レンタルサーバー大手のファーストサーバ株式会社(大阪市中央区)が6月20日に起こした大規模な障害に対して、プライバシーマークの審査を担当している一般財団法人日本データ通信協会(JADAC)のPマーク審査会(会長:鈴木正朝 新潟大学教授)は、10月24日付で「プライバシーマーク制度における欠格事項及び判断基準」に基づいた措置を「注意」とすると発表しました。
日本データ通信協会(JADAC)が公表した審議結果(クリックするとPDF文書が開きます) |
「注意」はプライバシーマーク制度の中で最も軽度な措置になります。なぜ、そのような軽度な措置で済まされるのか、今回公表された文書を解読したいと思います。
今回の大規模障害は
1)当該サービスの全データ消失(バックアップファイル含む)
2)ディスク復旧ツールを使用して復旧したデータを顧客に提供しようとしたら、他社のデータも提供してしまった件
の2つの事故に区別できます。
今回公表された文書によると、なんと1)はプライバシーマーク制度の対象外の事故であるというのです。それで、2)については、顧客相互間での流出であり、二次被害もなかったために軽微な事例として取り扱うとしています。
その結果として、今回の措置は「注意」に留まったということです。
おどろくべきことです。今回のデータ消失は「倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっているので、プライバシーマークの対象外だ」ということです。
しかし、今回障害が発生したサービスは単なるスペースレンタルや生のサーバー貸しではありません。アプリケーションとしてのメールサーバー機能を提供しているのであり、そのためのコントロールパネルも同社が用意しているのです。これを「個人情報に該当するかどうかを認識せずに預っている」をみなすことは不適切であると思います。
もし、このような考え方が正しいとすると、今後は、ISPがプライバシーマークをつけていても、ほとんど意味がないということになります。こんなことでは、プライバシーマークが何の意味もないお飾りになっていくことになります。大問題だと思います。
執筆者紹介
中康二
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など。