アカウント名:
パスワード:
会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)
第4条(個人情報について)1.個人情報のお取り扱い方針当社は、会員が同意した本条の定めに従い会員の個人情報を取り扱います。当社は、個人情報の保護に関する法律(改正された場合は、改正後のものをいいます)その他各種法令を遵守するとともに、会員のプライバシー保護に十分配慮いたします。(後略)
と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。
個人情報の保護に関する法律には、
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
という規定がある。経済産業省 [meti.go.jp]の個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインでは、20条で定める「必要かつ適切な措置」の内容として、「①個人データの安全管理措置を講じるための組織体制の整備」や「④個人データの安全管理措置の評価、見直し及び改善」を「織的安全管理措置として講じなければならない事項」として定めている(同ガイドラインH26-12.12改訂版の2-2-3-2項)ことを考えれば、Pマークの返納を「改善」と言うのは無理がある。少なくとも今まではPマークという、第三者によって個人情報の運用に関する安全性を認定されていたのが、そういった確認が行われなくなることで何らかの改善が期待できるかといえば、悪化すると考えるのは合理的であり(最大限に好意的に見積もっても現状のレベルを維持してるだけなのだし)、前述のように「改善」がなされていないのは個人情報保護法20条の趣旨に反するからだ。
こんな企業を放置しておいていいんだろうかね、と思うよ。
ちなみに前述の経済産業省のガイドラインにおいては、22条の解説(2-2-3-4)において、
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、委託を受けた者に対し必要かつ適切な監督をしなければならない
とあるので、ことはCCCだけの問題でなく、Tポイントカードを連携している他の企業で、Pマークを取得している企業に対しても影響してくる。というか、Pマークを取得している他の企業がCCCに個人情報を委託することについてツッコミが入ったらどうなるんだろうね。連鎖的にPマーク取り消しとか起きるかもしれない。
SoftbankのポイントがTポイントだったりするのですが、マジか。
Pマークすら取れない会社が個人情報を守れるか超疑問。要は監査される体制も出来てない(=事故が起きても何も解らない)し、合格できないような運用って事なんでしょう?
しかし、図書家運運営を委託されていて、極めてセンシティブな貸出履歴も管理している組織がこのザマで大丈夫なの?武雄市のお役所からPマークを取得していない業者に委託できないとか言って追い出されるんじゃない?ライバルのTRCはちゃんと持ってるぞ? [trc.co.jp]
CCCが何を目的としている企業かを根本的に誤解しているよ。
図書館運営はツタヤ運営の邪魔になってる図書館を形骸化し、ついでに公金で在庫処分その他をするための事業に過ぎない。
> Pマークすら取れない会社が個人情報を守れるか超疑問。そもそもCCCはTポイントカード会員の個人情報を提携企業に売っぱらうのが本業。Pマークを取得・順守してた場合でさえ「その範囲内で個人情報を売る」のが仕事。守るもクソもない。
そも海老名の図書館運営の公募の条件に、Pマーク取得事業者ってのがあったんですよ。ところがすでにPマーク取得事業者ではない。受注後は不要と判断したんですかね?
当時から期限切れで失効してたんだから、CCCの態度は一貫してるよ。どちらかというと、公募条件を満たしていないCCCにOKを出した海老名の方がおかしい。
Softbankもそうですが、Yahoo!もTポイントなんですよね。
最近は大々的なセールでTポイント付与キャンペーンやってたけど、Yahoo!ショップの強化目的にCCCを最大利用しようとしてるのかもね。
リアル店舗でやってるような購入履歴かき集めと、ネット上での通信情報かき集めとをリンクさせたら国内最大級のビックデータが完成ですねそれにやるにはプライバシーマークなんて邪魔でしか無いのかな?と妄想。
適切な時期に個人の趣向に合いまくる広告でYahoo!ショップで買ってもらう事が出来たら楽天の収益を奪うくらいの存在になるかもですねYahoo広告も効果的になるのでプレミアム化して出稿料も高額化。禿が喜んでやりそうです。
Pマークは取得すると漏洩率が高まるという話もありましたし、CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。少なくとも「Pマークがあるから安心」は成り立ちません。返納は合理的だと思います。他の組織も追従して欲しいです。
Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。
「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。
Pマーク取得によってセキュリティレベルが低下することはPマーク取得企業にいるエンジニアなら誰でも知っていることだよ?
