前々回はNTTドコモグループ,前回はソフトバンクグループと,総務省所管の通信キャリアの事例を取り上げた。いずれの事例も外部委託先に起因する個人情報流出が問題となっている。
これら委託先企業を所管する経済産業省では現在,個人情報保護ガイドラインの改正作業を進めている。今回は,その背景要因について考察してみたい。
改正論議の発端となったジャックスの通販詐欺事件
1年ほど前になるが,第73回,第74回,第75回と3回にわたって,経済産業省の個人情報保護ガイドライン改正に関わる問題を取り上げたことがある。その後パブリックコメントを経て,2007年3月30日に改正ガイドラインが告示された。
その告示1カ月前の第80回に,たまたまジャックスのインターネット通販詐欺事件を取り上げたのだが,実はこれが今回の改正論議の発端になっている。同社が販促用DM作成を委託した大日本印刷の再委託先から流出したクレジットカード会員情報が悪用され,ネット通販詐欺という二次被害に至ったという事件だ。その後,大日本印刷から委託元企業43社の個人情報約860万件が流出していたことが判明し,プライバシーマーク制度の是非まで問われる事態となった(第83回,第84回参照)。
他方クレジットカード業界では,改正ガイドライン告示と同じ日に,ソニーファイナンスインターナショナルと旧UFJニコス(三菱UFJニコスに社名変更)が,個人情報保護法34条に基づく勧告を経済産業省から受けている(第86回参照)。両社とも委託先に起因する個人情報漏えいではないが,有期雇用社員,派遣社員,嘱託社員が関与しており,雇用形態の多様化を反映する典型的な事件であった。
このように見ていくと,今回経済産業省が進めている個人情報保護ガイドライン改正の背景に,契約・雇用形態の多様化が絡んでいることがわかるだろう。当然,個人情報取扱業務を多く受託するIT業界への影響も大きい。
クレジットカード情報の委託先管理が改正案の重要項目に
経済産業省は「個人情報の保護についての考え方は,社会情勢の変化,国民の認識の変化,技術の進歩等に応じて変わり得るものであり,本ガイドラインは,法の施行後の状況等諸環境の変化を踏まえて毎年見直しを行うよう務めるものとする」と規定している。今回の「『個人情報保護法についての経済産業分野を対象とするガイドラインの改正案』に関する意見募集について」を見ると,改正案の主な内容は以下のようになっている。
1.委託先に対する必要のない個人データの提供の禁止
2.委託先に対する必要かつ適切な監督の内容を明確化
(1)委託先を適切に選定すること
(2)受託者との間で必要な契約を締結すること
(3)受託者における委託された個人データの取扱状況を把握すること
さらに,「漏えいした場合に二次被害が発生する可能性が高い個人データ」の具体例として,「クレジットカード情報(カード番号,有効期限等)を含む個人データ」を挙げ,これらの取り扱いを委託する場合は,より高い水準で運用することが望ましいことを明記している。
ただし,クレジットカードは日々進化しており,身分証明書,会員証,通勤・通学定期券,マイレージサービス,電子マネーなど,個人情報を前提とした他の機能との連携が進んでいる。複数の個人情報取扱事業者間の相互依存関係を前提としたサービスでは,利便性が高まる反面,委託者と受託者の関係だけで片付けられない二次被害が起きる可能性もあるので,注意が必要だ。
次回は,ガイドライン改正論議で,もう1つの発端となった住民基本台帳の個人情報保護対策の観点から考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
