新たな段階に入った個人情報漏洩事件・事故

田中克己

2004.01.20

　個人情報の漏洩事件・事故は，顧客に詫び状を送れば済む段階から，金額面でも対応せざるを得ない段階に入ってきた。

　2003年5月23日に個人情報保護法が成立した後でも，数十件の個人情報の漏洩事件・事故が取り上げられている。昨年6月26日にコンビニエンス・ストアのローソンのクレジット・カード会員約56万人，8月8日には信販会社アプラスの会員約8万人，11月19日にはやはりコンビニエンス・ストアのファミリーマートのメール・マガジン購読者約18万人の個人データが外部に流出する事故が明るみになった（関連記事1，関連記事2，関連記事3）。

　この3社のケースでは，それぞれの顧客に対して詫び状の発送と一緒に，500円から1000円相当の商品券を送っている。各社の損害金額は少なくとも数億円の規模になる。ちなみに，日本ネットワークセキュリティ協会の「2002年度情報セキュリティインシデントに関する調査報告書」によると，想定する損害賠償被害額は1件当たり2億4000万円強だそうだ。

　情報漏洩の流通経路を特定できないケースもあるようだが，漏れたのは事実。だから，3社は迷惑をかけた顧客に商品券を送ったのだろうが，その金額が妥当なのかは分からない。ただ，京都府宇治市で起きた事件では1人当たり1万5000円（精神的損害1万円，弁護士費用5000円）が確定しているので（関連記事），1000円は多い金額とはいえないだろう。仮に訴訟に発展すれば，各社の賠償金額は1ケタ増えることになってしまう可能性もありえる。

システム構築に参画したソリューションプロバイダにも大きな影響

　この問題は，情報システムのユーザー企業だけにとどまらない。顧客情報に関連するシステム構築やセンター運用を請け負ったソリューションプロバイダに及ぶこともある。宇治市の件でも事業者が約400万円を和解金として支払っているという。情報漏洩に何らかの関与が判明すれば，金額面でも何らかの対応を迫られることになる。

　例えば，アプラスのシステム構築を担当している大手ソリューションプロバイダのTISは2003年度中間期決算の説明会で，アプラスに1億円以上を支払うことを明らかにしている。詳細な金額は明らかにしてはいないが，「アプラスの会員8万人に送った商品券の総額が1億円以上あるほか，（アプラスが）1カ月以上にわたってテレフォン・センターを設置し対応したことと，（情報漏洩による）機会損失もある」（TISの岡本晋専務取締役）と考えている。金額は数億円になりそうだ。

　一方，ローソンのシステム構築を担当しているアイ・ティ・フロンティアは「共同で事実の究明をしている段階」（角南文夫執行役員常務）という。同社によると，厳重なセキュリティをかけていた本番用サーバーではなく，開発用サーバーから漏れた可能性があるという。だが「どこから抜き盗られたのか，具体的な人を特定できない」（角南常務）。情報漏洩の流通経路の特定を急いでいるとする。

　仮にソリューションプロバイダに損害賠償を求められることになれば，経営に重大な影響を及ぼすのは間違いない。数億円，場合によっては数十億円ともなれば倒産に追い込まれることだってありえる。そうした事態を回避するうえで，ソリューションプロバイダ自身も情報セキュリティに対する万全の対策を施す必要がある。

個人情報保護法の完全施行は目前，体制の整備が急務に

　TISもITフロンティアも情報漏洩が発覚した後，直ちに調査委員会を設置するなど事実の究明に奔走する（関連記事）。役員報酬のカットも実施した。中間期決算時にTISの船木隆夫社長は「社内を点検したところ，反省するところがあった」とし，社内の情報セキュリティ対策に新たに数億円を投入した。「外からの侵入に対して（のセキュリティ対策）はきちんとやってきたと自負している。しかし，社内からの対応ができていなかった」（TISの岡本専務）と反省する。

　具体的には，昨年8月に個人情報保護委員会を設置する一方，(1)セキュア・ルームの構築，(2)本番データへのアクセス管理徹底，(3)データ保護の徹底，(4)協力会社管理の強化，などである。特に(1)については個人特定ICカードによる入退室管理，指紋認証による端末利用者の制御の実施，など本番運用アクセス端末に対する厳しい管理を施している。

　個人情報保護法の完全施行は2005年4月1日になる。個人情報取扱事業者は法令順守（コンプライアンス）のために役員を含めた社内教育や情報セキュリティの確保に向けての体制を着々と整備しているだろう。特に個人データに関する顧客からの開示請求への対応が大きな問題の一つである。一部の地方自治体では開示請求が増え，業務に支障を来たしているという話もある。企業からは，そうした話はまだ聞こえてこないが，その対応に迫られる日は近い。

　「情報セキュリティと個人情報保護完全対策」（日経BP社）の筆者である山崎文明氏（グローバルセキュリティエキスパート代表取締役）は「個人情報の保護に関する企業の対応は二極化している」と話す。プライバシ・ポリシーを作成したり社員教育を実施したりする企業がある一方で，無関心な企業もあるそうだ。「既に法律が施行されていることも知っていないし，個人情報の漏洩を甘くみているフシがある」（山崎氏）。個人情報の漏洩事件・事故は経営上の大きなリスクとなっている事実を知っておくべきだろう。