前回は,日本郵政グループのかんぽ生命で発覚した個人情報紛失事件を取り上げた。かんぽ生命が行う保険事業を所管するのは金融庁であり,「金融分野における個人情報保護に関するガイドライン」が適用される。だが,日本郵政グループは,保険以外にも様々な事業を展開している。
今回は,所管官庁との関わりの観点から,日本郵政グループの個人情報保護対策の特徴について考えてみたい。
制定されていなかった郵便事業分野のガイドライン
日本郵政グループの中で最も大量の個人情報を取扱うのは,日本全国の配達原簿ファイルを保有する郵便事業株式会社(通称は日本郵便)である。郵便法第2条では,「郵便の業務は,この法律の定めるところにより,郵便事業株式会社が行う」と規定されており,これを受けた郵便事業株式会社法の第1条では「郵便事業株式会社は,郵便の業務及び印紙の売りさばきの業務を営むことを目的とする株式会社とする」と規定されている。
郵便事業を所管するのは総務省だが,個人情報保護法施行後に同省が制定した個人情報保護ガイドラインは,電気通信,放送の2分野のみだった。そこで同省は,2007年7月10日,郵便事業分野における個人情報保護に関するガイドラインの在り方についての検討に資するため,「郵便事業分野における個人情報保護に関する研究会」を開催することを発表し,現在議論を進めている(「郵便事業分野における個人情報保護に関する研究会の開催」参照)。
前回取り上げたかんぽ生命のケースでは,岐阜県のサービスセンターから愛知県の支店への郵便物送付を委託された郵便事業株式会社側の業務プロセスで個人情報が紛失したことになる。だが,この委託先となる郵便事業が直接拠り所とすべき個人情報保護ガイドラインは制定されていなかったのだ。
このような状態で,第三者への流出や不正利用など二次被害が発覚したら,所管官庁の監督責任態勢にまで世間の厳しい目が向けられる可能性がある。折りしも,プライバシー・個人情報保護法制が厳格な英国では11月20日,歳入税関庁が約2500万人分の個人情報を記録したディスク2枚の紛失を発表した(関連記事「英財務省組織で児童手当受給者2500万人分の個人情報紛失」)。この事件では,個人情報が悪用された形跡が報告されていないにも関わらず,同庁長官が引責辞任した。日本でも,官民問わず「過剰反応」が問題化する位,個人情報保護に対する関心は高まっており,他人事ではない。
事業多角化で複雑化する日本郵政のグループポリシー
ところで,企業が個人情報を含む書類を郵便物ではなく宅配便やメール便として送付したら,送付を委託された事業者には,国土交通省が制定した「国土交通省所管分野における個人情報保護に関するガイドライン」が適用される。これには,郵便事業が取り扱う小包も該当する。
日本郵政グループは,2007年10月5日に日本通運と提携関係を結び,宅配便事業における郵便事業と日本通運の事業統合を発表したばかりだ(「日本郵政株式会社と日本通運株式会社との基本合意書の締結について」参照)。
その一方で日本郵政グループは,電通グループと共同でダイレクトマーケティング会社を設立することも発表している(「郵便事業株式会社と株式会社電通,株式会社電通テックによる合弁会社設立に関する合意について」参照)。ダイレクトマーケティング業界を所管するのは経済産業省であり,「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が適用される。
郵便事業,郵便局,ゆうちょ銀行,かんぽ生命保険という4つの事業会社に,持ち株会社である日本郵政を加えた5社で発足した日本郵政グループだが,さらなる事業多角化に向けた動きが加速している。そこで課題となるのは,グループ全体として,どのレベルに個人情報保護のための自主ルールを設定し,コントロールしていくかだ。特にグループ全体を統括する日本郵政には,会社法の内部統制システムも関わってくる。
次回は,内部統制との関わりから,日本郵政グループの個人情報保護対策について考察してみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
