〔83〕情報誤廃棄でKDDIに発動された総務省勧告

ITpro

2007.03.23

　前回は電力業界の個人情報紛失事件を取り上げた。原子力安全・保安院のホームページを見ると，発電設備に係るデータ改ざんなど，業界全体の情報管理のあり方が問われるような事件に関するプレス発表が続いている。

　電力業界は情報漏えい対策ツールなどのIT導入では比較的進んでいるが，紙や電子データの文書管理体制については，対象文書や保存期間などの基本ポリシーを根底から見直さざるを得ない状況に直面している。個人情報，原子力情報など，様々な機密情報を全社レベルで効率的に管理するための仕組みの再構築が求められている。

　さて今回は，みちのく銀行，みずほ銀行に続いて，個人情報保護法に基づく勧告を受けた3社目の企業となったKDDIの個人情報紛失事件を取り上げてみたい。

外部委託先のミスでも免れない監督者責任

　2007年2月8日，KDDIと沖縄セルラー電話は，au携帯電話サービスの解約顧客22万4183人分の個人情報を記録した光磁気ディスク1枚を，同社の小山テクニカルセンター内で紛失したことを発表した（「お客様情報の紛失に関するお詫びとお知らせ」参照）。紛失した光磁気ディスクには，2007年1月15日時点におけるau携帯電話サービスの解約顧客の名前，住所，生年月日，解約時点の携帯電話番号，連絡先電話番号などが含まれていた。

　光磁気ディスクの紛失は，2007年1月25日の定期棚卸し時に，光磁気ディスク1枚が所定の保管キャビネット内に保管されていないことで判明した。問題のディスクは，作業中に段ボール箱に紛れ込み，廃棄業者によって処分された可能性が高いという。

　今回の紛失事件について，KDDIは発生原因として以下の3点を挙げている。

(1) 光磁気ディスクがまぎれ込む可能性のある段ボール箱を作業中に使用していたこと
(2) 作業マニュアルに光磁気ディスクの保管・管理に関する規定が明記されていなかったこと
(3) KDDIの委託先に対する指導・監督が不十分であったこと。

　KDDIは，主な再発防止策として以下の4点を挙げている。

(1) 段ボール箱に代えて，透明なコンテナを利用することとし，また作業状況を記録するため，監視カメラを増設する
(2) 作業マニュアルに光磁気ディスクの保管・管理に関する規定を追加する
(3) 社内で保有する外部記録媒体についても暗号化措置を行い，全社的・一元的に管理する
(4) 本件事案を踏まえ，全社員に対して注意喚起を行うとともに，関係業務委託先についても再発防止を指示する

　しかし，第48回および第57回で触れたように，2006年9月にＫＤＤＩは，インターネット接続サービスの顧客情報約400万件をめぐる恐喝未遂事件を受けて，総務省から文書による注意を受けていた（「個人情報の漏えい事案に関するKDDI株式会社に対する措置」参照）。

　今回の光磁気ディスク紛失について，KDDIからの報告を受けた総務省の対応は厳しく，3月9日KDDIに対して個人情報保護法第34条第1項に基づく勧告が発動された（「個人情報の漏えい事案に関するＫＤＤＩ株式会社に対する勧告」参照）。総務省が所管する電気通信分野では初めての勧告適用だ。

　その内容は下記の通りである。

個人情報の保護に関する法律第34条第１項に基づく勧告
1．以下の点について，個人の権利利益を保護するために必要な措置をとること
　(1) 個人データの安全管理のための措置の徹底
　(2) 個人データの安全管理を図るための委託先に対する監督の徹底
2．上記１に基づいてとった措置を平成19年4月9日までに報告すること

委託先の監督徹底に言及した総務省の勧告の重み

　金融庁がみちのく銀行（「株式会社みちのく銀行に対する行政処分等について」参照）やみずほ銀行（「株式会社みずほ銀行に対する行政処分について」参照）に発動した勧告では，従業者に対する監督の徹底について言及していた。これに対して，総務省がKDDIに発動した勧告の特徴は，委託先に対する監督の徹底に言及した点にある。たとえ外部委託先の誤廃棄による個人情報紛失であっても，個人情報取扱事業者としての監督責任は回避できないことを，総務省は警告したのだ。

　KDDIは，折りしも今回の勧告直後の3月12日，ジャックスのクレジットカード会員情報流出事件（第80回参照）で発覚した大日本印刷からの個人情報漏えい事件に関連して，ダイレクトメールの対象顧客11万3696人分の個人情報流出を発表している（「大日本印刷株式会社による弊社お客様情報の流出に関するお知らせ」参照）。総務省の勧告の対象事案ではないが，委託先に対する監督が問題となっている点は同じである。

　次回は，通信業界の視点から大日本印刷からの大規模な個人情報漏えい事件について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/