総務省は3月9日,KDDIに対して個人情報保護法第34条に基づく勧告を行ったと発表した。これは,KDDIが1月に起こした,au携帯電話サービスを解約したユーザーの個人情報22万4183件を紛失するという漏えい事故に対するもの(関連記事1)。通信事業者に,個人情報保護法第34条に基づく勧告が適用された初のケースとなる。
個人情報漏えい事故を起こした通信事業者への行政指導はこれまで,「総務省設置法に基づく指導」がほとんどだった。これは強制力がなく,事業者が従わなくても総務省が強制的な措置を取ることはできない。一方,今回KDDIに対して行われた「個人情報保護法に基づく勧告」は,勧告自体には強制力はないが,事業者が従わない場合は強制力を持つ「命令」を総務省が出せる。通例よりも“一段上”の行政指導が行われた格好だ。
KDDIは,2006年6月にもインターネット接続サービス「DION」で399万6789人分の顧客情報を漏えいさせている(関連記事2,関連記事3)。この事故に対しては,2006年9月に総務省が行政指導を行った。にもかかわらず,再び大規模な個人情報漏えいを起こしたことを総務省は問題視。「個人データに係る安全管理措置などに重大な問題があったと認められた」(総務省)として,個人情報保護法に基づく勧告に踏み切った。
総務省はKDDIに対し,(1)個人データの安全管理のための措置の徹底,(2)個人データの安全管理を図るための委託先に対する監督の徹底,といった措置をとったうえ,4月9日までに総務省に報告することを求めた。
一方,勧告を受けたKDDIは「本件に関する管理責任を明確化するため,3月1日に社内処分を行なうとともに,全社一丸となって情報セキュリティ強化策を着実に実行する」と発表した。
