前回の「個人情報漏えい事件を斬る(45):未成年者犯罪を後追いするオンラインゲーム運営ガイドライン 」では,社外に起因する事件として,未成年者によるフィッシング犯罪を取り上げた。今回は,同じオンラインゲーム業界で起きた,企業の管理体制に起因する事件を考えてみたい。
委託先データセンターで発覚した個人情報の紛失
2006年5月29日,アエリアは同社のデータセンター内で,オンラインゲーム運営子会社ゲームポットの委託を受けて管理していたサーバーから,情報を記憶したバックアップ用ハードディスク(HDD)30台を紛失し,そのうち5台に登録ユーザーの個人情報が残っている可能性があることを発表した(「ハードディスク紛失に伴う一部個人情報紛失について 」参照)。紛失したHDDに残っている可能性がある個人情報6万4207人分の内訳は,『君主 』のユーザーID,パスワード,性別,年齢3万7692人分とメールアドレス1万4342人分,『スカッとゴルフ パンヤ 』のユーザーID,ニックネーム,名前,住所,電話,メールアドレス1878人分,『プチコミ 』のメールアドレス1万295人分である。
ゲームポットは,5月29日午前10時45分サービスを緊急停止し(「ハードディスク紛失に伴う一部個人情報紛失について 」参照),午前11時に該当ユーザーのパスワードを変更する措置をとった(「パスワードの変更について 」参照)。サービスは,同日午後9時30分に復旧したが,オンラインゲーム会員には,他のサービスプロバイダ経由で登録したユーザーも含まれていた。追跡調査の結果,紛失したHDDに他社の登録会員(NHN Japanの「Hangame」,MOVIDA ENTERTAINMENTの「BB Games」,ゴルフダイジェスト・オンライン(GDO))の個人情報が含まれていなかったことが判明,6月1日その旨告知している。
ゲームポットは外部任せから自社管理へ移行
6月9日,ゲームポットは,今後の対策を発表した(「一部個人情報の紛失に関するお詫び,再発防止策実施および社内処分について 」参照)。まず,個人情報流出の可能性がある会員6万4207人に対して,同社のゲームで利用できるポイント500円分を送付するという。その費用は,サーバー管理を受託していたアエリアが負担する予定だ(「ハードディスク紛失の調査状況,再発防止策の実施状況及び社内処分について 」参照)。
とはいえ,「個人情報漏えい事件を斬る(44):金券500円で済まなかったYahoo! BBの民事責任 」の事例が示すように,ポイント500円で顧客が納得する保証はどこにもない。オンラインゲーム事業の場合,会員獲得数が増えれば増えるほど売上高も拡大するが,同時に個人情報管理上のリスクも大きくなる。ブロードバンド黎明期にYahoo!BBが直面した状況と照らし合わせて考えてほしい。
さらに,ゲームポットは,アエリアとのサーバー管理委託契約を解除し,自社の従業員が直接管理する体制へ移行したことを発表した。親会社とはいえ,HDD30台の物品管理ができないような運用体制では,契約を解除されても仕方ないだろう。
ただし,自社管理だからといって安心はできない。バックアップ用記憶媒体の紛失と聞いて思い出すのは,個人情報保護法に基づく初の是正勧告となったみちのく銀行の事例だ(「個人情報漏えい事件を斬る(1):バックアップの置き場所を忘れたみちのく銀行 」参照)。この事例に照らし合わせたら,ゲームポットの課題は,ハードウエアの物理的対策よりも,実効性のある人的・組織的対策の徹底にあるはずだ。堅牢な設備や立派な運用ガイドラインを作っても,従業員の順守意識が伴わなければ意味がない。
発展途上期で,個人情報管理上のトラブルの目立つオンラインゲーム業界だが,問題解決のヒントは,他の業界の事例に隠れているものだ。
次回は,相変わらず起きているパソコンの紛失・盗難に起因する事件を取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
