(画面はJIPDECのWebサイトより)
皆さんこんにちは。
プライバシーザムライ中康二です。
プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。
同社では、2022年1月に不正アクセスによる個人情報(クレジットカード情報含む)の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。
この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。
JIPDECからの発表
https://privacymark.jp/news/system/0127.html
メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html
(私のコメント)
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。
プライバシーマーク付与に関する規約
(別紙)欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf
この内容が皆さんにとって何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。