前回 は金融業界を事例に,コンプライアンス体制と個人情報保護法の関係について取り上げた。金融庁の所管分野では,2006年3月19日,ジャスダック証券取引所(JASDAQ)で,同社のシステムに関する資料が,システム開発の委託先である日立製作所の協力会社社員の私物パソコンから,ファイル交換ソフト「Winny」を介して流出した事実が発覚している (「システム関連資料の流出に関する一部報道について 」参照)。
このようなケースで,流出データに個人情報が含まれていたら,個人情報取扱事業者としての発注元の法令順守態勢がまず問われる。今後,元請けまで金融庁検査が及ぶようになれば,末端の下請けに対する監視も厳しくなるだろう。
さて今回は,M&Aや企業間連携が活発な情報通信業界を取り上げてみたい。
個人情報保護法上は融合していなかった「放送」と「通信」
「コンプライアンス」という言葉が一般に定着したのは,ライブドア騒動によるところが大きい。このライブドアが広めた言葉に「放送と通信の融合」がある。放送も通信も,所管するのは総務省であるが,個人情報保護法上の対応は別扱いになっている。
放送業界向けには,「放送受信者等の個人情報の保護に関する指針 」というガイドラインがあり,個人情報漏えいなど事故発生時の総務省への報告や外部への公表が規定されている。例えば今年3月,「Winny」による個人情報流出が発覚したフジテレビジョンの「個人情報の流出について 」を見ると,「また,事実経過及び対応策について,本リリースを公表するとともに,監督官庁の総務省に対し,詳しい経緯を報告してまいります。」という一文がある。
他方,通信業界向けには,「電気通信事業における個人情報の保護に関するガイドライン 」というガイドラインがある。総務省への報告や外部への公表を規定している点については,放送分野向けのガイドラインと同じだ。
以前,2004年2月に発覚したソフトバンクBBの「Yahoo!BB」顧客情報流出事件を「施行開始!個人情報保護法(10):事例に見る個人情報データベースの落とし穴 」で取り上げたことがある。総務省はこの事件に関連して,同社に対して文書指導を行っている(「通信記録の流出事故に関するソフトバンクBB株式会社に対する措置 」参照)。
個人情報保護法施行前から厳しい監督指導が実施されてきた通信業界だが,第32回 ,第33回 で取り上げたように,NTT東日本・西日本の「Winny」による個人情報流出など,個人情報漏えい事件は相変わらず起きている。このような状態が続くと,所管官庁の方針如何で,放送,通信業界との関係が深い中堅・中小企業(SMB)に影響が及ぶ可能性がある。
複数の所管分野にまたがる企業が順守すべきガイドラインはどれ?
前述のソフトバンクでは,順守すべきコンプライアンスコードの1つとして,「(情報の保護)私たちは,お客様,取引先,従業員のプライバシーを尊重し,個人情報を厳重に管理します。」を掲げている(「『ソフトバンクグループ憲章』の改訂に関するお知らせ 」参照)。
同社のように,放送と通信など複数の所管省庁にまたがる企業の場合,どの分野の個人情報保護ガイドラインに個人情報管理の基準を合わせればいいのだろうか。SMBでも,M&Aなどを通じて異分野の事業拡大を図る企業が増えており,各ガイドライン間の調整は不可避の課題になっている。
次回は,この点に絞って考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
