個人情報漏洩事件の事例から学ぶ/池内 正晴

 数ヶ月前に大手印刷会社で大規模な個人情報流出事件が発生したと、マスコミで取り上げられた。
 この事件は、大手印刷会社(A社)の業務委託先会社(B社)の社員が、ダイレクトメール印刷等のために、企業から預かった個人情報を持ち出して流出させた。流出した個人情報は、クレジットカード会社(C社)を含む43社からA社に預けられた合計800万件以上のデータで、各社顧客の住所・氏名のほか、クレジットカード番号が含まれているものもあった。持ち出された個人情報は、インターネット通販詐欺グループの手に渡り、それを悪用した事件も発生している。
 この事例を分析することにより、このような事件をどのようにすれば防げるか、万一発生してしまった場合はどのように対処してゆくべきかを考えていく。

 A社からの発表文によると、「これまでもセキュリティ体制には十分配慮して業務を行ってきた。記憶媒体の取り扱いやデータ搬送時の保管管理などに重点を置き、電算処理室での生体認証による入退室管理、監視カメラの設置、委託先との個人情報に関する契約締結、定期的な内部監査の実施などの対策をこれまでも行ってきた。」と書かれている。
 これらは、個人情報を取り扱っている他の会社が実施している対策と比べて大きく劣ってはいないと思われる。しかし、今回のような業務関係者が個人情報を持ち出すという行為を防止できなかったのである。なぜなら、これらは業務関係者以外が個人情報に触れることができないようにするための対策が主となっているからである。
 再発防止策としてA社の発表文では、「データの取扱を自社および子会社の限定した者に限るとともに、データを媒体に出力できる場所を限定したうえで、社員教育により再発防止を徹底する。」と書かれている。
 今回の事例だけでなく他の事例においても、情報の漏洩に関係者が関与しているケースが非常に多い。このことからわかるように、情報を漏洩から保護するためには、第三者が情報を盗むことができないように対策を行うだけでなく、関係者が情報を持ち出して悪用することを防止する対策も必要である。

 次に、A社にダイレクトメールの印刷を依頼したC社の対応について考えてみる。
 C社の発表文では、「業務委託先のA社から個人情報が漏洩したことをお詫びし、カード番号が漏洩したお客様については、カード番号変更等の対応で被害が出ないように対応をおこなっていく。弊社はもとより業務委託先を含め厳格な再発防止策を講じる。」との内容が記載されている。この内容においては、事実を伝えていることには違いないが、「今回の個人情報漏洩事件は、A社の責任である」ということが前面に出されているような印象を受ける。たしかに、C社の視点で見れば、今回の事件はA社の責任であり、C社は被害者であると言うことができるかもしれない。しかし、今回の事件における本当の被害者は、個人情報が漏洩したC社の個人顧客なのである。その個人顧客からの視点で見ると、自分が個人情報を預けたのはC社であり、その預けた情報が漏洩したことの責任はC社にあるのである。
 今回のケースにおいては、C社が業務を委託した先のA社が大手の有名な企業であり、マスコミをはじめとする世間の注目がそちらに向いたため、C社が非難を浴びるということは、ほとんどなかった。これはC社にとって不幸中の幸いであり、もしC社の業務委託先が、あまり知られていない企業であれば、マスコミがC社の事件として報道していたかもしれない。実際に今回のケースにおいても、個人情報を漏洩させた犯人は、A社の業務委託先であるB社の社員であったが、マスコミ等ではA社の事件として報道されているのである。

 個人顧客から直接に個人情報を預かる企業は、その取り扱いに関する最終責任は自分たちにあるということを十分に認識し、それに見合った対策をしっかりと行っていく必要があるのである。
 さらに、個人情報に関する業務を外部委託する場合は、特に注意をする必要がある。委託先を選定するにあたって参考情報のひとつとして、プライバシーマークの取得状況がある。プライバシーマークを取得している企業に業務を委託することにより、個人情報漏洩のリスクを低下させることができるのであるが、個人情報が漏洩しないということを保障するものではないということも意識しておく必要がある。プライバシーマークを取得していることは、その企業において、個人情報の取り扱いに関するルールが適切に定められて、それが運用されているということを外部機関が証明しているということなのである。ちなみに、今回の事例においても、A社とC社(B社については不明)はプライバシーマークを取得している。そのため、委託先の業務状況を十分に確認するということも、怠ってはならないのである。
 万一、個人情報漏洩事故が発生してしまった場合においても、顧客の視点で状況をとらえたうえで、説明、被害拡大阻止、損害の補償、再発防止などの対応をしっかりと行っていく必要がある。


■執筆者プロフィール

  池内 正晴 (Masaharu Ikeuchi)
学校法人聖パウロ学園
光泉中学・高等学校 教務部 情報担当
ITコーディネータ
  E-mail: ikeuchi@mbox.kyoto-inet.or.jp