前回は,三菱UFJフィナンシャル・グループ,NTTグループの事例を取り上げて,会社法の内部統制システムやグループ・コンプライアンスに,個人情報漏えい事件が及ぼす影響を考えた。今回は,企業買収/M&Aおよびその後の企業統合(いわゆるPMI:Post Merger Integration)の観点から,個人情報管理の位置付けを検討してみたい。

個人情報紛失が毀損する「三菱UFJ」のブランド価値

 前々回,9月25日の本コラムで三菱東京UFJ銀行と三菱UFJ証券で発覚した個人情報紛失事件に触れた。その直後の9月28日,三菱UFJ信託銀行が,五反田支店において顧客情報1052人分を記載した書類を紛失したことを発表した(「お客さま情報の紛失について」参照)。紛失した書類は回収済証書,伝票,社内管理帳票で,顧客名,取引番号,口座番号,印影等が含まれていた。内部調査の結果,保管期限を経過した書類に混入するなどして誤廃棄した可能性が高く,外部へ情報が流出した懸念は極めて低いとしている。

 三菱UFJ信託銀行は,2005年10月3日に三菱信託銀行とUFJ信託銀行が合併して誕生した銀行である。三菱UFJフィナンシャル・グループでは,2007年4月1日付でグループCCO(チーフ・コンプライアンス・オフィサー)会議を新設した(「『グループCCO(チーフ・コンプライアンス・オフィサー)会議』の設置について」参照)。同会議には,持株会社のCCOに加えて,三菱東京UFJ銀行,三菱UFJ信託銀行,三菱UFJ証券の各CCOも参加している。

 グループ全体の統括機能強化と同時に,業態を超えた現場レベルのコンプライアンス機能強化が課題となっているが,その柱の一つが個人情報管理であることは言うまでもない。銀行,信託,証券いずれも,異なる企業風土や文化を持つ企業である。三菱UFJグループはそれらが集まってできた組織であるが,個人情報を預ける顧客は「三菱UFJ」という一つのブランドで認識している。個人情報紛失による実被害がなくても,ブランド価値には何らかの影響を及ぼしているはずだ。

コンシューマーファイナンス戦略の鍵は「安全・安心」

 このほか第98回では,ジャックスと三菱UFJニコス,三菱東京UFJ銀行との業務・資本提携協議についても取り上げた。三菱UFJフィナンシャル・グループが2007年9月28日に開催したコンシューマーファイナンス事業戦略説明会の資料を見ると,三菱UFJ二コス/ジャックス間の事業再編がグループ全体の成長戦略に及ぼす影響の大きさが伝わってくる(「MUFGのコンシューマーファイナンス戦略」参照)。

 だが,事業再編にともなう個人情報保護対策の統合は簡単な仕事ではなさそうだ。ジャックスは2007年9月18日,業務委託先の配送会社でクレジットカード会員393人分の個人情報が入った磁気テープを提携先に送付する際に紛失したことを発表している(「業務委託先による個人情報紛失に関するお詫びとお知らせ」参照)。磁気テープには,氏名,性別,生年月日,住所,郵便番号,自宅電話番号,カード番号,カード有効期限等の個人情報が含まれていた。データは暗号化されており,鍵付きアルミケースおよび布製バックの二重施錠で梱包していたという。

 奇しくも三菱UFJフィナンシャル・グループは,中期経営計画のポイントとして,「成長戦略による時価総額グローバルトップ5の実現」「エンタープライズワイドかつグローバルな内部管理態勢の強化」「Day2の完遂と統合効果の着実な実現」「ブランド力の維持・強化」を挙げている。

 コンシューマーファイナンス事業で,一般消費者の「間口」を広げるためには,ITを生かした個人情報の「安全・安心」が欠かせない。IT関係者から見るとシステム統合プロジェクトの「Day2」に目が行きがちだろう。だが,個人情報管理におけるIT利活用の観点から見ると,中期経営計画実現に向けてITが貢献できる場はほかにもありそうだ。

 次回は,クレジットカードのセキュリティ対策の観点から,個人情報保護について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/