SOBお申込の皆様へまぁ走行会主催レベルなら、こういうのってありがちだな〜と思って、マーキュリーエンタープライズ社のWebを見たところ、プライバシーポリシーについての記載があった。なかなかちゃんと書いてある。
2011年10月30日
申込書消失のお詫びとお願い
2011年12月11日開催の、スカイラインオーナーズバトル(SOB)にお申込みいただきましてありがとうございます。
この度、皆様にお送りいただきました、SOBの申込書に関してですが、弊社のFAX受信システムの障害により、皆様の申込書データが消失していることが判明しました。
貴重なお時間を使い、お申込いただいたにも関わらず、誠に申し訳ございません。
現在、お振込いただきました入金情報を確認し、消失した申込書データの洗出しを行っておりますが、FAXデータをパソコンにてマスターデータとして管理しておりました関係で、完全な割り出しができない状況となっております。
既に申込みいただきました皆様には、大変お手数ではありますが、申込書を再送付(注:変更がございます)いただけますよう、お願いします。
尚、申込書の再送付先に関してですが、再発防止も考慮して、SOBの発起人でもあります「安藤 健二」まで、メール(下記「申込メールの内容」参照)にてお願いします。
(今後のお申込に関しても、すべて「安藤 健二」までメールにてお願いします。)
また、SOBの申込締切日に関しましても、2011年11月11日まで延長とさせていただきます。
今後は、このようなトラブルが発生しないように、業務の改善も含め行ってまいる所存でおりますので、これからもSOBをよろしくお願いいたします。
マーキュリーエンタープライズ 佐藤 謙
http://transam.fc2web.com/skyline/ より引用
そうか、この会社は走行会運営だけじゃなく、中古車販売業が主業なのか。となると、そりゃ個人情報取扱事業者に該当するよナ、と納得。
さて、となると同社は個人情報取扱事業者として、個人情報保護方が定める個人情報の保護・取り扱いについて安全管理措置が義務付けられる(個人情報保護法令第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。)ことになる。果たしてその義務をきちんと満たしていたのだろうか?という点が疑問として生じる。
今回の同社のシステム構成を勝手に推測すると、SaaS系のサービスを使い、FAXをクラウド側で受信しPDF等で転送されるサービスというよりは、「パソコン」という表現を使っていることは、FAXサーバソフトをPCにインストールして、FAXモデムで受信しPCのストレージにデータを保存する仕様だろう。
まず、「パソコン」という表現だ。事務所に起動させっぱなしのPCが常時FAX受信のために待機してあるという状況だとすると、誰でもデータを閲覧・複製可能な状況にないのか?という疑問。加えて、データの紛失という点から、バックアップ体制の未整備という点。
更にもっと厳しい運用体制は必要だが、そのあたりはこちらの記事「@IT:やさしく読む「個人情報保護法」」を参照して欲しい。Pマークを取得しているわけでもないので、これらを実施していないからと言って何か罰則規定があるわけでもないのだが、少なくとも同社は個人情報取扱事業者として相応しい運用はしていないということになる。
最近はあまりこの個人情報保護法について、一時期ほどヒステリックに反応されることが少なくなっているけれども、それでもユーザからのFAXを紛失するというのは、あまりにも杜撰な管理としか言えない。
こういう事故の記事などを見る度に、じゃあエイトリアンカップの参加者情報という個人情報を扱う自分はどうなのか?という点についていつも振り返っている。もちろん俺は個人事業取扱事業者には該当しないのだが、かつては名簿系のファイルは暗号化したストレージにパスワードを設定して保管していた。なので、ストレージの物理体を外してどこかで閲覧したとしても、複合が100%不可能ではないが、個人レベルでの管理体制としては十分であると自己評価している。
そして現在は、googleを利用したクラウド側に個人情報を保管している。クラウドが一般的になっている昨今であっても、金融機関など自社情報の漏洩を100%、すなわち物理的にパブリックなネットワークと切り離された環境で管理したいという要望は未だに多い。確かにgoogle側のミスやあるいは彼らが時々発する、世間の常識とはズレた情報管理のポリシーなどにより、もしかしたら申込者の情報が全世界に漏洩する可能性もゼロではない。しかし、個人使用のPCのローカルのHDDにデータを置くよりは、一定水準よりはるかに高いセキュリティポリシーで運用されているgoogle側にデータを置いた方が、リスクの低さでは上だと判断し、現在に至っている。
ただ、こういった情報のコントロールは、システムや仕組みの話ではなく、運用や運用担当者の意識に依るところが多いと常に考えている。なので、現状で良しとしないで、常にアンテナを高く、参加者が安心して申し込みをしてもらえるような環境を整えようとしている。この「意識」という点は、他の走行会運営者と比較しても高いと自負している。
今回の事故を受けて、同社がより参加申込者の個人情報という点について、意識を変えてより高い運用を志してもらえることを、イチユーザとして強く願う。
エイトリアンへのご連絡は
