大日本印刷の個人情報漏洩事故に「要請」処分

Pocket

プライバシーマーク®制度のWebサイトに、大日本印刷に対する「要請」という処分で対応したと発表された。発表後すでに数日経過しているが、昨日さらに見解ともとれる文書および委託時の注意喚起に関する文書が公開された。おそらく多くの問い合わせや意見があったのであろう。
今回の事故、本当に認定取り消しをしなくてよかったのかと正直考えさせられます。これによって、1)情報漏えいが起こっても認定取り消しにはならないので、多少甘く運用してもかまわないという取得事業者の認識 2)プライバシーマークを取得していても、安全管理に大した意味はないという世間の認識 が発生するのが非常にまずいのではないかと思います。 今回の漏洩事故を欠格性判断基準(http://privacymark.jp/pr/20060331kekkaku.html)に照らすと、「安全管理措置の不備により大量の個人情報を流失させて社会不安を生じさせた。」という欠格レベル5(認定取り消し)に当たるように思えます。しかし、今回の声明(http://privacymark.jp/dainihon_rouei_seimei070327.pdf)では、なぜか「制度運用側としての責任」という言葉が出ており、大日本印刷と共同で再発防止に取り組むとのこと。これがプライバシーマークを取得した一中小企業だったら、同じ判断が行われたのか、ちょっと疑いたくなる気もします。