クレジットカード決済サービスを提供する
(株)メタップスペイメントが
2021年10月から2022年1月に不正アクセスを受けて
個人情報が流出した問題の続報です。
▼過去blog:
(株)メタップスペイメント
経産省&個人情報保護委員会から行政指導
https://plug-in01.com/topics/archives/154
とうとう、JIPDECがPマークの取り消しを公表しました。
↓
(JIPDEC公式HP:https://privacymark.jp/certification_info/rlist.html)
Pマークの取り消しは、過去にも数件あったと思いますが
(2014年のベネッセや2019年のリクルートキャリア)、
久しぶりに聞いた気がします。
ちなみに、取り消しになる要件は、
「プライバシーマーク付与に関する規約」に以下のように規定されています。
↓
(https://privacymark.jp/system/guideline/procedure.html#05)
漏洩事故が起こったからといって、
即取り消しになるわけではないので、
この要件に該当する状況があったということなんでしょうね。
前回のblogでもご紹介しましたが、
以下のような管理体制の不備について
個人情報保護委員会から指導されていたので、
それらの状況から判断されたということでしょうか。
◆情報資産管理台帳の整備がされていなかったため、
棚卸しが適切に実施されず、どのシステムにおいて
情報資産を取り扱っているかすら把握していなかった。
◆個人データの取扱状況についての監査・点検も
一部実施しておらず、その重要性に見合った取扱いを
行っていなかった。
◆内部監査規程等において規程の外形のみ整備していたものの、
それを実行するための適切な人員配置等の実質を伴わず、
技術的安全管理措置を含む情報セキュリティに対する
内部監査が機能していなかった。
こんな状況でPマークが継続できるとしたら、
確かに信じられないので、
正しい判断なんじゃないかな…と個人的には感じます。
※ちなみに、PCI DSSやISMSは、取り消しになってはいないようです。
↓
((株)メタップスペインメントHP:https://www.metaps-payment.com/)