頻発する個人情報漏洩事故
このところ、個人情報の漏洩事故がマスコミを騒がせています。
民間会社だけでなく、自治体や大学でも数多くの事故が発覚し、
新聞やテレビで報道されていることは、皆さんご承知のことでしょう。
下表に最近発生した漏洩事故の主なものを挙げてみました。
|
業種
|
発覚時期
|
流出規模
|
対応
|
発生原因
|
|
京都府U市
|
98年4月
|
約21万人
|
訴訟を起こした住民一人当り15,000円支払い
|
住民票入力業務委託先のアルバイトが名簿業者に販売
|
|
大手コンビニ
|
03年6月
|
約56万人
|
全会員に500円の商品券と謝罪文を送付
|
業務委託先の関係者が故意にデータを抜き出し
|
|
大手信販会社
|
03年8月
|
約8万人
|
千円の商品券と謝罪文を送付
|
委託先のサーバーから情報流出
|
|
大手コンビニ
|
03年11月
|
約18万人
|
千円のプリペイドカードと謝罪文を送付
|
不明
|
|
大手プロバイダ
|
04年2月
|
約450万人
|
会員に500円相当の金券配布
|
委託先からの流出の可能性大
|
|
通販会社
|
04年3月
|
約30万人
|
販売自粛(推定損失100億円強)
|
委託先からの流出の可能性大
|
|
大手プロバイダ
|
04年3月
|
30万人強
|
電話相談受付
|
内部漏洩の可能性
|
|
大手食品メーカ
|
04年4月
|
7万人強
|
未対応
|
委託先からの可能性大
|
|
大手信販会社
|
04年4月
|
約300人
|
未対応
|
支店からセンターへの送付途中の紛失
|
|
大手信販会社
|
04年4月
|
約10万人
|
謝罪文の送付およびカード再発行
|
DM業者の可能性
|
これ以外にも、「ノートパソコンが盗難にあった」だの、「夜間にコンピュータが丸ごと持ち出された」だのといった事件も後を絶ちません。
漏洩した情報が悪意に流用された場合はもちろんのこと、コンピュータが盗まれた(紛失した)だけでニュースとして報道されているのです。
◆ もはや人ごとではない。もし自分の会社で漏洩事故が起こったら
情報漏洩を発生させた会社は、どこも多大な費用発生を余儀なくされています。
事故を起こした大手プロバイダーでは、会員に対する迷惑料と、セキュリティ改善に40億円掛けています。
「我が社は大手じゃないから」
「うちの情報数は5千件もないから」
と言って高をくくることはできません。
情報件数が仮に千件だったとしても、発注先から預かった個人情報が外部に漏洩したら、発注先から多大な賠償金を請求される可能性があります。それだけでなく、会社としての信頼を大きく損ねることになってしまうのです。
「あの会社は情報管理がずさんだ」という悪評が立てば、企業活動に大きな影響が出ることになりますし、一度失った信用を取り戻すには、想像を越えたエネルギーが必要になるでしょう。
◆ なぜ漏洩事故が起こるのか?
個人情報の漏洩事故が起こる原因は、経営者も社員も、情報管理の必要性をそれほど大きく考えていないことが挙げられます。
確かにこれまではどこも、「個人情報は会社がビジネスのために利用するもの」という考え方をとってきました。
しかしこれからは、
「個人情報はお客様からお預かりしているもの」
「お客様の持ち物である以上、紛失したり、損傷(内容の改ざん)したりすることのないように、責任を持って管理しなければならない」
という考え方に切り替えていかなければならないのです。
コンピュータへの入力など、情報処理を外部に委託することがあります。
これは、「預かり物の又貸し」になるわけです。
「又貸し」自体は問題ありませんが、委託先で紛失や漏洩が発生した場合は、「委託先で起こった事故は相手の責任」で済ませることは出来ません。
相手の会社の情報管理の程度をきちんと確認しなかった、発注会社に責任が科せられるのです。
個人情報が不正に利用されて、金銭的・精神的被害が発生することを防止するため、個人情報を保有する会社は、十分な管理体制を確立し、運用することが、これからの企業の社会的責任になってきます。
この社会的責任を詳細に規定したものが「個人情報保護法」なのです。
◆ 「個人情報保護法」とはどんなものか?
