少し前の2023年8月10日になりますが、プライバシーマーク制度のウェブサイトに「プライバシーマーク審査関連資料の漏えいについて」とするお知らせが掲載されました。平素は格別のお引きたてを賜り厚くお礼を申し上げます。この度、当協会に登録されたプライバシーマーク審査員一名が、審査関連資料を当協会との契約に反して自宅で保管し、そのうちの一事業者様の同資料が漏えいしたことが明らかになりました。当協会としては、このような事態が生じたことは誠に遺憾です。上記の事業者様に対しましては、既にご連絡とお詫びを差し上げておりますが、現在、本件について専門機関の協力も得ながら鋭意調査を進めております。今後、新たな情報が判明次第、改めてお知らせ致します。とだけの簡素なページで、普段からプライバシーマーク制度のサイトなど見ていなければ気づくことはないでしょう。漏洩したのが1事業者の情報だけで個別に対応しているという内容であるためか、ほとんどメディアで報じられることはありませんでした。プライバシーマークを管理する団体からの情報漏洩なのにそれから3か月後、一般財団法人日本情報経済社会推進協会(JIPDEC)が11月13日に公開した【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)を伝えたIT系ニュースサイトの記事で私はこの情報漏洩事件を知りました。審査員が自宅で使用していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたうえに、最低でも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認したとあります。第一報では1事業者の情報を漏洩と伝えていましたが、この第2報では漏洩の恐れまで含めると被害が及ぶ可能性は最大888社。感染して暗号化されたファイルがあるということは、ランサムウェアがどういう性質の物かによってさらに影響が大きくなる可能性もあります。ところが、Googleでニュース検索をしても大手新聞などではほとんど取り上げられた形跡はなく、一部IT系のニュースサイトなどで取り上げているだけです。しかも多くの記事はこのお詫びのページをそのまま伝えただけです。XなどのSNSでもほとんど話題になっていません。漏洩した情報はJIPDECのものだけではなかった情報漏洩の原因は、プライバシーマークの審査員が審査業務の一部を個人所有のパソコンを用いて行っていたこと、更に本来廃棄すべき審査関連資料を外部記憶媒体等に保管し、その記憶媒体がインターネットからアクセス可能な状態になっていたという、本来やってはならないことを二重で犯していたことでした。この審査員はJIPDECの審査員だけでなく、プライバシーマーク指定審査機関の一つである一般社団法人日本印刷産業連合会の(以下日印産連)プライバシーマーク審査業務も受託しており、こちらの審査関連資料も同様に保管していました。メディア各社も、JIPDECの不祥事としてこの情報漏洩を報じていますが【お詫び】では情報漏洩の恐れのある事業者として、「最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)」とあります。JIPDEC分以外に日印産連分が388社もあるのですから、日印産連も何かしらの対応を迫られているはずです。JIPDICと同時にリリースを発信しているのかと調べると、日印産連プライバシーマーク審査センターのウェブサイトでも11月13日に【お詫び】プライバシーマーク審査関連資料の漏えいについてとするお知らせを掲載していました。しかし、詳細は記されずJIPDICよりも簡素なものでした。日印産連のリリースからわかること2週間遅れの11月27日付けで日印産連も、JIPDECが主体となって調査しているという立場でほぼ同様のリリースを発信していますが、JIPDECのリリースでは触れられていなかった情報が掲載されていました。日印産連は当該審査員からの連絡を受け、JIPDECと同日に漏洩の可能性を確認したことが記されています。しかし、JIPDECがひっそりとではあるものの8月10日に第一報を出したのに対し、(ウェブサイトで確認できる範囲では)日印産連は11月13日の【お詫び】が第一報となっています。JIPDECの【お詫び】では、「少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認」とだけの記述でしたが、日印産連のそれでは「ランサムウエアによる攻撃を受け暗号化されたファイルは日印産連の審査センターが担当した審査関連資料及び個人情報が含まれていることが判明した」とあります。さらに、「ランサムウエアによる攻撃を受け暗号化されたファイルに、当審査センターが担当した審査関連資料及び個人情報が含まれていることが判明したため、当審査センターより個人情報保護委員会へ事故報告書(速報)を提出」と日印産連は個人情報保護委員会 へ事故報告したことも書かれています。JIPDECはランサムウェアについては暗号化されたファイルがあることを確認しただけで、個人情報保護委員会への報告はしなかったのでしょうか?プライバシーマークはオワコン?個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)。その総元締めである日本情報経済社会推進協会からの情報漏洩ですから、本来ならメディアも個人情報保護委員会も、SNSでも大騒ぎになっていてもおかしくはありません。漏洩を認知した後の広報対応も含め、普通ならSNSで炎上する案件です。しかし、驚くほどスルーされています。働き方改革が進みリモートワークが広く行き渡ると、プライバシーマークが新しい働き方の足かせとなってしまうこともあり、取得を躊躇う企業もあります。行政のプロポーザルでプライバシーマーク取得を入札参加要件に掲げることは多いですが、保身のためで実態に合っているのか疑問が沸いてきます。これだけ無視されるということは社会の関心も役割も低下していることの証と言えるでしょう。そして、これはJIPDECにとって一番発現を恐れていたリスクだったのかもしれません。