コンピュータ・ウイルス「Antinny(アンティニー)」感染による漏洩被害が、今も拡大を続けている。こうしたなか、漏洩を起こした団体のWebページを見に行ったところ、言いようのない違和感にとらわれた。
それは、民間事業者の場合と違って、漏洩事故を起こした公的部門の多くが、事実関係などを何ら自己のWebページで公表していないという事実である。
この違いは、どこから来るのだろうか。また、合理性が認められるものなのだろうか。
個人情報保護法第7条に基づく「政府の基本方針」
民間事業者が個人情報の漏洩事故を起こした場合、自社のWebページなどで事故の状況を公表してきた。その背景には、次のような事情がある。
個人情報保護法第7条に基づく「政府の基本方針」は、「事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である。」と定めている。これが「公表」を求める根拠となっている。
ここに「二次被害の防止」とは、漏洩した個人情報が、振り込め詐欺などに悪用される事件、漏洩したクレジットカード番号が不正使用される事件などが実際に発生しており、こうした事件による二次被害を防止しようとする趣旨である。
次に、「類似事案の発生回避」については、情報セキュリティに関するインシデントの再発防止を徹底するために、過去の事例に学ぶことが非常に重要であることから、「公表」を求める理由とされたものである。
「可能な限り」とされているのにも理由がある。セキュリティホールを公表することによって、それが一般的には未知のものでセキュリティパッチが配布されていないものであるような場合、再発防止どころか、かえって同種の攻撃を加速するおそれがあるからだ。
各省庁のガイドライン
「政府の基本方針」を受けて、各省庁が策定した民間事業者向けガイドラインでも、民間事業者に対して「公表」を求めている。
ちなみに、こうしたガイドラインの多くは、細部に違いはあるものの、「公表」に加えて、被害者本人への通知、主務官庁への報告も求めてきた。これらをあわせて通称「漏洩時3点セット」と呼んでいる。
以下では具体例を掲げて説明してみたい。
例えば、総務省「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)」は、次のとおり定めている。
|
(漏えい等が発生した場合の対応) 第22条 電気通信事業者は、個人情報の漏えいが発生した場合は、速やかに、当該漏えいに係る事実関係を本人に通知するものとする。 2 電気通信事業者は、個人情報の漏えい等が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り、当該漏えい等に係る事実関係その他の二次被害の防止、類似事案の発生回避等に有用な情報を公表するものとする。 3 電気通信事業者は、個人情報の漏えい等が発生した場合は、当該漏えい等に係る事実関係を総務省に直ちに報告するものとする。 |
農林水産省「個人情報の適正な取扱いを確保するために農林水産分野における事業者が講ずべき措置に関するガイドライン(平成16年11月9日付け農林水産省告示第2013号)」も、次のとおり定める。
|
(漏えい等が発生した場合の対応) 第25条 事業者は、自己の取り扱う個人情報(委託を受けた者が取り扱うものを含む。以下この条において同じ。)の漏えい等の事実を把握した場合は、当該漏えい等に係る個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くものとする。 2 事業者は、自己の取り扱う個人情報の漏えい等の事実を把握した場合は、二次被害の防止、類似事案の発生回避の観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表するものとする。 3 事業者は、自己の取り扱う個人情報の漏えい等の事実を把握した場合は、事実関係、発生原因及び対応策を農林水産省に直ちに報告するものとする。 |
金融庁「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」も、金融分野における個人情報取扱事業者が、漏えい事案等への対応の段階における取扱規程に定めるべき事項として、「自社内外への報告に関する手続き」を掲げた上、次のとおり定めている。
|
6-6-1 自社内外への報告に関する手続きは、次に掲げる事項を含まなければならない。 (1)監督当局等への報告 (2)本人への通知等 (3)二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表 |
