前回は,三菱東京UFJ銀行の個人情報紛失事件を「ヒヤリハット」事例分析の観点から考察した。今回は,同事件を内部統制システムの観点から検討してみたい。

三菱東京UFJの個人情報紛失は内部統制システムの問題

 会社法では,大会社(資本金5億円以上または負債総額200億円以上)および委員会設置会社に,内部統制システム構築についての基本方針の決定を義務付けている。基本方針の中で個人情報保護を掲げると,個人情報管理は当然,会社法の内部統制対策の一環となる。

 例えば,三菱UFJフィナンシャル・グループの「2007年3月期有価証券報告書」を見ると,「会社の業務の適正を確保するための体制(内部統制システム)」の中に,以下のような記載がある。

2.顧客保護等管理体制
お客さまへの説明やサポート,情報管理や外部委託管理といった,お客さまの保護および利便性向上に向けた対応(以下,「顧客保護等管理」という)を推進するための体制(施行規則には明記がなく,当社の任意で大項目とするもの)

(1) グループ経営理念および倫理綱領を踏まえて「お客さま本位の徹底」を実現するため,お客さまの保護および利便性向上に向けた「顧客保護等管理」の基本方針(社則)を制定し,お客さまへの説明やサポート体制,情報管理体制等を整備する。

 そして,会社法の内部統制システム整備の対象はグループ会社にも拡張される。三菱UFJフィナンシャル・グループの傘下にある三菱東京UFJ銀行の「2007年3月期有価証券報告書」で「会社の業務の適正を確保するための体制(内部統制システム)」を見ると,以下のように記載されている。

2.顧客保護等管理体制
顧客の保護および利便性向上を推進するための体制

(1) お客さまの保護および利便性向上を推進し,「お客さま本位の徹底」を実現するため,顧客保護等管理を行う。
(2) グループ経営理念および倫理綱領を踏まえて,お客さまの保護および利便性向上に向けた基本方針として,顧客保護等管理方針を策定する。
(3) 顧客保護等管理を基本的に次の項目としたうえで,各種行則の制定および周知を通じて,顧客保護等管理を行う。
 1.顧客説明管理
 2.顧客サポート管理
 3.顧客情報管理
 4.外部委託管理
(4) 顧客保護等管理を担当する役員,管理責任者および統括部署,担当部署等を設置する。

 うっかりミスに起因する個人情報紛失であっても,類似の事故が続発すれば,三菱UFJフィナンシャル・グループの株主は,内部統制システムが効率的に機能していないのではないかと思うだろう。同じような個人情報紛失は,傘下の三菱UFJ証券でも起きているから,なおさらだ。


繰り返される情報流出の防止がコンプライアンスの課題に

 個人情報保護を会社法の内部統制システムに組み込んでいるのは,三菱UFJフィナンシャル・グループだけではない。例えば第56回で触れたように,NTTグループは,「内部統制システムの基本方針」に「個人・顧客情報の保護」を明記し,以下のように表明している。

5. NTTグループにおける業務の適正を確保するための体制
当社は,NTTグループ会社間の取引については法令に従い適切に行うことはもとより,NTTグループが適正な事業運営を行ない,グループとしての成長・発展に資するため,グループ会社において以下の取り組みを行う。
  • 危機発生時の親会社への連絡体制を整備する。
  • 不祥事等の防止のための社員教育や研修等を実施する。
  • 情報セキュリティ及び個人情報に関する体制を整備する。
  • 親会社へ定期的に財務状況等の報告を行なう。
  • 親会社の内部監査部門等による監査を実施する。

 この内部統制システムの適用を受けるグループ会社のNTT東日本はこの9月20日に,ファイル交換ソフト「Winny」を介した顧客情報流失(「お客様情報等の流出に関するお詫びとお知らせ」参照),25日にファイル交換ソフト「Share」を介した顧客情報流失(「恩賜財団済生会横浜市東部病院様のお客様情報等の流出に関するお詫びとお知らせ」参照)を発表した。

 いずれの事件も私物パソコンから業務関連ファイルが流出している。第32回第71回で触れたように,NTTグループでは過去にも類似事故が起きている。また,この9月12日にはNTTコミュニケーションズがファイル交換ソフト「Winny」を介した顧客情報流失を発表したばかりだ(「お客さま情報の流出に関するお詫びとお知らせ」参照)。

 三菱UFJフィナンシャル・グループもNTTグループも,ニューヨーク証券取引所に上場する米国企業改革法(SOX法)の適用対象企業であり,全社的なコンプライアンスへの取り組みは先行しているはずだ。だが,個人情報漏えい防止策の実効性については,問題が山積している。世界の投資家の視線が向けられていることを,グループ企業の現場も認識すべきだろう。

 次回は,企業買収/M&Aの観点から,個人情報管理を考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/