前回 は,情報通信業界を例にコンプライアンス体制と個人情報保護法の関係について取り上げた。M&Aなどを通じて,放送と通信など所管官庁の異なる分野に企業の事業が拡大し,個人情報保護法への対応が複雑化するケースが起きている。今回も引き続き,この問題について考えてみたい。
業界で異なる個人情報漏えい事件の公表基準
内閣府ホームページの「個人情報の保護に関するガイドラインについて 」では,省庁別の所管分野とガイドラインが掲載されている。一般企業が目にすることが多いのは,「事業全般」を所管する経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 」だろう。
前回 取り上げた「放送」,「電気通信」向けガイドライン,前々回 取り上げた「金融」向けのガイドラインでは,所管官庁への報告,外部への公表,事実関係の本人への通知など,情報漏えい発生時の対応が規定されている。しかし「事業全般」のガイドラインには,そのような規定はない。例えば,個人情報漏えい事件が発生した場合,「電気通信」に該当する企業には,外部への公表が課せられているが,「事業全般」に該当する企業には課せられていないのだ。
事業拡大で発生するコンプライアンスの難しさ
2006年3月,ソフトバンクグループのヤフーで,ファイル交換ソフト「Winny」に起因する個人情報漏えい事件が2件発覚した。1件目は3月20日に発覚したもので,同社の顧客サポート業務委託先企業の個人所有パソコンから,ヤフー従業員の個人情報102名分,Yahoo!ショッピング出店企業情報(担当者の個人情報含む)3169件分が流出している。
外部委託先のネオ・コミュニケーションズ・オムニメディアは,自社ホームページで情報漏えいの事実を公表している(「「Winny」による情報の流出について 」参照)。しかし,ヤフーのホームページのプレスルームを見る限り,この件に関する情報は公表されていない。
本誌注)読者の方より「ネオ・コミュニケーションズ・オムニメディアの漏えい事件は,プレスルームではなく,Yahooショッピングのお知らせページ に,3月20日付けで告知されている」とのご指摘がありました。
ヤフーの2件目は,3月24日に発覚したもので,「Yahoo!ショッピング」加盟店のワインショップの社用PCから,商品購入顧客の個人情報を含む受注情報8223件分が流出している。「個人情報漏えい事件を斬る(22):楽天店舗の情報漏えいでわかった運営会社と出店者の複雑な関係 」で説明したように,個人情報取扱事業者としての責任は,モール運営会社のヤフー!)でなく,加盟店側にある。加盟店のカーブ・ド・ヴァン萬屋は,インターネット上で情報漏えいの事実を公表しているが(「「Winny」による受注情報などの流出について 」参照),この件では,ヤフーもホームページで情報を公表している(「Yahoo!ショッピング加盟店の受注情報の流出について 」参照)。
「ソフトバンク」と聞くと,NTTグループ,KDDIと並ぶ電気通信事業者というイメージが強いが,その連結子会社であるヤフーのコアビジネスは,インターネット広告事業やeコマース事業であり,経済産業省所管の「事業全般」の範ちゅうに属する。2つの事件でのヤフーの対応を見る限り,外部への公表に関して,ソフトバンクグループが,「電気通信」と「事業全般」のガイドラインのどちらに軸足を置いているのか,はっきりしない。個人情報管理を徹底させるのであれば,より厳しい「電気通信」のガイドラインにグループ全体のポリシーを合わせることになる。しかし,グループ会社の事業内容によっては,「電気通信」向けの厳しいガイドラインに合わせることで,身動きできなくなる可能性もある。いずれにせよ,複雑化する個人情報保護法への対応がグループ経営全体を左右する点だけは間違いない。
また,2つの事件とも,実際に個人情報漏えいが起きたのは,ヤフーのビジネス・パートナーである中堅・中小企業(SMB)だ。大企業やそのグループ会社だけがいくら頑張っても,コンプライアンスを維持できない点を忘れてはならない。
次回は,一社員の不祥事から金融業界,IT業界全体のコンプライアンスを揺るがす事態に発展したNTTデータ元社員偽造カード事件について,考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
