CCCのプライバシーマーク返上、問題の本質は「Pマークに意味があるか」ではない

ツタヤ・Tポイント/Tカードのカルチュア・コンビニエンス・クラブ（CCC）がプライバシーマーク（Pマーク）を返上

CCCがプライバシーマークを返上したという件が、先週末から話題になっていました。

• CCC（ツタヤ）がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態（山本一郎氏）
• なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか（前編）（日経コンピュータ／ITpro）
• 【速報】TカードのツタヤCCCがプライバシーマークを返納！個人情報は？海老名図書館はどうなる？（Togetterまとめ）

私自身が裏取りしたわけではないのですが、要は、T会員規約を改訂し、今後は

JIS Q 15001（個人情報保護マネジメントシステム ― 要求事項）や JIS Q 27001 （情報セキュリティマネジメントシステム）などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。

ということなのです。

• T会員規約改訂のお知らせ（CCC）

それってだれが客観的に確認・検証できるの？

さて、

いろんなセキュリティ規準を参考に、先進的な自社基準を策定するんなら問題ないのでは？

と思う人もいるかもしれません。これがなぜ問題なのでしょうか。

それは、「自社基準」では、実際にどんなルールに則ってどんな運用をしているのか、第三者がだれも確認できないからです。

プライバシーマークもISMSも、大切なのは「定められた情報管理ルールに則って運用している（はずである）ことを、第三者が確認する」点にあります。

こういう話題になると「Pマーク（などの規準）なんて運用がザルだから、取得してても意味がない」という声が出てきます。しかし、それでも少なくともどんなルールが定められていてどんな運用を規定しているのかは、第三者が多少なりとも検証できます。

しかし「自社基準」では、その中身や運用チェックフローなどが公開されない限り、どんな「セキュリティ」なのかは、内部の人間にしか確認できません。

もしJIS Q 15001やJIS Q 27001を包含し、さらに強固で高度な独自セキュリティ基準を設けているのならば、それぞれの認証を取得したうえで、さらに高度な運用をすればいいだけです。

繰り返しますが、事業主体にとっては「ちゃんとやる」ことが大切ですが、第三者からみると、「どんなルールでどんな風にやっているのか」を判断できることが大切なのです。

それができないのであれば、「その企業を信頼できるかどうか」だけの問題になってしまいます。

しかし、あれですね。こういうときに掲示板などで「Pマークは意味がない」という書き込みを見ると、話題の焦点をずらして炎上を抑える「火消し屋」なのかな、と思ってしまいますね。