日本データ通信協会で流出事故？ - 言いたい放題の続報。

http://www.dekyo.or.jp/にリリースがありました。

工事担任者試験の試験申請者情報への不正アクセスについて（お詫び）('06.03.07)
ttp://www.shiken.dekyo.or.jp/charge/owabi.pdf

お 詫 び


平成18年度(2006年度)第1回工事担任者試験の
試験申請者情報への不正アクセスについて


平成18年2月1日から試験申請を受け付けている平成18年度第1回工事担任者試験におけるインターネット申請の受付事務において、第三者により外部から提供を受け ているメールサーバーに不正にアクセスされ、742人の試験申請者の方々の個人情報が流出した疑いのあることが、3月3日、調査の結果判明しました。このため、不正アクセス行為の禁止等に関する法律違反として、3月5日、警察に通報いたしました。 このような事態を引き起こし、該当する申請者の皆様には、多大なるご迷惑とご心配をお掛けすることになり、心からお詫び申し上げます。


当協会では、事態判明後直ちにメールサーバーセキュリティ管理情報の変更等の再発防止措置を講じましたが、今後は、警察の捜査に協力するととともに、引き続き調査を継続してまいります。


742名の皆様方には、3月7日、お詫び状を発送させていただきました。
なお、該当する仮受付番号は、次のとおりでございます。
個人 K34406323 ~ K34406918
団体 K54400933 ~ K54401078


現時点におきましては、申請者の皆様の情報が不正に使用された事実は確認されておりませんが、申請者の皆様におかれましては十分にご注意をいただくとともに、当協会といたしては、このたびの事故を重大に受け止め、今後、個人情報の保護と再発の防止に一層努めてまいりますので、何卒ご理解を賜りますようお願い申し上げます。

「外部から提供を受けているメールサーバーに不正にアクセスされ」（下線部筆者）ということで、
サーバー管理会社の方が悪いのか、管理している協会が悪いのかはちょっとわかりませんが、
「当協会では、…メールサーバーセキュリティ管理情報の変更等の再発防止措置」ということからすれば、設定が悪かったようにも思えます。
だとすれば、この協会に個人情報法保護のコンサルティングのようなことを任せて大丈夫なのかとやはり少しぎもん。
まあ失敗事例は丁寧に教えてくれるでしょうけど。

「3月3日、調査の結果判明」で報道が6日。リリースが７日。
土日を言い訳にするなら、遅くないかもしれませんが、時間はまってくれません。
せめて6日にきちんとリリースするべきったように思います。

「742名の皆様方には、3月7日、お詫び状を発送」なんだから、発表時「不正に使用された事実は確認されておりませんが」
というのはある種当然のような。それ以前に警察で照合できるくらいな不正があればかなり困ったことになりますし。
不正に使用されないことを祈るだけ。