2016年11月10日、弊社代表宛にカゴヤ・ジャパン株式会社から個人情報漏洩事件が発生し、代表の個人情報が漏洩したと連絡がありました。ちなみに、カゴヤ・ジャパン株式会社はISMS取得済・プライバシーマーク取得済の企業です。
さて、ここで問題です。
ISMSおよびプライバシーマークの取得に於いて、不要になった個人情報の保存期間は何年と規定されているでしょうか?
正解は「規定されていない」です。
実は、弊社代表がカゴヤ・ジャパン株式会社のサーバーを解約したのは2005年6月22日付です。それにも関わらず、代表の個人情報は流出しました。
ここからも判るように、ISMSもプライバシーマークも個人情報保護という観点に於いては全く機能しないものなのです。解約後、約11年半もの長きにわたって保管し続けていた企業であっても取得できるものなのです。これではザルと言われても仕方のないところでしょう。
弊社代表は常日頃、ISMSやプライバシーマークは情報セキュリティに於いては何の役にも立たないと言っております。まさに、その言葉を裏付ける結果になったのが今回の事件なのです。
今後は、ISMSやプライバシーマークを認証する団体に於いて、適切な審査がなされることを強く望みます。そうしない限り、ベネッセ事件から始まったISMSやプライバシーマーク取得企業に於ける個人情報保護についての問題について解決することは出来ないと思います。
今のままではISMSもプライバシーマークも個人情報保護という観点に於いてはザルです。