「個人情報保護法」が4月1日に施行されました。
この法律は、一旦個人情報の漏洩が発生すると、企業にとっては損害賠償や慰謝料に多額の負担を追うことになるだけでなく、企業の代表者に対しても刑事罰を処すという厳しい内容になっています。
企業の個人情報漏洩事故・事件が連日マスコミを賑わせていることを見ても、企業リスクは確実に増大の一途を辿っているといえるでしょう。
「個人情報保護法」は、5千件を越える個人情報を保有している組織が対象になっています。
しかしながら、5千件に満たない会社(組織)でも、刑事罰を受けることこそないものの、民事訴訟のリスクが待ち構えているわけです。
企業経営者にとっては、これまでどちらかといえば関心の外であった「個人情報保護」のための管理システムを社内で整備し、企業リスクを最小限に食い止める行動をとることが強く求められているのです。
近畿圏内でもすでに数件、コンピュータの盗難による漏洩事件が発生していることはご承知のとおりです。
大手企業を含め、ほとんどの会社では企業の機密情報の管理には万全の手を尽くして入るものの、個人情報の管理については、全く無防備で、いつ情報漏洩事故が起こっても、おかしくないのが現状です。
一日も早く、少しでも多くの会社経営者の方々に、情報管理の必要性を認識していただかなければなりません。
◆ どんなものが個人情報になるのか?
個人情報とは、特定の個人を識別することができるものを言います。
具体的には、「氏名」「住所」「年齢」「家族」「配偶者」「勤務先」などが個人情報になります。
DM発送のための送付先リストは個人情報です。(「○○株式会社御中」は個人情報には含まれません。「○○株式会社 資材部 ○○様」は個人情報になります)
「顧客リスト」ももちろん個人情報になりますし、つい忘れられがちなのですが「社員情報」も個人情報に含まれます。
社員の「成績評価」「履歴書」「健康診断結果」や「社員名簿」も個人情報になります。
印刷業の場合、名刺や名簿の印刷を依頼されることがありますが、これらは、お客様からお預かりしている個人情報です。うっかり外部に漏れることがあったら、大きく信頼を損なうことになります。
会社としては、お客様からお預かりしている情報をきちんと管理するために、社内の仕組みを見直して、不完全な部分があれば、早急に改善することが要求されるのです。
◆ 具体的にどうすればいいのか?
個人情報保護法に基づいて、JIS Q 15001が制定されました。
法律というものはどうしても表現が抽象的になってしまいますが、JIS Q 15001は具体的に、個人情報管理を確実にするための規定を定めたものです。
その内容は、
(1) 社内に保有している個人情報を洗い出して、重要度を評価する。
(2) 情報管理を確実にするための、社内規程を整備する。
(3) 社内規程を運用し、必要な記録を残す。
(4) 業務が規程どおりに運用されているかどうかのチェックを行う。
といったものです。
このJISの規定に沿って社内の情報管理システムを作り上げていけば、社内の個人情報管理が整備されることになります。
さらに、認定機関の審査を受けてパスすれば、「プライバシーマーク」を取得することができます。
「プライバシーマーク」とは、「この会社は、個人情報管理の仕組みがきちんと整備されており、運用されている」と確認できた会社に発行されるロゴマークです。
「プライバシーマーク」を取得すれば、対外的にも「我が社は、個人情報管理の仕組みがきちんと整備が出来ており、運用しているので、社会的責任を果たしている会社である」という証明になるのです。
◆ 「プライバシーマーク」を取得するにはどうすればよいのか?
二つの方法があります。
(1) 会社独自で、専門家(コンサルタント)の指導を受ける。
(2) 数社合同で、専門家(コンサルタント)の指導を受ける。
(株)杉田総合経営センター/(株)杉田パーソナルセンター/杉田公認会計士・税理士事務所
本社 〒612-0807 京都市伏見区深草稲荷中之町33番地 杉田センタービル
TEL:075-641-5656 / FAX:075-647-2657
このホームページの内容に関する無断転載を禁じます。
Copyright(C)2004 By (株)杉田総合経営センター All Right Reserved
