CCC、プライバシーマークを返納していた 67
ストーリー by hylom
形骸化 部門より
形骸化 部門より
TSUTAYAなどを運営するカルチュア・コンビニエンス・クラブ(CCC)が、Pマーク(プライバシーマーク)を返上していたことが明らかになった(Yahoo!ニュースの山本一郎氏の記事、CCCに問い合わせを行ったユーザーのTwitterへの投稿)。
過去にもCCCのPマークの有効期限が切れたまま1年以上が経過していたことが報じられていたが、今回は明確に「返納」という話が出ている。
なお、同社は個人情報の取り扱いについては「日本工業規格のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)や JIS Q 27001 (情報セキュリティマネジメントシステム)などのセキュリティ基準を参考に自社基準を策定」しているという。
個人情報の第三者提供について (スコア:5, 参考になる)
個人情報の第三者提供について
http://www.ccc.co.jp/customer/index.html [ccc.co.jp]
T会員規約改訂について
http://www.ccc.co.jp/customer_management/report/report_004850.html [ccc.co.jp]
は? (スコア:4, 興味深い)
会員規約のページ [ccc.co.jp]に今度の12月1日に改訂される内容が出てるけど(改訂内容はPDFなのでリンクはその前のページ)
と謳っておきながら、個人情報保護法37条1での認定資格であるPマークを返上するとか、矛盾もいいところだ。
個人情報の保護に関する法律には、
という規定がある。
経済産業省 [meti.go.jp]の個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインでは、20条で定める「必要かつ適切な措置」の内容として、「①個人データの安全管理措置を講じるための組織体制の整備」や「④個人データの安全管理措置の評価、見直し及び改善」を「織的安全管理措置として講じなければならない事項」として定めている(同ガイドラインH26-12.12改訂版の2-2-3-2項)ことを考えれば、Pマークの返納を「改善」と言うのは無理がある。
少なくとも今まではPマークという、第三者によって個人情報の運用に関する安全性を認定されていたのが、そういった確認が行われなくなることで何らかの改善が期待できるかといえば、悪化すると考えるのは合理的であり(最大限に好意的に見積もっても現状のレベルを維持してるだけなのだし)、前述のように「改善」がなされていないのは個人情報保護法20条の趣旨に反するからだ。
こんな企業を放置しておいていいんだろうかね、と思うよ。
ちなみに前述の経済産業省のガイドラインにおいては、22条の解説(2-2-3-4)において、
とあるので、ことはCCCだけの問題でなく、Tポイントカードを連携している他の企業で、Pマークを取得している企業に対しても影響してくる。
というか、Pマークを取得している他の企業がCCCに個人情報を委託することについてツッコミが入ったらどうなるんだろうね。連鎖的にPマーク取り消しとか起きるかもしれない。
Re: (スコア:0)
SoftbankのポイントがTポイントだったりするのですが、マジか。
Pマークすら取れない会社が個人情報を守れるか超疑問。
要は監査される体制も出来てない(=事故が起きても何も解らない)し、合格できないような運用って事なんでしょう?
しかし、図書家運運営を委託されていて、極めてセンシティブな貸出履歴も管理している組織がこのザマで大丈夫なの?
武雄市のお役所からPマークを取得していない業者に委託できないとか言って追い出されるんじゃない?
ライバルのTRCはちゃんと持ってるぞ? [trc.co.jp]
Re:は? (スコア:1)
CCCが何を目的としている企業かを根本的に誤解しているよ。
図書館運営はツタヤ運営の邪魔になってる図書館を形骸化し、
ついでに公金で在庫処分その他をするための事業に過ぎない。
> Pマークすら取れない会社が個人情報を守れるか超疑問。
そもそもCCCはTポイントカード会員の個人情報を提携企業に売っぱらうのが本業。
Pマークを取得・順守してた場合でさえ「その範囲内で個人情報を売る」のが仕事。
守るもクソもない。
Re:は? (スコア:1)
そも海老名の図書館運営の公募の条件に、Pマーク取得事業者ってのがあったんですよ。
ところがすでにPマーク取得事業者ではない。
受注後は不要と判断したんですかね?
