前回は,総務省から個人情報保護法に基づく勧告を受けたKDDIの個人情報紛失事件を取り上げた。今回も引き続き,通信業界の視点から個人情報保護対策を考えてみたい。

業界ごとの行政指導だけでは抑止できなくなった個人情報漏えい

 個人情報漏えい事案に関連して総務省から行政指導を受けた電気通信事業者は,何もKDDIだけではない。例えば,第3回で触れたノートPC盗難やUSBメモリー紛失による個人情報漏えい事案に関連して,2005年7月27日,NTTデータは総務省の文書指導を受けている(「個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・データに対する措置」参照)。また第76回で触れたように,NTTドコモは今年の1月25日,外部委託先の販売会社で起きた個人情報3万8483人分を含むUSBメモリーの盗難事案に関連して,総務省の文書指導を受けている(「個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置」参照)。さらに3月8日にはNTTレゾナントが,同社社員の私物パソコンが自宅で盗難に遭い,キャンペーンに応募した顧客4万4723人分の個人情報が漏えいした事案に関連して総務省の文書指導を受けている(「個人情報の漏えい事案に関するエヌ・ティ・ティ・レゾナント株式会社に対する措置」参照)。

 総務省の報道資料を見ていくと,「盗難」「紛失」「委託先」といったキーワードが繰り返し登場することが分かる。いずれのキーワードにも共通するのは,電気通信事業者としての管理監督が直接及ばない場所である点だ。総務省の行政指導を受けた電気通信事業者がいくら再発防止対策を講じても,業界の外にある個人情報漏えいリスクまで100%抑止することは不可能である。盗難・紛失事件を実際に取り扱う全国の警察や委託先の業界を所管する官庁との連携が,通信業界全体の課題となっている。

プライバシーマーク制度の形骸化はダイレクト・マーケティングの危機

 さて前回取り上げたように,ジャックスのクレジットカード会員情報流出事件で発覚した大日本印刷からの個人情報漏えい事件の余波は通信業界にも広がった。KDDIの他,インターネット・サービス・プロバイダのNECビッグローブ(「弊社業務委託先における個人情報不正持ち出しに関するお詫び」参照)やソネットエンタテインメント(「業務委託先からの個人情報持ち出しに関するお知らせとお詫び」参照),ニフティ(「お客様の個人情報流出について」参照)も個人情報流出を発表している。

 このような状況を受けて3月23日,プライバシーマーク制度を運営している日本情報処理開発協会(JIPDEC)は,個人情報を流出させた大日本印刷に対し,「認定取消」に次いで重い処分である,文書による「改善要請」を決定し通知したことを発表した(「個人情報の事故で大日本印刷株式会社に『要請』処分」参照)。

 だが,個人情報863万7405件,委託元企業数43社という大規模な流出にも関わらずプライバシーマークの「認定取消」に至らなかったことに対しては様々な意見が寄せられた。このため,JIPDECは3月27日に追加声明を発表している(「大日本印刷株式会社からの個人情報漏洩事故について」,「個人情報の委託等に関する注意喚起」参照)。

 第42回第43回で触れたように,プライバシーマークは「絶対保証」の制度ではなく,人的対策の整備や委託先の監督を含めた継続的改善が伴わなければ意味がない。取りっぱなしの企業が増えれば増えるほど,制度自体が形骸化していくことになる。

 認定企業における個人情報管理の「PDCAサイクル」をチェックすべきプライバシーマーク付与団体から見たら,大日本印刷の委託先社員の不正行為に端を発した一連の個人情報漏えい事件は,典型的な「想定内」の出来事であるはずだ。業界横断的な活動を含めて,付与団体であるJIPDEC自らがC(検証)からA(改善)へ向けての具体的な施策を示さなければ,マークを信用して個人情報利用のパーミッションを与えた一般消費者が納得しないだろう。消費者のパーミッションが得られなければ,日本のダイレクト・マーケティング活動全体が機能しなくなる。

 次回は,放送分野の個人情報保護対策について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/