あっけなく偽造されるプライバシーマーク

2009年6月22日

個人情報を適切に扱っているWebサイトを示す「プライバシーマーク」が勝手に使われているので気をつけてほしいと、プラバシーマークの発行元、財団法人日本情報処理開発協会のプライバシーマーク事務局が「【ご注意】プライバシーマーク(ロゴ)の不正使用について」というWebページで伝えています。

不正使用をしているサイトは複数にあり、いくつかは閉じられたようですが、6月22日現在でもまだ1つが存在することを確認できます。

fig プライバシーマークを不正使用しているWebサイト。左下「個人情報の取り扱い」のところにプライバシーマークが見える

不正使用の手口は単純で、画像のプライバシーマークをコピーしてWebサイトに貼っているだけ。誰にでもできる簡単な方法です。

しかし問題なのは、こうして不正使用されて貼ってあるプライバシーマークと、正規に取得されたプライバシーマークを、一般の利用者が見分けることは困難だという点です。

正しいプライバシーマークの見分け方

プライバシーマークは正規に取得した企業や団体ごとに、認定番号入りで配布されます。そのためプライバシーマークをよく見ると、下部には認定番号が表示されています。例えば、大日本印刷とカカクコムのWebサイトに表示されているプライバシーマークをそれぞれ見てみると、それぞれ異なる認定番号が表示されているのが分かります。

fig 上が大日本印刷、下がカカクコムのプライバシーマーク表示。認定番号が異なっていることが分かる

先ほど紹介した不正使用されたプライバシーマークでは、この番号の部分が削除されていましたから、プライバシーマークに詳しければひと目で違いが分かったはずです。

しかし認定番号がないのは単に表示ミスの可能性もあります。また、番号まで偽造された場合には、番号の有無で判断できなくなります。

結局、正しくプライバシーマークが認定された企業や団体なのかということを判断するためには、プライバシーマーク制度のWebページへ行き、付与業者一覧からその企業や団体の名前を探すしかありません。

どうすればプライバシーマークが信頼しやすくなるか

もっと簡単に、不正使用を見抜くことはできないのでしょうか? これではあまりに不正使用に対して脆弱すぎて、プライバシーマークの表示を利用者が信頼できなくなりそうです。

日経BPネットでこの件を報じた記事「偽のプライバシーマークに注意」に、インターネット接続サービス事業者などが発行している「インターネット接続サービス安全・安心マーク」では、分かりやすいマークの発行を行っている、という例が紹介されていました。

認定マークをクリックすると主催団体のサイトに飛んで、認定を受けた会社名や認定マークの有効期間などを表示するようになっている。しかも、期限切れや処分を受けて認定マークが使用できなくなると、元のサイトの認定マークの絵柄が消える仕組みだという。
このやり方はスマートなうえに安全であり、他の認定団体のお手本になるだろう。

結局は、主催団体のWebサイトで確認しなければならないのですが、その方法が簡単に提供されているだけで、本物かどうかが手軽に分かるようになっています(例:OCNソネット)。プライバシーマークの発行団体には、ぜひこれを見習ってもらいたいものです(発行団体への接続をSSLにするともっとよいのではないでしょうか)。

と同時に、この件について調べるあいだも「本物のプライバシーマークにもそれほど価値があるとは思えない」という意見を数多く見ました。当然ながら、プライバシーマークの価値向上についても努力しなければ、マーク表示を適正に行おうとすること自体が意味のないものになってしまうでしょう。

このエントリーをはてなブックマークに追加
follow us in feedly

タグ : セキュリティ



≫次の記事
オラクルによる買収で消えるバーチャルアイアン、そしてゴスリングもか?
≪前の記事
ケント・ベック氏が指摘するクラウドの問題点は「データロックイン」

Loading...

Blogger in Chief

photo of jniino Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。新しいオンラインメディアの可能性を追求しています。
詳しいプロフィール


Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed



Publickey 最新記事 10本

Publickey Topics 最新記事 10本


PR - Books


fig

fig

fig

fig



blog comments powered by Disqus