その根拠をまず明示したまえ。
PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。
つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。
元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P
JIS Q 15001の要求仕様を形式的に満たそうとするコンサルの言う通りにセキュアな運用を崩さないとマークが取れないからだよ。
だからその具体例を提示してみろって。コンサルが馬鹿か元々の運用がおかしいだけのことが大半たべ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
は? (スコア:4, 興味深い)
会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)
と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。
個人情報の保護に関する法律には、
という規定がある。
経済産業省 [meti.go.jp]の個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインでは、20条で定める「必要かつ適切な措置」の内容として、「①個人データの安全管理措置を講じるための組織体制の整備」や「④個人データの安全管理措置の評価、見直し及び改善」を「織的安全管理措置として講じなければならない事項」として定めている(同ガイドラインH26-12.12改訂版の2-2-3-2項)ことを考えれば、Pマークの返納を「改善」と言うのは無理がある。
少なくとも今まではPマークという、第三者によって個人情報の運用に関する安全性を認定されていたのが、そういった確認が行われなくなることで何らかの改善が期待できるかといえば、悪化すると考えるのは合理的であり(最大限に好意的に見積もっても現状のレベルを維持してるだけなのだし)、前述のように「改善」がなされていないのは個人情報保護法20条の趣旨に反するからだ。
こんな企業を放置しておいていいんだろうかね、と思うよ。
ちなみに前述の経済産業省のガイドラインにおいては、22条の解説(2-2-3-4)において、
とあるので、ことはCCCだけの問題でなく、Tポイントカードを連携している他の企業で、Pマークを取得している企業に対しても影響してくる。
というか、Pマークを取得している他の企業がCCCに個人情報を委託することについてツッコミが入ったらどうなるんだろうね。連鎖的にPマーク取り消しとか起きるかもしれない。
Re: (スコア:0)
SoftbankのポイントがTポイントだったりするのですが、マジか。
Pマークすら取れない会社が個人情報を守れるか超疑問。
要は監査される体制も出来てない(=事故が起きても何も解らない)し、合格できないような運用って事なんでしょう?
しかし、図書家運運営を委託されていて、極めてセンシティブな貸出履歴も管理している組織がこのザマで大丈夫なの?
武雄市のお役所からPマークを取得していない業者に委託できないとか言って追い出されるんじゃない?
ライバルのTRCはちゃんと持ってるぞ? [trc.co.jp]
Re:は? (スコア:1)
CCCが何を目的としている企業かを根本的に誤解しているよ。
図書館運営はツタヤ運営の邪魔になってる図書館を形骸化し、
ついでに公金で在庫処分その他をするための事業に過ぎない。
> Pマークすら取れない会社が個人情報を守れるか超疑問。
そもそもCCCはTポイントカード会員の個人情報を提携企業に売っぱらうのが本業。
Pマークを取得・順守してた場合でさえ「その範囲内で個人情報を売る」のが仕事。
守るもクソもない。
Re:は? (スコア:1)
そも海老名の図書館運営の公募の条件に、Pマーク取得事業者ってのがあったんですよ。
ところがすでにPマーク取得事業者ではない。
受注後は不要と判断したんですかね?
Re: (スコア:0)
当時から期限切れで失効してたんだから、CCCの態度は一貫してるよ。
どちらかというと、公募条件を満たしていないCCCにOKを出した海老名の方がおかしい。
Re: (スコア:0)
Softbankもそうですが、Yahoo!もTポイントなんですよね。
最近は大々的なセールでTポイント付与キャンペーンやってたけど、
Yahoo!ショップの強化目的にCCCを最大利用しようとしてるのかもね。
リアル店舗でやってるような購入履歴かき集めと、ネット上での通信情報かき集めとを
リンクさせたら国内最大級のビックデータが完成ですね
それにやるにはプライバシーマークなんて邪魔でしか無いのかな?と妄想。
適切な時期に個人の趣向に合いまくる広告でYahoo!ショップで買ってもらう事が出来たら
楽天の収益を奪うくらいの存在になるかもですね
Yahoo広告も効果的になるのでプレミアム化して出稿料も高額化。
禿が喜んでやりそうです。
Pマークは無意味、返納は合理的 (スコア:0, すばらしい洞察)
Pマークは取得すると漏洩率が高まるという話もありましたし、
CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。
少なくとも「Pマークがあるから安心」は成り立ちません。
返納は合理的だと思います。他の組織も追従して欲しいです。
Re: (スコア:0)
Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。
「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。
Re: (スコア:0)
Re:Pマークは無意味、返納は合理的 (スコア:2, すばらしい洞察)
その根拠をまず明示したまえ。
PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。
でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。
つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。
元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P
Re: (スコア:0)
だからその具体例を提示してみろって。
コンサルが馬鹿か元々の運用がおかしいだけのことが大半たべ。