パスワードを忘れた? アカウント作成
12588355 story
プライバシ

CCC、プライバシーマークを返納していた 67

ストーリー by hylom
形骸化 部門より

TSUTAYAなどを運営するカルチュア・コンビニエンス・クラブ(CCC)が、Pマーク(プライバシーマーク)を返上していたことが明らかになった(Yahoo!ニュースの山本一郎氏の記事CCCに問い合わせを行ったユーザーのTwitterへの投稿)。

過去にもCCCのPマークの有効期限が切れたまま1年以上が経過していたことが報じられていたが、今回は明確に「返納」という話が出ている。

なお、同社は個人情報の取り扱いについては「日本工業規格のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)や JIS Q 27001 (情報セキュリティマネジメントシステム)などのセキュリティ基準を参考に自社基準を策定」しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ymasa (31598) on 2015年11月20日 16時12分 (#2920882) 日記

    個人情報の第三者提供について
    http://www.ccc.co.jp/customer/index.html [ccc.co.jp]

    T会員規約改訂について
    http://www.ccc.co.jp/customer_management/report/report_004850.html [ccc.co.jp]

  • は? (スコア:4, 興味深い)

    by Anonymous Coward on 2015年11月20日 15時51分 (#2920864)

    会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)

    第4条(個人情報について)
    1.個人情報のお取り扱い方針
    当社は、会員が同意した本条の定めに従い会員の個人情報を取り扱います。当社は、個人情報の保護に関する法律(改正された場合は、改正後のものをいいます)その他各種法令を遵守するとともに、会員のプライバシー保護に十分配慮いたします。
    (後略)

    と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。

    個人情報の保護に関する法律には、

    第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

    という規定がある。
    経済産業省 [meti.go.jp]の個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインでは、20条で定める「必要かつ適切な措置」の内容として、「①個人データの安全管理措置を講じるための組織体制の整備」や「④個人データの安全管理措置の評価、見直し及び改善」を「織的安全管理措置として講じなければならない事項」として定めている(同ガイドラインH26-12.12改訂版の2-2-3-2項)ことを考えれば、Pマークの返納を「改善」と言うのは無理がある。
    少なくとも今まではPマークという、第三者によって個人情報の運用に関する安全性を認定されていたのが、そういった確認が行われなくなることで何らかの改善が期待できるかといえば、悪化すると考えるのは合理的であり(最大限に好意的に見積もっても現状のレベルを維持してるだけなのだし)、前述のように「改善」がなされていないのは個人情報保護法20条の趣旨に反するからだ。

    こんな企業を放置しておいていいんだろうかね、と思うよ。

    ちなみに前述の経済産業省のガイドラインにおいては、22条の解説(2-2-3-4)において、

    個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、委託を受けた者に対し必要かつ適切な監督をしなければならない

    とあるので、ことはCCCだけの問題でなく、Tポイントカードを連携している他の企業で、Pマークを取得している企業に対しても影響してくる。
    というか、Pマークを取得している他の企業がCCCに個人情報を委託することについてツッコミが入ったらどうなるんだろうね。連鎖的にPマーク取り消しとか起きるかもしれない。

    • by Anonymous Coward

      SoftbankのポイントがTポイントだったりするのですが、マジか。

      Pマークすら取れない会社が個人情報を守れるか超疑問。
      要は監査される体制も出来てない(=事故が起きても何も解らない)し、合格できないような運用って事なんでしょう?

      しかし、図書家運運営を委託されていて、極めてセンシティブな貸出履歴も管理している組織がこのザマで大丈夫なの?
      武雄市のお役所からPマークを取得していない業者に委託できないとか言って追い出されるんじゃない?
      ライバルのTRCはちゃんと持ってるぞ? [trc.co.jp]

      • by Anonymous Coward on 2015年11月20日 17時47分 (#2920948)

        CCCが何を目的としている企業かを根本的に誤解しているよ。

        図書館運営はツタヤ運営の邪魔になってる図書館を形骸化し、
        ついでに公金で在庫処分その他をするための事業に過ぎない。

        > Pマークすら取れない会社が個人情報を守れるか超疑問。
        そもそもCCCはTポイントカード会員の個人情報を提携企業に売っぱらうのが本業。
        Pマークを取得・順守してた場合でさえ「その範囲内で個人情報を売る」のが仕事。
        守るもクソもない。

        親コメント
      • by Anonymous Coward on 2015年11月20日 20時09分 (#2921028)

        そも海老名の図書館運営の公募の条件に、Pマーク取得事業者ってのがあったんですよ。
        ところがすでにPマーク取得事業者ではない。
        受注後は不要と判断したんですかね?

