前回は,「放送と通信の融合」と「Web 2.0」の視点から,放送分野の個人情報漏えい事件や総務省の改正個人情報保護ガイドラインを取り上げた。今回は,年度末の時期に経済産業省初の勧告が発動されたクレジットカード会社2社の個人情報漏えい事件について考えてみたい。

年度末に経産省初の勧告を受けたクレジット会社

 2007年3月30日,経済産業省は,ソニーファイナンスインターナショナルとUFJニコス(2007年4月1日より三菱UFJニコスに社名変更)に対し,個人信用情報の取り扱いついて個人情報保護法違反の行為が認められたとして,同法34条に基づく勧告を行ったことを発表した(「クレジット会社2社に対する個人情報保護法34条に基づく勧告について」参照)。

 同日,ソニーファイナンスインターナショナルは,同社のカスタマーセンター北海道の社員(有期雇用)ならびに派遣社員が,個人信用情報機関の情報の一部を業務目的外で検索し,外部に流出させていたことが判明したと発表した(「社員による個人信用情報機関情報の外部流出について」参照)。続いて,その1週間後の4月6日には2006年3月から2007年3月にかけて総計2139人分の個人信用情報の流出が判明したことを発表している(「弊社従業員による個人信用情報機関情報の外部流出について(経過報告)」参照)。

 ソニーファイナンスインターナショナルはソニーの100%出資子会社であり,プリペイド型電子マネー「Edy」事業の企画・運営を手がけるビットワレットの最大株主でもある。ちょうど2007年3月18日から「PASMO」が首都圏でサービスを開始し,非接触型ICカードや電子マネーに対する消費者の関心が高まっている時だけに,経済産業省から勧告を受けた代償は大きい。

 他方,旧UFJニコスも3月30日,元嘱託社員が同社の保有する個人信用情報および個人信用情報機関から,不正に照会して取得した個人信用情報の一部を,特定の第三者に不正に提供していた事実が判明したことを発表した(「個人信用情報流出の可能性について」参照)。不正照会が行われた期間は2004年3月から2007年3月までで,対象者の人数は673人分であるという。

 旧UFJニコスでは3月12日に,同社が2001年12月から2004年3月にダイレクト・メール作成のため大日本印刷に預託した個人情報119万336人分の流出を発表した矢先だった(「業務委託先からのお客様情報の流出についてのお知らせ」参照)。4月1日付で旧UFJ二コスと合併した旧ディーシーカードも,大日本印刷の個人情報漏えい事件に関連して個人情報33万7480人分の流出を発表しており(「業務委託先からのお客様情報の流出についてのお詫びとお知らせ」参照),「顧客価値の最大化」を掲げる新会社三菱UFJニコスにとっては,苦難のスタートとなった。

ID管理の不備はIT統制に関わる大問題となる

 経済産業省からの勧告を受けて,ソニーファイナンスインターナショナルが打ち出した再発防止策は,以下のようになっている。

  • 個人信用情報機関に対する照会記録の保有期間を3年間に延長する
  • 全ての従業員のアクセス権限を見直し,ID管理を強化する
  • 管理者がログを定期的にモニターするとともに,従業員に周知徹底する

 また,旧UFJ二コスが打ち出した再発防止策は以下のようになっている。

  • 全従業員を対象とした信用情報の取扱に関する緊急の再教育を実施し,管理者を対象とした照会業務のチェックル-ルとその実践教育を再徹底する
  • アクセス権限者および照会業務可能端末を必要最低限となるよう絞り込み,人と端末の両面からアクセス制御を強化する
  • 部署ごとに照会端末の利用記録をシステム出力し,端末利用者の利用内容と突合させて不正利用がないか事後的にチェックすることで,照会業務の不正防止を強化する

 両社に共通するのは,ID/アクセス管理における不備の是正を掲げている点である。このID/アクセス管理は,個人情報保護法に限った問題ではない。内部統制報告書の提出・監査に関して,2009年3月期決算からの適用が予定されている金融商品取引法(日本版SOX法)の重要課題でもあるのだ。金融庁企業会計審議会内部統制部会が公表した実施基準では,ITに係る全般統制の具体例として「内外からのアクセス管理などシステムの安全性確保」が挙げられている。

 勧告を受けた両社は,日本版SOX法に基づく内部統制の評価対象企業でもある。例えば,2009年3月30日に個人情報保護法違反で所管官庁から勧告を受け,ID/アクセス管理に関連するIT統制の不備が公になったら,日本版SOX法対策でどういう事態に陥るか想像してほしい。経営者は短期間に,顧客と株主,監査人の監視下で,2つの法令遵守の危機を乗り切らなければならなくなる。

 ID/アクセス管理は,個人情報保護法のみならず日本版SOX法の共通基盤でもあり,そこで不備が発覚したらITの全般統制及びIT業務処理統制に関わる大問題となりかねない。個人情報も,企業の業務プロセスに深く入り込んでいる点を改めて認識すべきである。

 次回は,メタボリックシンドロームなどで脚光を浴びる健康医療分野の個人情報保護対策について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/