前回は,化粧品業界を事例に,顧客情報流出事件発覚後の危機管理広報を取り上げた。販売チャネル形態に関わらず,データベース・マーケティングを重視する企業にとって,個人情報漏えいは事業継続(Business Continuity)上の危機である。特に個人情報保護法施行後,経営者が「知らなかった」「知っていたが手を打たなかった」では済まされない事例が続出している。

 しかしながら,リスクに対する認識や緊急時対策の準備体制には,企業によって,まだまだ差が見られるのが現状だ。今回は,「官」で起きた個人情報漏えい事件について,危機管理広報の視点から取り上げてみたい。

1台のPCが発端だった同時多発の情報流出

 2007年5月16日,山口県山口市は,合併した旧秋穂町の住民記録および税に関する情報が電算保守の外部委託先から流出したことを発表した(「個人情報漏えいについてのおわび」参照)。電算保守受託業者である山口電子計算センターの元社員が契約に違反して,情報を保存した社用パソコンを持ち帰り,ファイル交換ソフト「Winny」をインストールしている自宅パソコンにデータを複写。ウイルス感染によりデータが流出したという。

 住基情報の他,住民税,軽自動車税,固定資産税,税引き落とし口座,税収納などに関する情報が流出し,そのうち住民税,固定資産税,税引き落とし口座については個人情報が含まれていたという。

 しかしながら,山口電子計算センターの元社員のパソコンに保存されていたのは,山口市の住民の個人情報だけではなかった。

 同じ16日,愛媛県愛南町は,市町村合併に伴う統合電算システム構築の外部委託先から住民の個人情報が流出したことを発表した(「愛南町の住民の個人情報の流出に関するお詫びとお知らせ」参照)。この日の発表によると,流出した住民情報は約10万件で,住所,氏名,生年月日,性別,転入転居などの履歴,金融機関の口座番号などが含まれていたという。

 その後の調査で,愛南町では住基情報の他,選挙資格,国民年金,老人保健などの情報合計約14万件(実人数5万4850人)の流出が確認された。さらに,愛南町の外部委託先であるデンケンが,自治体の承認を得ずに山口電子計算センターへ再委託していたこと,同センターで作業にあたった元社員が自宅にデータを持ち帰り,自分のパソコンに保存していたデータが,ファイル交換ソフト「Winny」を介して流出したことも判明したのである。

 16日には,長崎県対馬市も,6町合併に伴う電算システム統合の外部委託先から,公営住宅に関連する住民の個人情報が流出したことを発表し,22日に市長のコメントや流出状況説明を発表している(「業務情報流出に対するお詫び」参照)。対馬市の場合も,外部委託先であるBCCが山口電子計算センターへ再委託しており,流出元が同じパソコンであることが判明した。流出した情報には,公営住宅保証人1132人分,入居人152人分の個人情報の他,氏名,住所,生年月日が推測可能な住民記録情報128人分が含まれていた。

 加えて5月22日,秋田県北秋田市が,合併当時の旧鷹巣町と旧森吉町の住民記録の一部がファイル交換ソフト「Winny」を介して流出したことを発表した(「個人情報の漏えいについてのお詫びとお知らせ」参照)。北秋田市の場合,旧鷹巣町と旧森吉町の電算システム統合業務を受託したNEC秋田支店が,山口電子計算センターへ再委託していた。北秋田市も同センター元社員の自宅パソコンに,北秋田市の住民の個人情報が保存されていたため,ファイル交換ソフトを介して情報が流出したのである。

カネをかけなくても,過去の事例に学べば対策は見えてくる

 以前,第47回で取り上げた京都市立病院のケースのように,個人情報流出の発覚をきっかけに,自治体の承認を得ないまま外部委託先が業務の再委託を行っていたことが判明して問題化したことがある。地方自治体の個人情報保護条例は,個人情報保護法に比べて処罰対象の範囲や罰則規定の内容が厳しくなっている。それだけに,住民に対する危機管理広報体制も整備されているかと思ったら,そうでもなさそうだ。

 情報流出が発覚した各自治体がホームページで発表したプレスリリースを読み比べてみてほしい。例えば,山口市のホームページでは「社用パソコンを持ち帰り,ファイル交換ソフト(Winny,ウィニー)をインストールしている自宅パソコンにデータを複写」と経緯を説明している。だが,愛南町のホームページでは「自宅にデータを持ち帰り,自分のパソコンに入れていたデータが流出した」と説明している。これが北秋田市では,「重要データをファイル交換ソフトWinny(ウイニー)の入った自宅のパソコンに保存した」,対馬市では「USBメモリーへのコピーが可能な環境であったため,個人情報の持ち出しを禁止されていたにもかかわらず複写し持ち出していた」となっている。

 肝心の山口電子計算センターはというと「弊社としては,今回の件を真摯に受け止め,今後このような事態が発生しないよう情報管理の更なる徹底と再発防止に万全を期して参る所存です」とあるだけ。具体的な経緯説明や再発防止策に関する記述はない。

 個人情報漏えい事案発生後に事業者が対外公表を行う理由は,二次被害の防止と類似事案の発生回避にある。だが,これらの発表からは,地域住民の安全・安心を確保するためにどのような措置を講じるのか見えてこない。カネをかけなくても,過去の事例に学べば答えは見えてくるはずだ。次回も,この事件について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/