ベネッセホールディングスで個人情報が流出した事件を受けて経済産業省は2014年9月26日、個人情報漏洩の再発防止に向けて委託先も含めた体制の明確化や情報セキュリティ対策の具体化を行うよう勧告した。ベネッセが9月17日に報告した再発防止策は不十分と判断し、10月24日までに具体的な対策内容の報告を求めている。
勧告によると、不正持ち出しの対象となったデータベースが個人情報のダウンロードを監視する対象として設定されていなかったうえ、委託先に対する定期的な監査の対象とせず必要な監督を怠っていたとした。
また、保有する個人情報の利用・管理に責任を持つ部門を設置せず、その安全管理のために必要かつ適切な措置を講じることを怠っていたとした。
個人情報保護法では主務大臣が報告徴収できるが、必要あると認めるときは勧告、緊急に必要あるときは命令ができるとされ、順に厳しい内容となる。
IPA、ガイドライン改訂
また情報処理推進機構(IPA)は同日、ベネッセ事件を受けて「組織における内部不正防止ガイドライン」の改訂を発表した。
改訂ガイドラインは、「経営層によるリーダーシップの強化」「情報システム管理運用の委託における監督強化」「高度化する情報通信技術への対応」を強調した。
経営層によるリーダーシップの強化では、重要情報保護の専門部署の設置の検討や担当責任者らに必要な能力の確保を求めている。また、情報システム管理運用の委託における監督強化では、扱う情報の重要度に相応か契約前、契約中にも確認や評価することを追加した。
再委託する場合は、委託元への事前承認が必要とした。委託先、再委託先との間で内部不正が疑われた場合を想定して、ログが提供されることを事前に確認し、契約上も明確化が望まれるとした。
高度化する情報通信技術への対応では、スマートデバイスでなどによる情報の持ち出しを抑制する対策を盛り込んだ。技術の進展に沿った最適な対策の必要性を強調している。
また経産省は9月中をめどに、個人情報保護法の解釈や具体例を記載した「経済産業省分野における個人情報保護法ガイドライン」も改訂するとしている。 [経産省の発表資料へ] [IPAの発表資料へ]
