 2020/11/18 イベント管理アプリ「Peatix」で不正アクセスにより個人情報最大677万件が流出したと発表されました → 少々気になることがあります イベント管理アプリ「Peatix(ピーティックス)」を運営する米Peatixは11月17日、第三者による不正アクセスを受け、個人情報最大677万件が引き出されたと発表しました https://announcement.peatix.com/20201117_ja.pdf (Peatix社のお詫びとお知らせ関連HP) 発表によると10月16日から17日にかけて不正アクセスがあったことが発覚し利用者の氏名、メルアド、暗号化されたパスワード、など個人情報を含む677万件の情報が不正にひきだされたことが判明したそうです 「Peatix(ピーティックス)」社からは他サービスで同じパスワードを使っている場合は2次被害が考えれれるため念のためパスワード変更を行うようお願いが発信されています ここで気になるのは「Peatix」に対してイベント開催に関する集客に伴う個人情報の取扱委託として各イベント開催事業者が意識していたかが気になります ご存じのようにPマーク取得企業においては個人情報の取扱を委託する場合にその評価と契約について事前に行うことが要求されています 今回の事故に関して個人情報の委託を行っているという認識のある企業がどの程度かが大変興味があります 単にイベント登録を行いイベントの紹介だけならよいのですがこのアプリを使ってイベント参加者情報(個人情報)を取得(集めて)いたのであれば個人情報の委託先として管理すべき事項になると思われます さらに委託先の評価でも気になる点があります 委託先がPマークやISMSを取得していた場合に評価チェックリストで「以降のチェックを省略可能」としているチェックリストを見かけることがありますがこれについて少々問題があるように思われます 例えば個人情報の取扱の仕組み、運用に関する委託先のチェックであればPマーク取得を取得してることで適切な委託先として判断するのは考えられますがISMS認証取得だけの場合はそれをもって個人情報後の運用で委託先としてOKとするのは疑問が残ります ISMSはPマークのように個人情報保護に特化していないためです Pマーク審査員によってはISMS認証のみで評価OKは認められないとされることがある可能性が考えられます またクラウド委託事業者への委託先評価でシステムの物理的な様々な安全管理状況をチェックする必要がある場合、Pマークを取得しているのでOKとするのも少々問題があるように思います なぜならばPマークの要求事項では安全管理においては「望ましい」となっていますがISMSでは「ねばならない」となっておりこの点ではISMS認証取得が有効な評価基準になると思われます 委託先評価について単に評価をすれば良いというものではなく評価の目的をよく理解し必要な評価を行うことが求められます 目的と手段をよく考えて委託先評価を行うように努めることが求められます 話が横道にそれましたが、イベント登録を行い、イベント参加者個人情報を取得する運用であれば委託先として管理が必要と思われ、この事業者を社内で使っている部門がないか今一度、確認が必要かもしれません 使っているのであれば漏えい対象件数の中に含まれているかの確認を行い含まれている場合は事故報告の対象になると思われますので事故対応の手順に従った社内対応が求められることになります |