日本情報経済社会推進協会(JIPDEC)は2014年11月26日、7月に顧客情報の大量漏洩が発覚したベネッセコーポレーションへのプライバシーマーク(Pマーク)の付与を取り消すと発表した。20日に同社へ通知した。

 ベネッセは26日にWebサイトで、取り消し措置は「事故発生時の当社の管理状況に関する報告に基づくもの」とし、「経済産業省への改善報告書に記載した情報セキュリティ対策を引き続き鋭意進めていく」と公表している。

 JIPDECは取り消しの理由について、「委託先の監督及び安全管理措置(資源、役割、責任及び権限を含む)の両面において不備があった」ことや、漏洩した個人情報が膨大で「幼児や小中学生などの若年層の個人情報を多数含むため、長期にわたる事故の影響が見過ごせないと判断された」としている。さらに、「プライバシーマーク制度の信頼性に対しても重大な影響をもたらした」という理由を挙げている。

 JIPDECによると、これまでPマークの取り消しとなった事業者は2社目。JIPDECは10月にジャストシステムに対して勧告措置を公表している。ベネッセコーポレーションは2006年1月に最初にPマークを取得して以降、2年ごとに4回更新し、直近では2014年2月14日に更新認定を受けたという。取り消された後に再取得する場合、1年間は申請できない。

 プライバシーマークは、JIPDECが個人情報に適切な保護措置を行う体制を整備していると独自に認定する制度。日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合するか民間事業者団体の指定機関が審査して、JIPDECが付与している。