Re: (スコア:0)
Softbankもそうですが、Yahoo!もTポイントなんですよね。
最近は大々的なセールでTポイント付与キャンペーンやってたけど、
Yahoo!ショップの強化目的にCCCを最大利用しようとしてるのかもね。
リアル店舗でやってるような購入履歴かき集めと、ネット上での通信情報かき集めとを
リンクさせたら国内最大級のビックデータが完成ですね
それにやるにはプライバシーマークなんて邪魔でしか無いのかな?と妄想。
適切な時期に個人の趣向に合いまくる広告でYahoo!ショップで買ってもらう事が出来たら
楽天の収益を奪うくらいの存在になるかもですね
Yahoo広告も効果的になるのでプレミアム化して出稿料も高額化。
禿が喜んでやりそうです。
Pマークは無意味、返納は合理的 (スコア:0, すばらしい洞察)
Pマークは取得すると漏洩率が高まるという話もありましたし、
CCCすら取得できたほどですから、あまり実効性を感じないので認証として無意味です。
少なくとも「Pマークがあるから安心」は成り立ちません。
返納は合理的だと思います。他の組織も追従して欲しいです。
Re: (スコア:0)
Pマーク取得企業でも漏洩率は低くないという話題はあるが、Pマーク取得で漏洩率が上がるなんて話は初耳だ。ソースを提示してほしい。
「Pマークを取得しただけでは信用できない」と考えるのは自由だし、そう主張してPマークを投げ捨てる企業が出るなら勝手にすればいいけど、現実的には官公庁をはじめとして少なからぬ数の入札等でPマーク必須とされることはあるし、それを投げ捨ててビジネス的に有利になるとは思えないのだがね。
Re: (スコア:0)
Re:Pマークは無意味、返納は合理的 (スコア:2, すばらしい洞察)
その根拠をまず明示したまえ。
PマークはベースがJIS Q 15001で、要求事項が個人情報保護法よりもハードルが高い故に、それをマトモに運用できないタコい組織がやろうとすると形骸化するだけだ、というのは指摘されているし、それは理解している。
でもそれは、前述のようにハードルの高い運用をする能力のないタコい組織が無理にやろうとするからダメなのであって、別にPマーク(JIS Q 15001の要求仕様)そのものがセキュリティレベルの低下を招くわけではない。
つまるところ「Pマーク取得企業にいるエンジニアなら誰でも」と言っちゃうのは、「その程度のタコい企業に居るエンジニアだからそう思ってる」ってことを露呈してるだけなので、そんな恥ずかしい主張を声高にしないほうがいいと思うんだがなぁ。
元々JIS Q 15001をベースに業務組んでた企業ではPマーク導入されても殆ど業務フローに変更はなかったし、セキュリティレベルの低下なんぞ起きなかったのだがね:P
事業の一環なのね (スコア:2)
CCCの会社概要見たら、事業概要に
「Tポイントを中心としたデータベース・マーケティング事業」
ってあるから、ポイントやるから個人情報よこせって事なんでしょうかね。
そりゃ、Pマーク返納するわ。
Pマークじゃ金稼げないけど、個人情報だったら金稼げるもんね。
Pマーク不適合って事かい (スコア:0)
図書館のオレオレ規格NDCの次は、オレオレPマークですか?
嫌な予感しかしないわ……
Re:Pマーク不適合って事かい (スコア:5, すばらしい洞察)
Pマーク不適合なんじゃなくて、Pマークなんか守ってられるか!ってことでしょう。
Re:Pマーク不適合って事かい (スコア:1)
Pマークだって、一般財団法人の運営するオレオレな制度なのよね。
「インターネットホットラインセンター? 法的裏付けのない民間団体でしょ?」みたいな。
ちゃんと守らせたかったら「EU指令」みたいな形にしたほうがいいわ・・・
Re: (スコア:0)
Pマークは個人情報保護法の第37条1項の絡みで認定されてるので、それを「オレオレ制度」って言い出したら、世の大半の認証制度はオレオレになるべ。
Re: (スコア:0)
Pマークは個人情報保護法の第37条1項の絡みで認定されてるので、それを「オレオレ制度」って言い出したら、世の大半の認証制度はオレオレになるべ。
Pマーク取得事業のために法律作ったんですけどね。
実は法律ってホイホイ作れます。
Re:Pマーク不適合って事かい (スコア:1)
だったら期限切れで放置なんかせずに、積極的に「Pマークの有効性に疑問があるので返納します」と発表するでしょう。
Pマークの有効性は、ベネッセの事件以降かなり疑問を持たれているのは確かですし。
期限切れで放置した後に状況を確認されて「返納しました!」では、負け惜しみにしか聞こえません。
それと、同時に経産省のガイドラインの遵守も放棄してるんですけど、これも「お上の指示なんか守ってられるか!」
ってことでOKですかね?
Re: (スコア:0)
Pマークは法律や業界標準より厳しい基準になってますから、合法ぎりぎりのグレーゾーンを攻めたい輩にとっては
>Pマークなんか守ってられるか!ってことでしょう
ほんと、これでしょうね。
Re:Pマーク不適合って事かい (スコア:2)
あそこはもうオレオレ図書館だからそれは守る必要もないよね。
Re: (スコア:0)
関係法令の整備も進んだし、各社の見識でやればいいんじゃね
Pマークだってロクに確認しないでしょ?あっても事故があったりしてあてにならないし?