        親コメント
      • by Anonymous Coward

        Softbankもそうですが、Yahoo!もTポイントなんですよね。

        最近は大々的なセールでTポイント付与キャンペーンやってたけど、
        Yahoo!ショップの強化目的にCCCを最大利用しようとしてるのかもね。

        リアル店舗でやってるような購入履歴かき集めと、ネット上での通信情報かき集めとを
        リンクさせたら国内最大級のビックデータが完成ですね
        それにやるにはプライバシーマークなんて邪魔でしか無いのかな?と妄想。

        適切な時期に個人の趣向に合いまくる広告でYahoo!ショップで買ってもらう事が出来たら
        楽天の収益を奪うくらいの存在になるかもですね
        Yahoo広告も効果的になるのでプレミアム化して出稿料も高額化。
        禿が喜んでやりそうです。

    • by Anonymous Coward

      Pマークは取得すると漏洩率が高まるという話もありましたし、
      CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。
      少なくとも「Pマークがあるから安心」は成り立ちません。
      返納は合理的だと思います。他の組織も追従して欲しいです。

      • by Anonymous Coward

        Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。

        「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。

        • by Anonymous Coward
          ビジネス的に有利にはならないと思うけど、Pマーク取得によってセキュリティレベルが低下することはPマーク取得企業にいるエンジニアなら誰でも知っていることだよ?
          • by Anonymous Coward on 2015年11月21日 10時13分 (#2921212)

            Pマーク取得によってセキュリティレベルが低下することはPマーク取得企業にいるエンジニアなら誰でも知っていることだよ?

            その根拠をまず明示したまえ。

            PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。
            でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。

            つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。

            元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P

            親コメント
  • by katu256 (7538) on 2015年11月22日 10時10分 (#2921667)

    CCCの会社概要見たら、事業概要に
    「Tポイントを中心としたデータベース・マーケティング事業」
    ってあるから、ポイントやるから個人情報よこせって事なんでしょうかね。
    そりゃ、Pマーク返納するわ。
    Pマークじゃ金稼げないけど、個人情報だったら金稼げるもんね。

  • by Anonymous Coward on 2015年11月20日 15時24分 (#2920852)

    図書館のオレオレ規格NDCの次は、オレオレPマークですか?
    嫌な予感しかしないわ……

    • by Anonymous Coward on 2015年11月20日 16時07分 (#2920877)

      Pマーク不適合なんじゃなくて、Pマークなんか守ってられるか!ってことでしょう。

      親コメント
      • by Anonymous Coward on 2015年11月20日 17時41分 (#2920944)

        Pマークだって、一般財団法人の運営するオレオレな制度なのよね。
        「インターネットホットラインセンター? 法的裏付けのない民間団体でしょ?」みたいな。

        ちゃんと守らせたかったら「EU指令」みたいな形にしたほうがいいわ・・・

        親コメント
        • by Anonymous Coward

          Pマークは個人情報保護法の第37条1項の絡みで認定されてるので、それを「オレオレ制度」って言い出したら、世の大半の認証制度はオレオレになるべ。

          • by Anonymous Coward

            Pマークは個人情報保護法の第37条1項の絡みで認定されてるので、それを「オレオレ制度」って言い出したら、世の大半の認証制度はオレオレになるべ。

            Pマーク取得事業のために法律作ったんですけどね。
            実は法律ってホイホイ作れます。

      • by Anonymous Coward on 2015年11月20日 18時48分 (#2920980)

        だったら期限切れで放置なんかせずに、積極的に「Pマークの有効性に疑問があるので返納します」と発表するでしょう。
        Pマークの有効性は、ベネッセの事件以降かなり疑問を持たれているのは確かですし。
        期限切れで放置した後に状況を確認されて「返納しました!」では、負け惜しみにしか聞こえません。

        それと、同時に経産省のガイドラインの遵守も放棄してるんですけど、これも「お上の指示なんか守ってられるか!」
        ってことでOKですかね?

        親コメント
      • by Anonymous Coward

        Pマークは法律や業界標準より厳しい基準になってますから、合法ぎりぎりのグレーゾーンを攻めたい輩にとっては
        >Pマークなんか守ってられるか!ってことでしょう
        ほんと、これでしょうね。

      • by Anonymous Coward

        関係法令の整備も進んだし、各社の見識でやればいいんじゃね
        Pマークだってロクに確認しないでしょ?あっても事故があったりしてあてにならないし?

