Pマークコンサルタント:HOME > コラム > コラム2:ファーストサーバ
ファーストサーバ
レンタルサーバー大手のファーストサーバ株式会社が2012年6月20日に大規模障害を起こした。ファーストサーバは当然Pマークを認定取得していたため、JIPDECの対応にコンサル会社は大いに関心を寄せていたと思う。
Pマークは取り消しになるのか?
しかし結果は「注意」。プライバシーマーク制度の中で最も軽度な措置にとどまった。
この措置には賛否両論があると思う。あってはならない国内で最初のレンタルサーバの大規模な障害であるとともに、ずさんな管理も大きく報道された。被害者は甚大な機会損失を被ったであろう。
それにしても、今回の事故は大変な事だと思うしPマーク云々のレベルでは無い。賠償対応をみても被害者の企業は気の毒に思う。当社が被害者の立場であったらと思うと、目の前が真っ黒になり、しばし呆然としていたであろう。
その様な事故が、何故、「注意」にとどまったのか。その理由として考えられるのは、以下の2点である。
@ 事故にさらされたデータが「個人情報」として認識されなかった。
デ協()の審査結果をみると以下のような文章がある。
「倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合は、その情報の中に含まれる個人情報については、事業の用に供していないといえる」。
つまり、預かっていたデータは個人情報には該当しないという事だ。よって、ファーストサーバが取得したPマークの制度上では、預かっていたデータは何の関連もないデータということになり、個人情報では無いため、管理する必要は全くないという事である(情報資産の管理はISMS制度)。
A 事故後「二次被害の可能性がない」と判断された。
今回、ファーストサーバは、喪失したデータについてディスク復旧ツールを使用して復旧し、顧客に提供した。その際、他社のデータも一緒に提供してしまう失態を演じてしまったが、「二次被害の可能性がない」と判断された。
顧客間での流出であったこと、追跡調査をしたところ二次被害が認められなかったという事である。
その結果として、今回の措置は「注意」に留まったということになるらしい。
確かに、Pマークの制度に照らし合わせると「注意」が妥当であるかもしれない。
しかし、この企業をPマーク取得へとサポートしたコンサル会社はどうだろう?
現状調査やギャップ分析の時点で、この様な事故が起こる可能性は容易に想定できたはずである。
ただ、Pマークをとらせる為に、Pマーク制度に則った要求事項をクリアする為だけに、コンサルしたのではないだろうか?
例えば「当該情報が個人情報に該当するかどうかを認識することなくデータ等を預かっている場合は、個人情報に該当しませんから漏洩してもPマーク制度上は関係ないですよ」などのアドバイスをし、サーバを管理対象外にしたのか?
そう考えたら怖いものがある。
Pマーク取得中の企業は個人情報だけに目がいきがちだか、コンサルタントはそれではいけない。個人情報よりも大切な情報資産を見抜く力も必要である。
Pマークのコンサル中には個人情報以外に非常に重要な企業情報が無防備(コンサルからみたら)で管理されている事が多々ある。その様な重要情報に対してもセキュリティアドバイスや脆弱性を指摘するのもPマークコンサルタントの務めである。
今回の事件は、個人情報保護法上でも罰則を適用できないであろうが、事実は、「自社のサーバで保有する個人情報を含む大量の顧客のデータを、自社のミスで正確な数字が判断できない位、消失した」という事である。しかし、この企業は「個人情報を適切に取り扱うことのできる企業である」という証明の「プライバシーマーク」を経済産業省の外郭団体から付与されており、今後もそれは変わらないという事である。しかし、2度とこのような事があっては困るので是非、完全に是正してほしい。
【過去のコラムについては以下よりご覧ください 】
経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。
様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。
価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。
HOME プライバシーマーク制度とは Pマーク取得のメリット Pマーク支援サービス Pマーク取得フロー Pマーク認定取得費用