ISO9001や14001の認証やめるのと一緒
Re:Pマーク不適合って事かい (スコア:2)
こんどは「トラストの略」とか言いだして「Tマーク」なるものを提唱するでしょう。
Re:Pマーク不適合って事かい (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
真面目にセキュリティ考えてる会社はそもそも取得しないって論調
Re: (スコア:0)
基本情報技術者とか応用情報技術者と同じ感じか。
だが、「最初から受けてないから不定」なのと、「一度合格したが、もう一度受けたら合格できなかった、もう受けない!」には心象的には大きな違いが有ります。
Re:Pマーク不適合って事かい (スコア:1)
Re: (スコア:0)
大学の方はセンターが微妙に怖い、二次はいけると思う。院の方なら受かる自信があるな。
返納じゃなくて取り消されたんじゃないの? (スコア:0)
http://privacymark.jp/certification_info/list/rlist.html [privacymark.jp]
社名は出てないけど今日付けで更新されてるし。
Re:返納じゃなくて取り消されたんじゃないの? (スコア:1)
更新された理由はベネッセの申請不可期間(1年間)がちょうど終わったからで、CCCの件とは別のはず。
下記20150907時点の魚拓を参照
https://web.archive.org/web/20150907020315/http://privacymark.jp/certi... [archive.org]
その上でこのページで最後に取り消し・一時停止扱いにされたのがベネッセなので
CCCの件はこのリストとは関係ないです。
下記20141029時点がベネッセが取り消される前の魚拓
https://web.archive.org/web/20141029195822/http://privacymark.jp/certi... [archive.org]
いいんじゃない、べつに? (スコア:0)
プライバシーを気にする人がCCCのサービスをいまだに使ってるとは思えない。
プライバシーを気にしない人がプライバシーを気にしない会社のサービス
使ってるんだから、好きにすればいいと思う。
Re: (スコア:0)
果たして地元の図書館に導入されても同じ事を言えるかな?
自分が使わなくても子供が使ったりするけれど。
Re: (スコア:0)
子供が読む本くらい買ってやるさ。
Re: (スコア:0)
それって、お金を使って図書館のサービスの代替を用意するってことですよね。
図書館の代替って大変ですよ。
調べたいキーワードを頼りに大量の本を探したことはありませんか?
あるいは、興味のあるジャンルの本を新旧含めて片っ端から読みあさったことはありませんか?
はたまた、未知の分野の本を手にとって知的好奇心を満たしたことはありませんか?
用意する本は一冊や二冊なんてレベルじゃないですよ。
それに図書館の価値は本だけじゃないですよ。
図書館でみんなで調べものや勉強をしたことないですか?
そういう図書館の機能を代替する新しい場所を、それは新しい図書館に他ならないように思えますが、みんなのために身銭を切って提供してくれるのでしょうか?
Re:いいんじゃない、べつに? (スコア:1)
ニーメラーの詩の図書館バージョンが書けそうだな
#郷土資料を破棄したとき、古本紛いを買ったとき、独自分類をしたとき、を経て情報保護問題かな
Re: (スコア:0)
それを言うやつを見るたびに思う。
共産主義者が攻撃されてるとき声を上げた奴は一緒に殺されるだけ。
一番の愚策だ。
Re: (スコア:0)
自分の子供の本は買ってやるが、他人の子が読む本はそいつの親が買うべきだろう。
親が金持ってない子供が本を読みたいとかちゃんちゃらおかしい。
Re: (スコア:0)
個人情報保護士が通りますよ…
Re:いいんじゃない、べつに? (スコア:2)
#何年前に合格した奴だったかな・・・
そりゃ (スコア:0)
ずっと期限切れでなんの不都合もなかったもんな。無意味なマークだとバレちゃったんだろ。
ぜひ、 (スコア:0)
図書館業務委託を考えている自治体は、
入札仕様書にPマークの取得を条件として
謳ってもらいたいところだ
Re: (スコア:0)
ああ、T/SB系企業避けになるのか!
# 安くもないのにT/SB系なら、淘汰でよし
オレオレ基準を満たしているとオレが判断 (スコア:0)
同等な自社基準を策定して満たすなら問題ない…のかぁ。
すごいねー(棒
客観的に示せないんじゃ、ない/やってない って言われてもねぇ。
あまり意味なかったしね (スコア:0)
盛大に漏らしまくっても大企業なら何のお咎めなしだからねプライバシーマークは。
入札の条件とか契約の条件とかそんなのはCCCはあまり関係なさそうだし。
Re: (スコア:0)
> 漏らしまくっても
もしかしてCCCという社名は‥
英語で表現すると (スコア:1)
//「モチモチの木」を思い出した。
CCCの正式名って (スコア:0)
citizen cheat clubだよね?
Re:CCCはぜひF-secure元社員を雇用すべき (スコア:1)
F社の方は社員個人レベルの事件しか発覚してないからな。事業内容自体に問題点があるC社は別格。
F社の方が騒がれてたのは、個人情報含むセキュリティ保護会社の社員が個人情報保護を蔑ろにしたせいで、例えるなら警察官(個人)の不祥事みたいなもの。
Re: (スコア:0)
とはいえ、「従業員が何かやらかしたかもしれないけど、依願退職しちゃって本人もう居ないからよくわからないや。でも不正アクセスはされてないから会社的には問題ありません(キリッ)」で済まそうとするのは、セキュリティー企業として十分駄目だと思うけどな。
Re: (スコア:0)
当該 Twitter アカウントの発言者が元従業員であるとの確証は得られませんでした。 [f-secure.co.jp]などと供述しており
Re: (スコア:0)
> 例えるなら警察官(個人)の不祥事みたいなもの。
十分にアウトではないかと思うんですが?
その後の経緯を見るに、会社組織としてそういう問題に対応できてるとは思えないのでなおさら。