーザに一定の信用を与えていることから、プライバシーマークの取得自体が目的になっている現状が挙げられます。「手段の目的化」とも言える問題について説明します。(全文はこちら)