［161］明治安田生命の採用情報流出で考える人事部門の業務プロセス改善

2008.11.05

　前回は，独立行政法人のサーバーを狙った不正アクセスについて取り上げた。SQLインジェクションへの具体的対策については，第151回，第152回で触れたクレジットカード業界の国際セキュリティ標準「PCI DSS」が参考になる。特に，PCI DSSにおけるプラットフォームおよびアプリケーションのレベルでの技術的対策は，クレジットカード機能一体型の学生証を採用している国立大学や，クレジットカードによる診療費払いを導入している国立病院・診療所のみならず，インターネットによる情報開示を行っている独立行政法人にも役立つ。

【参考情報】セキュリティ基準「PCI DSS」

　さて今回は，明治安田生命で起きた事件を例に，人事関連の個人情報保護対策について取り上げてみたい。

就活シーズンを直撃した明治安田生命の採用情報流出

　2008年10月27日，明治安田生命は，大阪営業関連組織の2009年度入社希望者の個人情報が，ファイル交換ソフト「Winny」経由でインターネット上に流出したことが判明したと発表した（「個人情報の流出に関するお詫びとお知らせ」参照）。同社の採用担当職員が，自宅の個人所有パソコンでデータ編集作業を実施したところ，そのパソコンがファイル交換ソフトを悪用するコンピュータウイルスに感染していたことが原因だ。

　10月27日時点では，同社は2009年4月の大阪営業関連組織の入社希望者約2000人分および入社内定者45人分の個人情報が流出したと発表していた。だが，同月30日時点で，新たに，2005年4月～2008年4月の入社希望者（法人営業職）約7000人分および2009年4月入社内定者39人分の個人情報流出が判明したと発表している。

　明治安田生命のケースの問題点は，流出したのが女子学生の個人情報であること，入社希望者について面接時の所見情報が含まれている可能性があること，そして，入社内定者について流出情報に写真が含まれていたことだ。第89回および第118回で取り上げたJALのケースを見れば分かるように，「プライバシー情報」「センシティブ情報」を日常的に取り扱う人事業務は，法務リスクのレベルが格段に高い。加えて，2007年5月，リクルーターを名乗り，就職活動中の女子大生にわいせつ行為を働いたとして，三菱東京UFJ銀行の行員が大阪府警曽根崎署に逮捕される事件が起きたことから（「当行行員の逮捕について」参照），金融業界各社は，採用関連業務における個人情報保護対策を強化してきた。10月といえば，2010年3月卒業予定の大学生を対象とした就職活動シーズンが一斉に始まったばかりであり，採用情報流出による社会的信用失墜の影響は大きい。

情報流出の背景には特定時期の負荷集中による自宅作業

　第128回で触れたように，規制緩和が進む金融業界では，個人情報保護法と金融商品取引法の法令遵守に対応し，顧客満足度を向上させるために，販売窓口を担う優秀な人材の確保が最重要課題となっている。

　明治安田生命保険は，2007年1月，大手生保で初めて派遣社員を直接雇用の契約社員に切り替えた（「『派遣職員の契約社員への移行』および『契約社員の正規職員化』の実施について」参照）。続いて，2008年4月より出産・育児・介護への対応および総労働時間短縮に向けた人事制度の拡充を開始（「ワーク・ライフ・バランス（仕事と生活の調和）制度を拡充」参照），この11月からは新営業拠点システムの稼働を開始する（「お客さま満足度の向上に向けて，営業拠点システムを大幅刷新」参照）など，人材確保を支える基盤の構築を積極的に推進してきた。入社希望者に対し，明治安田生命保険の人事戦略を説明する立場にある採用担当職員が，個人情報保護の重要性を認識していなかったとは考えにくい。

　再発防止対策を検討する際に注視すべきは，人事部門のスタッフが自宅のパソコンで業務を行うに至った背景の方ではなかろうか。例えば，就職活動シーズンが始まると，入社希望者との接触から社内面接の手配，採用決定通知，内定後のフォローに至るまで，全国の企業で，同じ時期に同じ採用業務プロセスが展開されることになる。採用に限らず，人事異動，給与計算，労組交渉などの業務でも，人事部門では特定時期に業務負荷が集中する傾向がある。業務プロセス全体で個人情報利用が不可欠な人事部門だからこそ，個人情報保護対策に直結する課題として業務プロセス改善を認識すべきだろう。ICT（情報通信技術）利活用の機会も多く存在する。

　次回は，製品安全と個人情報保護について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/