民間事業者による公表
以上のような「政府の基本方針」や、各省庁のガイドラインを踏まえて、民間事業者が漏洩事故を起こした場合、自社のWebページで「公表」が行われてきた。
政府の基本方針にしても、各省庁のガイドラインにしても、個人情報保護法そのものが義務として規定している部分以外は、強制力のない行政指導にすぎない。
しかし、主務官庁との関係もあり、きちんと「漏洩時3点セット」を遵守する事業者が、これまでは多かったというのが実情である。現に、3月8日に事故が発覚したNTT西日本は、さっそく自社のWebページで「公表」を果たしている。また、翌3月9日に漏洩が発覚したアルプス技研にしても、同様に「公表」している。
こうした「公表」の大半は、単に事実関係を説明するだけでなく、被害者からの相談窓口、再発防止策、そして被害者本人へのお詫びを記載している。まさにネット上に「始末書」を掲載しているようなものである。
漏洩事故で被害を受けた人間は、適切な情報開示を受けなければ、とてつもなく不安になりがちとなる傾向がある。事故情報の開示を行うことによって、そうした不安を軽減するとともに、クレジットカード番号の変更など、自ら二次被害防止に向けて必要な措置を取ることも可能になる。
もちろん、直接「通知」を受ければ、その点はクリアできるが、必ずしも被害者全員の連絡先が判明しているケースばかりではない。また、「二次被害の防止」だけでなく、「類似事案の発生回避」の要請もある。そのため「公表」は重要な意味を持っている。ただし、こうした必要性のない軽微なケースについても、一律に「公表」を求めることが、「過剰反応」に陥る原因となっていることについては、再検討が必要となっている。
公的部門による公表は果たされているか
それなら漏洩事故を起こした「官」(公的部門)は、「民」(民間部門)と同様に「公表」を果たしているか。
最近になって漏洩事故を起こした公的部門のWebページを、さっそく見に行ってみた。
たしかに、岡山県警のように漏洩事故の状況などを「公表」しているケースもある。ところが、残念ながら、刑務所からの受刑者情報漏洩事故を起こした法務省をはじめ、その大半は、重要情報が対象になったケースが多いにもかかわらず、漏洩事故が発生したという事実すら、明らかにしていない。
重大な漏洩事故を起こした愛媛県警のサイトでも、「事件・事故速報」で、交通事故や児童買春容疑者逮捕などの記事と並んで、「捜査資料流出事案の発生(3月7日監察官室)」と題して「平成9年頃から平成17年4月頃までの間に、県警職員の私物パソコンにより作成した個人情報を含む捜査資料などが、ファイル交換ソフト「ウィニー」を通じてインターネット上に流出した模様。」と掲載されているにとどまっている。
「政府の基本方針」が定めるべき事項には、「国が講ずべき個人情報の保護のための措置に関する事項」「地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項」が含まれている(個人情報保護法第7条第1項第2号・第3号)。しかし、現時点で「政府の基本方針」には、中央省庁や地方公共団体が漏洩事故を起こした場合における「公表」については何も触れられていない。
ここで「親方日の丸だ。」などとして公的部門を非難するつもりはない。だが、「政府の基本方針」に、民間事業者を対象として謳われた「二次被害の防止」「類似事案の発生回避」の必要性は、「民」であっても「官」であっても、何ら変わるところがないはずだ。むしろ、情報公開は公的部門の国民に対する責務である。
相次ぐ公的部門における漏洩事故の頻発を防止するためには、そして、漏洩事故で迷惑を掛けた被害者に対して透明性を図るためには、「政府の基本方針」を早急に改正して、公的部門についても漏洩の事実関係などの公表を求める必要があるのではなかろうか。
◎関連資料
◆個人情報の保護に関する基本方針(内閣府)
◆「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)」(総務省)
◆「個人情報の適正な取扱いを確保するために農林水産分野における事業者が講ずべき措置に関するガイドライン(平成16年11月9日付け農林水産省告示第2013号)」(農林水産省)
◆「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」(金融庁)
