第38回 ,第39回 では,コンプライアンスや従業員の個人情報管理の視点から,公益通報者保護法と個人情報保護法の関係について触れた。どちらも業界・業種横断的な法律であり,大企業から中堅・中小企業(SMB)まで幅広く関わってくる内容だ。SMBにはピンとこない話題かもしれないが,内部告発を端緒に刑事事件まで発展する企業不祥事が後を絶たないという現実を考えると,対岸の火事で済まされないテーマだ。
みずほ銀行では経営トップ処分にまで発展
さて,個人情報保護法施行1年経過後も,個人情報漏えい事件は続発している。今回は,4月に入って発せられた,個人情報保護法に基づく勧告を事例に考えてみたい。
「個人情報漏えい事件を斬る(34):銀行の不祥事で注目されるコンプライアンスと個人情報保護法 」で,みずほ銀行の個人情報漏えい事件を取り上げた。2006年2月8日,名前,住所,電話番号,生年月日,口座番号を含む顧客の個人情報623件分などを第三者に漏出した業務上横領の疑いで行員が逮捕された事件(「お客さま情報の外部流出に伴う行員の逮捕について 」参照)だ。金融庁は2006年4月25日,銀行法第26条第1項に基づく業務改善命令の発出及び個人情報の保護に関する法律第34条第1項に基づく勧告を行った(「株式会社みずほ銀行に対する行政処分について 」参照)。業務改善命令及び勧告の内容は,下記の通りだ。
銀行法第26条第1項に基づく業務改善命令(1)法令等遵守態勢を確立し健全かつ適切な業務運営を確保するため,支店において特定の権限を有する者が行った行為という特性も踏まえ,以下の観点から顧客情報に関する内部管理態勢を充実・強化すること1.法令等遵守に取り組む経営姿勢の明確化(責任の明確化を含む) 2.顧客情報の漏えいを防止するための実効性のある顧客情報管理態勢の確立 (2)上記(1)に関する業務改善計画(改善計画を着実に実施するための経営管理態勢の整備・確立及び実効性確保に係る責任の分担の明確化を含む)を平成18年5月25日までに提出し,直ちに実行すること (3)上記(2)の実行後,当該業務改善計画の実施完了までの間,平成18年6月末を初回として,四半期毎の進捗・実施状況等を翌月15日までに報告すること |
個人情報の保護に関する法律第34条第1項に基づく勧告(1)以下の点について,支店において特定の権限を有する者が行った行為という特性も踏まえ,個人の権利利益を保護するため必要な措置をとること1.個人データの安全管理のための実効性のある措置の確保 2.個人データの安全管理を図るための従業者に対する監督の徹底 (2)上記(1)に基づいてとった措置を平成18年5月25日までに報告すること |
法施行前から,コンプライアンス経営の一環として個人情報保護を重要事項と認識してきた金融業界だけに,「経営姿勢の明確化(責任の明確化を含む)」を明確に指摘している。個人情報保護法に基づく勧告の中身は,2005年5月20日に金融庁がみちのく銀行に対して行った勧告(「株式会社みちのく銀行に対する行政処分等について 」参照)とほぼ同じだ。
今回の対応が他の業種・所管省庁に及ぼす影響は?
注目すべきは,これを受けたみずほ銀行の対応だ。勧告を受けた翌4月26日付の新聞報道によると,みずほ銀行は,頭取の報酬を4月から2ヵ月間30%減額するほか,担当役員6人の減棒処分とすることを発表している。一支店の行員が起こした個人情報漏えい事件に対し,企業としての説明責任を明確化するために,経営トップ自ら処分の対象となったのだ。
個人情報保護法施行後1年経過したが,処罰対象になるような事件は起きていない。現時点で,個人情報保護法に基づく勧告を発したのは金融庁だけだ。とはいえ,業種によって経営責任の重さが異なるような個人情報保護対策では,一般消費者が納得しないだろう。
今後は,金融庁以外の所管省庁の動きに要注意だ。度重なる企業不祥事で,コンプライアンスが日本の産業界全体の問題となっている時だけに,金融庁やみずほ銀行並みの対応が当たり前という認識が一般化しても不思議ではない。世間の認識が変われば,金融業界や大企業だけの問題ではなくなる。当然,SMBの企業経営や個人情報管理のあり方にも影響を及ぼすだろう。
次回は,みずほ銀行にとって受難の日となった2006年4月25日,ちょうど丸1年を迎えたJR宝塚線脱線事故後の「過剰反応」問題について考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
