（出典：JADAC発表文書）

レンタルサーバー大手のファーストサーバ株式会社（大阪市中央区）が6月20日に起こした大規模な障害に対して、プライバシーマークの審査を担当している一般財団法人日本データ通信協会(JADAC)のPマーク審査会（会長：鈴木正朝新潟大学教授）は、10月24日付で「プライバシーマーク制度における欠格事項及び判断基準」に基づいた措置を「注意」とすると発表しました。

「注意」はプライバシーマーク制度の中で最も軽度な措置になります。なぜ、そのような軽度な措置で済まされるのか、今回公表された文書を解読したいと思います。

今回の大規模障害は
１）当該サービスの全データ消失(バックアップファイル含む)
２）ディスク復旧ツールを使用して復旧したデータを顧客に提供しようとしたら、他社のデータも提供してしまった件
の2つの事故に区別できます。

今回公表された文書によると、なんと１）は「当該情報が個人情報に該当するかどうかを認識することなく預かっていた」ためにプライバシーマーク制度の対象外の事故であるというのです。それで、２）については、顧客相互間での流出であり、二次被害もなかったために軽微な事例として取り扱うとしています。

その結果として、今回の措置は「注意」に留まったということです。

http://www.dekyo.or.jp/pmark/sinsei/data/singiketsuka.pdf

（私のコメント）
上記の措置を読むと、「当該情報が個人情報に該当するかどうかを認識することなく預かっていた」ので、プライバシーマークの制度の対象外であるというファーストサーバ社の主張に対して、JADAC側としては反論できなかったと読み取れます。

しかし、今回障害が発生したサービスは単なるデータセンターの場所貸しや生のサーバー貸しではありません。アプリケーションとしてのメールサーバー機能を提供しているのであり、そのためのコントロールパネルも同社が用意しているのです。これを「個人情報に該当するかどうかを認識せずに預っている」と主張することは不適切であると思います。迷惑を受けた利用者としても、この論法では納得できないのではないでしょうか。

このような考え方が既成事実となっていくと、今後は、同様の事業者がプライバシーマークをつけていても、ほとんど意味がないということになります。こんなことでは、プライバシーマークが何の意味もないお飾りになっていくことになり、大問題だと思います。

※11月29日　一部、追記＆修正しました。