前々回,前回と,金融・信用分野の個人情報流出を取り上げた。このうち,前々回取り上げたジャックスの事件では,その後,外部委託先である大日本印刷の再委託先の元社員が他の企業の個人情報も持ち出していたことが発覚した(大日本印刷「個人情報の流出に関するお詫びとお知らせ」参照)。
第75回で,システム構築・運用,アウトソーシング・サービスなどの業務受託企業の場合,従業者の管理以上に重要なのが,再委託先の管理であることを指摘した。大日本印刷の情報流出事件は,まさに典型である。また,第42回で指摘したように,大日本印刷のようなプライバシーマーク取得企業に外部委託しても,「絶対保証」にはならないことが改めて証明された。委託元企業にとっては寝耳に水の出来事かもしれないが,個人情報保護に対する責任を委託先企業に転嫁することはできない。そして,委託元企業で説明責任を有するのは経営者であることを忘れてはならない。
さて今回は,電力業界の個人情報紛失事件を取り上げてみたい。
情報ライフサイクル管理の不備が根底に
2007年3月7日,東京電力は顧客約47万人分の個人情報を含むマイクロフィルムを紛失したことを発表した(2007年3月7日付「お客さま情報が記載されたマイクロフィルムの紛失について」参照)。マイクロフィルムには,名前,住所,電話番号,口座番号,使用量,請求金額など,1999年から2004年までの間の契約情報が記載されていた。同社千葉支店管内で約11万人分の個人情報を含むマイクロフフィルムの紛失が発覚したことが発端となり(2007年2月27日付「お客さま情報が記載されたマイクロフィルムの紛失について」参照),社内調査を実施した結果,約47万人分の個人情報紛失が判明したのである。
マイクロフィルムは,専用の機器を用いなければ判読が困難な仕様となっており,悪用された形跡もないというが,大量の個人情報が紛失したことに変わりはない。また,複数の支店で紛失が発覚していることから,情報の廃棄プロセスにおける確認作業など,情報ライフサイクル管理自体の不備を指摘されても仕方ないところだ。
オール電化に向け「攻め」の個人情報管理基盤の確立を
電力業界というと,第15回,第31回で触れたように,ファイル交換ソフトを介した個人情報流出事件が続出していたが,最近は以前に比べると目立たなくなった。その一方で,紛失による個人情報流出は,各社の個人情報管理担当者の頭を悩ませ続けている。
例えば九州電力は,今年に入って,個人情報を含む電気料金領収証,社用携帯電話,調査関係帳票の紛失を相次ぎ発表している(2006年1月26日付「お客さま情報の紛失について」,2月6日付「社用携帯電話の紛失について」,3月9日付「お客さま情報の紛失について」参照)。
中国電力は3月2日,業務委託している集金員が個人情報を含む電気料金請求書14通を紛失したことを発表している(「電気料金請求書の紛失について」参照)。続く3月6日,北海道電力は同社の社員が,取引先社員等の名刺366人分の情報と,同社従業員6511人分およびグループ会社従業員164人分の個人情報を保存したUSBメモリーの紛失が判明したことを発表している(「個人情報の紛失について」参照)。
2005年12月,改正原子炉等規制法が施行され,核物質防護情報を流出させた者に対して1年以下の懲役又は100万円以下の罰金が科せられるようになり,それ以降,電力業界に対してより厳格な情報管理が要求されるようになった。さらに2006年秋以降,電力会社の発電設備における各種データ改ざんが発覚してから,所管する経済産業省および原子力・安全保安院は監督を強化しているところだ(「電力会社のデータ改ざん問題に対する当省の対応について」参照)。
このような状況下では個人情報管理も厳しくならざるを得ないが,業法を所管する官庁だけでなく,顧客や従業員,取引先も電力会社のステークホルダーである点を忘れてはならない。特に,顧客との接点を有する企業として「オール電化」の追い風を生かすためには,安全・安心な個人情報管理基盤の維持が必要不可欠である。企業の「防衛」ではなく「攻め」を目的とした対策にITを活用すべき時だ。
次回は,個人情報保護法に基づく勧告が出された通信業界について取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
