【お詫び】プライバシーマーク審査関連資料の漏えいについて（第2報）｜一般財団法人 日本情報経済社会推進協会

記事によると

2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。

当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名（以下、当該審査員）が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿（過去のものを含む）が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。

関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。

※1　「プライバシーマーク審査関連資料の漏えいについて」（2023/8/10）
※2　コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称




1．本事案の概要と経緯
2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。

これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。

なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。

その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿（一般社団法人日本印刷産業連合会は2008年から2011年）が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。


（1）漏えいを確認した又は漏えいのおそれがある情報
①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数　1社
漏えいのおそれがある事業者様の数
最大888社（当協会審査分　500社、一般社団法人日本印刷産業連合会審査分　388社）

b)情報の内容
＜事業者様情報＞
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス（当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中）
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

＜審査関連資料＞
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制

②審査員名簿※3
　※3　当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数（当協会642名、一般社団法人日本印刷産業連合会27名）

b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

（2）発生原因
①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。

ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。

しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。

このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー（NAS:Network Attached Storage）に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。

本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。

②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。

以下、全文を読む

この記事への反応

・プライバシーマーク剥奪でお願いします

・うっわぁ…プライバシーとは……

・なかなか高度なギャグをやってますねー

・認証団体がこのザマか

・客の個人情報を漏らした企業でも取り消されることがないPマーク。何の価値があるのかさっぱり分からない。

・Pマークって厳格なのに、審査員がザルってどういうことなの…

・プライバシーマークの価値がモンドセレクション並みになってしまった

・こいつ取得結構めんどくさかった記憶あるけど、いつ頃かからか信用なくなってる

・届出していない機器の使用
適切なセキュリティ設定されていないNAS
ランサムウェアで3回攻撃されている

・発表出来たのはえらいけど、正直3年気付けなかったのは痛いな。

・もう解散したら？ただの天下り先だろ

・むしろこのマーク持ってる企業のほうがやばいってなりそう

・こんな制度もうやめちゃえ

【プライバシーマーク制度｜一般財団法人 日本情報経済社会推進協会】

1998年よりJIPDECが運営する「プライバシーマーク制度」は、事業者の個人情報を取り扱う仕組みとその運用が適切であるかを評価し、その証として、事業活動においてプライバシーマークの使用を認める制度です。

コンプライアンス違反やサイバー攻撃、標的型メールの巧妙化など、事業者における個人情報の取扱いに関するリスク対策は単にセキュリティの強化だけでは十分とは言えません。リスクを顕在化させないための取組み、また、万が一事故などが発生した場合の体制や対応手順の整備、緊急事態の適切な対応と再発防止による管理体制の強化など、個人情報を適正に管理する仕組み（PMS：個人情報保護マネジメントシステム）の重要性はますます高まっています。

プライバシーマーク制度は、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム－要求事項」をベースにした審査基準によって事業者のPMSの運用を評価しています。事業者にとっては、個人情報保護法の遵守に留まらず、自主的により高いレベルの個人情報の管理体制を確立し運用していることを、取引先や消費者に分かりやすく示すことができる制度として活用いただいています。

JIPDECは、プライバシーマーク付与事業者の方々に個人情報の取扱いに関する様々な情報を提供するとともに、申請予定事業者に対するPMSの運用支援や各種セミナーの実施、消費者向けの啓発活動を通じて、制度の普及ならびに社会全体の個人情報に関する意識の向上に取り組んでいます。

花野井くんと恋の病（１４） (デザートコミックス)

森野萌(著)(2023-11-13T00:00:00.000Z)
5つ星のうち4.6

Amazon.co.jpで詳細を見る

ドローイング 最強漫画家はお絵描きスキルで異世界無双する！8 (ヴァルキリーコミックス)

林達永(著), 金光鉉(著)(2023-11-08T00:00:00.000Z)
5つ星のうち4.8

Amazon.co.jpで詳細を見る

アオイホノオ（２９） (ゲッサン少年サンデーコミックス)

島本和彦(著)(2023-11-10T00:00:00.000Z)
5つ星のうち4.5

Amazon.co.jpで詳細を見る