〔37〕NTTデータ偽造カード事件で懸念される規制強化

ITpro

2006.04.06

　前回は，ヤフーの業務委託先会社と出店店舗で起きた2つの個人情報流出事件について触れた。

　このうち3月20日に発覚した件については，読者の方から，Yahooショッピングのお知らせページ に，3月20日付けで告知されているとのご指摘をいただいた。4月3日時点で，Yahooショッピング・トップページ を確認すると，3月24日に発覚した件を告知するページ「出店ストアからの情報流出について 」へのリンクは存在するが，前者の件を告知したページへのリンクは見当たらなかった。会社概要のプレスルームページで告知されているのも，後者の件だけだ（「Yahoo!ショッピング加盟店の受注情報の流出について 」）。

　企業ホームページで個人情報流出について公表する場合，事案によって告知場所や告知期間が異なると，会社の取り組み姿勢が外部に伝わらない可能性がある。特に株式公開企業では，顧客や取引先，所管官庁に加えて投資家の目も光っているから，全社レベルの情報開示ルールが必要ではないだろうか。

NTTデータ元社員が取引情報からローンカードを偽造

　さて今回は，複数業種にまたがる個人情報漏えい事件としてコンプライアンス（法令順守）の観点から，NTTデータ元社員による偽造カード事件を取り上げてみたい。NTTデータ元社員が，不正に持ち出した取引記録の個人情報からローンカードを偽造し，現金を引き出したというものだ。事件の推移については，下記の各ページに掲載されている。

・NTTデータ「ローンカードの取引記録の不正取得について 」
・仙台銀行「株式会社NTTデータ（当行システム委託先）の協力会社社員による取引記録不正取得と偽造カードによる不正引出しに関するご説明とお詫びについて 」
・オリックス・クレジット「お客様情報の流出と偽造カードによる不正引出しに関するお詫びとお知らせ 」

　問題を起こした人物は2006年3月29日，窃盗容疑などで警察に逮捕されている。この人物はNTTデータの協力会社が派遣した要員であり，NTTデータが仙台銀行から運用を受託したコンピュータ・システムの運用責任者を務めていた。NTTデータの元社員ではあるが，雇用主の協力会社は中堅・中小企業（SMB）である。

相次いで破綻した自助努力による再発防止策

　今回の事件が，この人物の雇用主であるSMB1社の責任で片付けられないのは，発注した企業側や業界全体のコンプライアンス体制，さらに行政の責任にまで問題が及ぶ点である。

　NTTデータでは2003年11月，同社が運営する不動産情報サイトのシステム運用委託先会社の社員が，個人情報4312件分を含むノートパソコンを紛失し（「不動産情報サイトHOME4Uにおけるお客様情報の紛失について 」参照），同年12月22日に電気通信事業者を所管する総務省から，再発防止策の要請を受けた（「通信の秘密を含む個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・データに対する措置 」参照）。

　さらに，「個人情報漏えい事件を斬る(3)：小さなUSBメモリの大きなリスクに翻弄されたNTTデータ 」で触れたように2005年5月，社員1万1835人分の個人情報ファイルを記録したUSBメモリーを入れたかばんを，NTTデータ社員が紛失するという事件が発覚した（「当社社員情報の紛失について 」参照）。この件についても同年7月27日，総務省から文書による厳重注意を受けている（「個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・データに対する措置 」参照）。

　一方，仙台銀行では，2003年12月から2004年11月にかけて，合計7件，累計金額約1億8100万円の着服事件が発生し，2004年12月17日に，東北財務局から業務改善命令を受けていた（「株式会社仙台銀行に対する行政処分について 」参照）。その後，2005年1月17日には，東北財務局に業務改善計画を提出し，経営陣が先頭に立ったコンプライアンス体制の充実・強化策を打ち出した（「業務改善命令に対する業務改善計画の提出について 」参照）。コンプライアンス体制の充実・強化において順守すべき法令には当然，個人情報保護法も含まれる。だが，同行では2005年7月1日，顧客情報を含む紙の書類の紛失が発覚している（「お客さま情報の紛失についてのお詫び 」参照）。

　このような背景下で，内部犯行による偽造カード事件が起きたのだから，NTTデータを監視してきた通信行政や仙台銀行を監視してきた金融行政の面目は丸つぶれである。業界の自助努力だけで再発防止が図れなければ，所管官庁の個人情報保護法対策は厳しくなり，大企業から業務を受託するSMBの事業活動にも影響が及ぶことになる。

　通信も金融も，規制緩和によって新たなビジネスチャンスが生まれた業種だが，個人情報保護法に関しては，逆に規制強化せざるを得ない状況が続いている。個人情報管理がSMBの新規参入障壁となるような事態は避けてほしいものだ。

　次回は，個人情報管理の観点から，2006年4月より始まった公益通報者保護制度について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/