前回は,NTTドコモグループの販売代理店で発覚した個人情報漏えい事件を取り上げた。同グループの上にはNTTグループ全体を統括する持株会社(日本電信電話株式会社)が控えている。NTT持株会社の傘下では,第108回で取り上げた「Winny」経由の顧客情報流失事件に関連して,2007年12月20日にNTT東日本が総務省より行政指導を受けたばかりだ(「個人情報の漏えい事案に関する東日本電信電話株式会社に対する措置」参照)。
今回は,民事上の責任の観点から,NTTのライバルであるソフトバンクグループのケースを題材に考えてみたい。
グループの共同責任を認めた「Yahoo! BB」控訴審
第44回で,ソフトバンクグループの「Yahoo! BB」で起きた顧客情報流出に関連する損害賠償請求事件を取り上げたことがある。事件を起こしたのは,「Yahoo! BB」のサービスを運営する旧ソフトバンクBB(事件発覚当時は「ソフトバンクBB」,その後「BBテクノロジー」「ソフトバンクBB」と商号を変更している)の外部委託先からの派遣社員らだったが,会員から訴えられたのは,委託先企業ではなくヤフーと旧ソフトバンクBBの2社だった。
2006年5月19日の大阪地裁判決では,旧ソフトバンクBB (判決当時はBBテクノロジー)の損害賠償責任が認められた。ヤフーについては,旧ソフトバンクBBで別個に保管していた顧客情報の管理義務や,旧ソフトバンクBBに対する管理監督義務を負っていたとは認められないと判断された。
その後控訴が提起され,2007年6月21日に大阪高裁が出した控訴審判決では,両社ともソフトバンクグループの子会社で,外見上一体のものとしてサービスを提供していたとしてヤフーの指揮監督責任も認定された。他方,Yahoo! BB全会員に金券500円を配り謝罪したことから,賠償額は一人当たり6000円から5500円に減額された。さらに上告審でも争われたが,2007年12月14日に最高裁が上告を棄却する決定を出し,両社が連帯して賠償するよう命令した大阪高裁判決が確定した。
企業の事業組織やそれに関わるスタッフの契約・雇用形態が多様化している。正社員,契約社員,パート・アルバイト社員,派遣社員など,自社の「従業者」だけを対象とした個人情報管理態勢では不十分であることが,民事訴訟の結果からも証明されたと言えよう。
トップダウン型の対策で先行するも委託先からの情報流出が発生
「Yahoo! BB」の事件が発覚したのは2004年2月であるが,その後,ソフトバンクグループのビジネス領域は,ブロードバンド・インフラ事業,インターネット・カルチャー事業,イーコマース事業から固定系通信事業,移動体通信事業,放送メディア事業へと拡大を続けている。同時に,グループ情報セキュリティ最高責任者(G-CISO)やグループ情報セキュリティ委員会(G-ISC)を軸に,個人情報保護法やグループ経営の内部統制を規定する新会社法への対応を進めてきた。だが,その一方では,グループ周辺に起因する個人情報漏えい事件が発生している。
例えば第36回で取り上げたヤフーのケースでは,外部委託先や電子モール加盟店のPCからファイル交換ソフトを介して個人情報が流出した。第48回で取り上げた旧日本テレコムのケースでは,KDDIの個人情報漏えい事件に関連して会員情報が流出している。第77回で取り上げたヤフーのケースでは,外部委託先の元従業員が在職中に得た個人情報を悪用してオークション詐欺を働き,逮捕されている。
トップダウン型の個人情報保護対策で先導的な役割を果たしてきたソフトバンクだが,顧客接点の現場では,契約・雇用形態の異なる外部スタッフに依存している。直面する課題は,グループ外のパートナー企業との情報やリスク認識の共有であろう。一方向的な基本ポリシーや契約書の管理にとどまらない,相互依存関係を前提とした個人情報管理のパートナーエコシステム構築が求められる。
次回は,経済産業省の個人情報保護ガイドライン改正案(「『個人情報保護法についての経済産業分野を対象とするガイドラインの改正案』に関する意見募集について」参照)から外部委託先の管理について考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
