JIPDEC 「個人情報事故 大日本印刷(株)要請処分｣について

　こんにちは、丸山満彦です。奥村先生がコメントに書いていた件です。。。大日本印刷さんはPマークを取得していましたが、個人情報を漏えいしたことが明らかになり、その取り扱いがどうなるのだろう・・・という話があったのですが、JIPDECは、「原因の特定」「原因に対する改善策の実施」など6項目を要請し、マークの認定の取り消しはしないことにしたようですね。ただし、改善が認められない場合はマークを取り消すようです。

　
■JIPDEC
・2007.03.23 ≪Ｐマーク≫「個人情報事故 大日本印刷(株)要請処分｣について

---

　内容は、、、

プライバシーマーク制度に対する信頼を根底から揺るがす重大な事故と認識している。
急遽３月２２日にプライバシーマーク制度委員会（委員長：堀部政男）を臨時に開催し、本事案に対する取扱いを審議した。
その結果、以下の対応が有効であると結論づけた。

・同社には、プライバシーマーク制度の枠の中で適切な再発防止策の構築を求める
・その上で、運用状況を継続的に報告させる等して監督・指導する

「処分」については
・認定取消とはしない
・文書による「改善要請」とする

「改善要請事項」について
・以下の６項目について１ヶ月以内に改善をすること
・その結果を報告する
・６ヶ月間の観察期間を設け、この間、改善事項の運用状況の報告を随時うける
＝＝＝＝＝
１．本件事故の関連部門について個人情報の取扱いに関する臨時監査を実施すること。
２．本件事故の原因を特定し、その原因に対して現状の対策が有効であるかの検証をすること。
３．上記１．の監査における指摘事項及び上記２．の結果を踏まえて現状の措置が有効でないと判断できるリスクに対して、必要な対応策を検討すること。この場合、従業者の個人情報の無断・不正持ち出しを防止する措置については特に留意すること。
４．本件事故以外の個人情報の取扱いについて、リスク分析を実施して現状の管理の仕組みを点検し、不具合が認められたとこについては、改善策を検討して講じること。
５．以上の事項に関する見直し結果については、個人情報保護マネジメントシステム文書に適切に反映し、関連する全従業者及び委託先事業者に周知・徹底すること。
６．マネジメントシステムの根幹である継続的改善が有効に機能するように対応策を検討し、環境変化に応じた適切な安全管理措置が講じられるようにすること。
＝＝＝＝＝

認定取消について
・以上の６項目の改善要請が１ヶ月以内に行われない場合
・６ヶ月の観察期間中に適切な運用が確認できない場合

■日経新聞
・2007.03.23 大日本印刷、「Ｐマーク」取り消し処分なし・情報流出問題

　影響が小さい場合はマークを剥奪するが、影響が大きすぎる場合はマークを剥奪できない・・・ということではないかもしれませんが、これからは、こういう運用になるのでしょうね。。。

　Pマーク制度が始まった時代と今とでは社会における位置づけがかわっているのであれば制度運用も変更しなければならないかもしれませんね。。。

---

【過去の今日】
・2006.03.25 裁判所のサイトにリンクを貼る際には電話をする必要があります
・2005.03.25 金融庁　偽造キャッシュカード問題に関するスタディグループ議論の行方