前回は,従業者の個人情報保護の観点から,改正が予定されている経済産業分野における個人情報保護ガイドラインについて取り上げた。その中で,委託先の監督に触れたが,個人情報管理の現場では,経済産業省の所管分野と他省庁の所管分野のガイドラインが重複するケースが多い。今回は,電気通信分野で起きた個人情報流出事件を事例に考えてみたい。
販売会社のUSBメモリー盗難で総務省の指導を受けたNTTドコモ
2006年10月4日,携帯電話販売会社のテレコム三洋は,同年9月25日に同社新潟支店の社員が事務所移転準備の作業中に,駐車場で車上荒らしの被害に遭い,取引先の販売代理店の顧客情報3万8483件を含む経理処理用資料を保存していたUSBメモリーが盗まれたことを公表した(「お客様情報の紛失に関するお詫びとご説明」参照)。盗難が発生したのは,事務所備品購入のために車を離れていた時で,メモリーは移転時のデータ破損などのトラブルに備えて保存していたものだ。典型的な「悪意なき情報流出」である。
だが,含まれていたのが電気通信事業者であるNTTドコモの顧客情報だったために,一販売会社の問題で済まされない事態となった(「新潟市内の販売代理店におけるお客様情報の盗難に関するお詫びとお知らせ」参照)。NTTドコモは所管官庁である総務省に個人情報漏えいに係る事実関係を報告し,総務省は,事案の概要・経緯,漏えい発生時以降の個人情報管理体制,再発防止策および利用者対応状況などを取りまとめて報告するよう求めたのである。
その後,2007年1月23日のNTTドコモの報告を受けて,総務省は1月25日,個人情報保護法および電気通信事業における個人情報保護ガイドラインに違反したとして,個人情報の適正な徹底を文書により指導したことを発表した(「個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置」参照)。ガイドラインでは,委託先の監督について,「電気通信事業者は,個人情報の取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人情報の安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行うものとする」と規定している。契約上,業務委託先において個人情報を複製する際には,NTTドコモの許可が必要だった。だが,実際には守られていなかったのである
コンプライアンスバリューチェーンのリスク管理が重要課題に
1社の個人情報漏えいが他社の個人情報漏えいに広がったケースは,第47回や第48回でも取り上げた。委託先企業の個人情報保護対策のアウトプットが委託元企業の対策のインプットとなり,連鎖的につながっていく,個人情報を介した「コンプライアンスバリューチェーン」が存在すると考えていいのではなかろうか。
NTTドコモとテレコム三洋の事例を見ても,顧客の個人情報の利用は,連携する各企業の収益拡大に重要な役割を果たす。その反面,いったんリスク管理を誤ると,隠れていたコストが連鎖的に拡大することがわかるだろう。
このバリューチェーンは個人情報保護法にとどまらない。例えば,テレコム三洋は三洋電機の100%出資子会社であり,三洋電機グループの内部統制システムの適用対象である(「コーポレートガバナンス」参照)。他方,NTTドコモにも内部統制システムが構築されている(「コーポレート・ガバナンス」参照)。両社の内部統制に関する記述を読むと,いずれにも「個人情報保護」に関する条項が組み込まれていることがわかる。個人情報漏えい事件が発生すると,会社法上の内部統制に不備があると判断され,経営トップの説明責任が問われる仕組みになっているのだ。
USBメモリーや外部委託先による情報漏えいのリスクの予防措置は,個人情報保護法のみならず,会社法や業法(例.電気通信事業法)の順守にも影響を及ぼす,重要なコンプライアンス対策となっている。盗難・紛失に起因する「悪意なき情報流出」も例外ではない。
次回も,最近の個人情報漏えい事件について取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