        ISO9001や14001の認証やめるのと一緒

    • こんどは「トラストの略」とか言いだして「Tマーク」なるものを提唱するでしょう。

      親コメント
    • by Anonymous Coward
      スラド的には、Pマークとか取ってる方がパスワードの定期変更みたいな穴だらけの内規でザルい管理してる証拠なんだから、真面目にセキュリティ考えてる会社はさっさと返上すべしって論調じゃなったっけ?
      • by Anonymous Coward

        真面目にセキュリティ考えてる会社はそもそも取得しないって論調

      • by Anonymous Coward

        基本情報技術者とか応用情報技術者と同じ感じか。

        だが、「最初から受けてないから不定」なのと、「一度合格したが、もう一度受けたら合格できなかった、もう受けない!」には心象的には大きな違いが有ります。

  • by Anonymous Coward on 2015年11月20日 16時14分 (#2920884)

    http://privacymark.jp/certification_info/list/rlist.html [privacymark.jp]
    社名は出てないけど今日付けで更新されてるし。

  • by Anonymous Coward on 2015年11月20日 16時25分 (#2920895)

    プライバシーを気にする人がCCCのサービスをいまだに使ってるとは思えない。

    プライバシーを気にしない人がプライバシーを気にしない会社のサービス
    使ってるんだから、好きにすればいいと思う。

    • by Anonymous Coward

      果たして地元の図書館に導入されても同じ事を言えるかな?
      自分が使わなくても子供が使ったりするけれど。

      • by Anonymous Coward

        子供が読む本くらい買ってやるさ。

        • by Anonymous Coward

          それって、お金を使って図書館のサービスの代替を用意するってことですよね。
          図書館の代替って大変ですよ。
          調べたいキーワードを頼りに大量の本を探したことはありませんか?
          あるいは、興味のあるジャンルの本を新旧含めて片っ端から読みあさったことはありませんか?
          はたまた、未知の分野の本を手にとって知的好奇心を満たしたことはありませんか?
          用意する本は一冊や二冊なんてレベルじゃないですよ。

          それに図書館の価値は本だけじゃないですよ。
          図書館でみんなで調べものや勉強をしたことないですか?

          そういう図書館の機能を代替する新しい場所を、それは新しい図書館に他ならないように思えますが、みんなのために身銭を切って提供してくれるのでしょうか?

          • ニーメラーの詩の図書館バージョンが書けそうだな
            #郷土資料を破棄したとき、古本紛いを買ったとき、独自分類をしたとき、を経て情報保護問題かな

            --
            ぽぇんぷしゅう。
            親コメント
            • by Anonymous Coward

              それを言うやつを見るたびに思う。

              共産主義者が攻撃されてるとき声を上げた奴は一緒に殺されるだけ。
              一番の愚策だ。

          • by Anonymous Coward

            自分の子供の本は買ってやるが、他人の子が読む本はそいつの親が買うべきだろう。
            親が金持ってない子供が本を読みたいとかちゃんちゃらおかしい。

    • by Anonymous Coward

      個人情報保護士が通りますよ…

  • by Anonymous Coward on 2015年11月20日 19時13分 (#2920995)

    ずっと期限切れでなんの不都合もなかったもんな。無意味なマークだとバレちゃったんだろ。

  • by Anonymous Coward on 2015年11月20日 19時28分 (#2921004)

    図書館業務委託を考えている自治体は、
    入札仕様書にPマークの取得を条件として
    謳ってもらいたいところだ

    • by Anonymous Coward

      ああ、T/SB系企業避けになるのか!

      # 安くもないのにT/SB系なら、淘汰でよし

  • by Anonymous Coward on 2015年11月20日 19時50分 (#2921018)

    同等な自社基準を策定して満たすなら問題ない…のかぁ。
    すごいねー(棒

    客観的に示せないんじゃ、ない/やってない って言われてもねぇ。

  • by Anonymous Coward on 2015年11月20日 22時47分 (#2921084)

    盛大に漏らしまくっても大企業なら何のお咎めなしだからねプライバシーマークは。
    入札の条件とか契約の条件とかそんなのはCCCはあまり関係なさそうだし。

  • by Anonymous Coward on 2015年11月21日 0時44分 (#2921120)

    citizen cheat clubだよね?

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...