個人情報を守る製品認証制度には基準の公開性に注目せよ

　クレジットカードから情報が漏えいする事件が相次いでいる。先日、新聞を読んでいたら、スキミング対応の財布が紹介されていた。早速、調べたら驚いた。その製品評価制度の基準は非公開だった。新聞社は、個人情報の漏えいをテーマとして取り上げる以前に、セキュリティ制度そのものに対する理解を深める必要がある。

様々な個人情報保護制度

　個人情報の保護に関して、色々な制度が存在している。歴史が長いものから、対象を企業、個人に限定したもの、国内に限定されたもの、逆に外国企業でも取得可能で、世界的に知られている制度まで多数存在する。日本で知られている制度としては、ざっと、このようなものが有名だ。

　プライバシーマーク制度
　　　事業者が対象となっており、有名だ。認証取得事業者は2300を超えている。プライバシーマークの審査員である登録証を他のセキュリティの審査で自己アピールする審査員も一部にみられる。

　個人情報取扱従事者資格
　　　特定非営利法人日本プライバシープロフェッショナル協会が認定試験を行っており、資格保有者は、4000名を超える。資格には3つの種類が存在する。

　個人情報保護士
　　　財団法人全日本情報学習振興協会が小学生から高齢者まで目標をもってチャレンジできる検定を目指せる定制度である。

　個人情報保護専門監査人
　　　1987年に設立されたシステム監査学会が専門監査人資格制度として定めている。

　いずれの制度でも、明確な基準が存在する。資格試験ならば、合格点が設けられている。セキュリティに関する制度では、利用者に対して、信用、信頼を与えなければ意味がない。そして主催している組織は、公平であり、かつ、倫理的であり、そして独立性を保っていなければならない。
　
　もしも、認証制度を実施する機関が、類似する名称のコンサルティング会社から相互リンクを張っていたり、役員が重複していれば、それは認証制度というビジネスに名を借りたマッチポンプビジネスである可能性があるので注意すべきだろう。

　もし、このような問題を組織が認識していれば、独立性を早急に立て直すべきではないだろうか。

基準を公開している情報処理推進機構
http://www.ipa.go.jp/security/jisec/index.html

基準が非公開となっている情報セキュリティ対策製品認証制度
http://www.jilcom.or.jp/certification.htm