数ヶ月前に大手印刷会社で大規模な個人情報流出事件が発生したと、マスコミ
で取り上げられた。
この事件は、大手印刷会社(A社)の業務委託先会社(B社)の社員が、ダイ
レクトメール印刷等のために、企業から預かった個人情報を持ち出して流出させ
た。流出した個人情報は、クレジットカード会社(C社)を含む43社からA社に
預けられた合計800万件以上のデータで、各社顧客の住所・氏名のほか、クレジッ
トカード番号が含まれているものもあった。持ち出された個人情報は、インター
ネット通販詐欺グループの手に渡り、それを悪用した事件も発生している。
この事例を分析することにより、このような事件をどのようにすれば防げるか、
万一発生してしまった場合はどのように対処してゆくべきかを考えていく。
A社からの発表文によると、「これまでもセキュリティ体制には十分配慮して
業務を行ってきた。記憶媒体の取り扱いやデータ搬送時の保管管理などに重点を
置き、電算処理室での生体認証による入退室管理、監視カメラの設置、委託先と
の個人情報に関する契約締結、定期的な内部監査の実施などの対策をこれまでも
行ってきた。」と書かれている。
これらは、個人情報を取り扱っている他の会社が実施している対策と比べて大
きく劣ってはいないと思われる。しかし、今回のような業務関係者が個人情報を
持ち出すという行為を防止できなかったのである。なぜなら、これらは業務関係
者以外が個人情報に触れることができないようにするための対策が主となってい
るからである。
再発防止策としてA社の発表文では、「データの取扱を自社および子会社の限
定した者に限るとともに、データを媒体に出力できる場所を限定したうえで、社
員教育により再発防止を徹底する。」と書かれている。
今回の事例だけでなく他の事例においても、情報の漏洩に関係者が関与してい
るケースが非常に多い。このことからわかるように、情報を漏洩から保護するた
めには、第三者が情報を盗むことができないように対策を行うだけでなく、関係
者が情報を持ち出して悪用することを防止する対策も必要である。
次に、A社にダイレクトメールの印刷を依頼したC社の対応について考えてみ
る。
C社の発表文では、「業務委託先のA社から個人情報が漏洩したことをお詫び
し、カード番号が漏洩したお客様については、カード番号変更等の対応で被害が
出ないように対応をおこなっていく。弊社はもとより業務委託先を含め厳格な再
発防止策を講じる。」との内容が記載されている。この内容においては、事実を
伝えていることには違いないが、「今回の個人情報漏洩事件は、A社の責任であ
る」ということが前面に出されているような印象を受ける。たしかに、C社の視
点で見れば、今回の事件はA社の責任であり、C社は被害者であると言うことが
できるかもしれない。しかし、今回の事件における本当の被害者は、個人情報が
漏洩したC社の個人顧客なのである。その個人顧客からの視点で見ると、自分が
個人情報を預けたのはC社であり、その預けた情報が漏洩したことの責任はC社
にあるのである。
今回のケースにおいては、C社が業務を委託した先のA社が大手の有名な企業
であり、マスコミをはじめとする世間の注目がそちらに向いたため、C社が非難
を浴びるということは、ほとんどなかった。これはC社にとって不幸中の幸いで
あり、もしC社の業務委託先が、あまり知られていない企業であれば、マスコミ
がC社の事件として報道していたかもしれない。実際に今回のケースにおいても、
個人情報を漏洩させた犯人は、A社の業務委託先であるB社の社員であったが、
マスコミ等ではA社の事件として報道されているのである。
個人顧客から直接に個人情報を預かる企業は、その取り扱いに関する最終責任
は自分たちにあるということを十分に認識し、それに見合った対策をしっかりと
行っていく必要があるのである。
さらに、個人情報に関する業務を外部委託する場合は、特に注意をする必要が
ある。委託先を選定するにあたって参考情報のひとつとして、プライバシーマー
クの取得状況がある。プライバシーマークを取得している企業に業務を委託する
ことにより、個人情報漏洩のリスクを低下させることができるのであるが、個人
情報が漏洩しないということを保障するものではないということも意識しておく
必要がある。プライバシーマークを取得していることは、その企業において、個
人情報の取り扱いに関するルールが適切に定められて、それが運用されていると
いうことを外部機関が証明しているということなのである。ちなみに、今回の事
例においても、A社とC社(B社については不明)はプライバシーマークを取得
している。そのため、委託先の業務状況を十分に確認するということも、怠って
はならないのである。
万一、個人情報漏洩事故が発生してしまった場合においても、顧客の視点で状
況をとらえたうえで、説明、被害拡大阻止、損害の補償、再発防止などの対応を
しっかりと行っていく必要がある。
■執筆者プロフィール
池内 正晴 (Masaharu Ikeuchi)
学校法人聖パウロ学園
光泉中学・高等学校 教務部 情報担当
ITコーディネータ
E-mail: ikeuchi@mbox.kyoto-inet.or.jp
コメントをお書きください