初代編集長ブログ―安田英久

CCCのプライバシーマーク返上、問題の本質は「Pマークに意味があるか」ではない

本当に大切なのは「どんな基準でどんな運用をしているのか、客観的に確認・信頼できること」なのです
Web担のなかの人

今日は、セキュリティやプライバシーに関する話題を。カルチュア・コンビニエンス・クラブ(CCC)がプライバシーマーク(Pマーク)を返上したということが話題になっています。「Pマークは意味がない」という論もありますが、問題の本質はそこではありません。

セキュリティやプライバシーを「ちゃんとやっている」のならば、プライバシーマークを取得していようがいまいが関係ありません。でも、外部からみると本当に大切なのは「どんな基準でどんな運用をしているのか、客観的に確認できること」なのです。

この記事では、CCCが個人情報やプライバシー情報をどのように管理・利用しているかや、その是非については触れません。そうではなく、「セキュリティやプライバシーにおける、客観的基準」について述べたいと思います。

ツタヤ・Tポイント/Tカードのカルチュア・コンビニエンス・クラブ(CCC)がプライバシーマーク(Pマーク)を返上

CCCがプライバシーマークを返上したという件が、先週末から話題になっていました。

私自身が裏取りしたわけではないのですが、要は、T会員規約を改訂し、今後は

JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)や JIS Q 27001 (情報セキュリティマネジメントシステム)などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。

ということなのです。

それってだれが客観的に確認・検証できるの?

さて、

いろんなセキュリティ規準を参考に、先進的な自社基準を策定するんなら問題ないのでは?

と思う人もいるかもしれません。これがなぜ問題なのでしょうか。

それは、「自社基準」では、実際にどんなルールに則ってどんな運用をしているのか、第三者がだれも確認できないからです。

プライバシーマークもISMSも、大切なのは「定められた情報管理ルールに則って運用している(はずである)ことを、第三者が確認する」点にあります。

こういう話題になると「Pマーク(などの規準)なんて運用がザルだから、取得してても意味がない」という声が出てきます。しかし、それでも少なくともどんなルールが定められていてどんな運用を規定しているのかは、第三者が多少なりとも検証できます。

しかし「自社基準」では、その中身や運用チェックフローなどが公開されない限り、どんな「セキュリティ」なのかは、内部の人間にしか確認できません。

もしJIS Q 15001やJIS Q 27001を包含し、さらに強固で高度な独自セキュリティ基準を設けているのならば、それぞれの認証を取得したうえで、さらに高度な運用をすればいいだけです。

繰り返しますが、事業主体にとっては「ちゃんとやる」ことが大切ですが、第三者からみると、「どんなルールでどんな風にやっているのか」を判断できることが大切なのです。

それができないのであれば、「その企業を信頼できるかどうか」だけの問題になってしまいます。

しかし、あれですね。こういうときに掲示板などで「Pマークは意味がない」という書き込みを見ると、話題の焦点をずらして炎上を抑える「火消し屋」なのかな、と思ってしまいますね。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

アップロード
手元のPCなどの機器から、ネットワークを介して、別のPCやファイルサーバー、ウェ ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]