過去最大件数に上ったソフトバンクBBをはじめ、ジャパネットたかた、コスモ石油など、個人情報の漏洩事件に歯止めがかからない。多くの事件は、情報流出後かなりの時間が経過してから発覚している。このことは、どの企業にも、すでに情報が流出している可能性があることを示している。今、漏洩対策だけでなく、「情報は漏れるもの」という視点に立った事後対策が必要だ。

(河井 保博)

 ADSL(非対称デジタル加入者線)事業者のアッカ・ネットワークスは昨年、個人情報の取り扱いについての厳格なルールを策定。今年に入って個人情報にアクセスできるパソコンのUSBポートをふさぐなど、具体策の実装を始めた。日本信販は昨年秋に個人情報保護の体制を見直し、今年3月から新たな体制を敷いている。コスモ石油もこの4月に個人情報保護の社内ルールを設け、運用体制を改めた。

 この3社の共通点は何だろうか。そう、つい数カ月前に個人情報漏洩事件が発覚した企業である。しかも、上記の施策の後に事件が起きている。日本信販などは昨年8月に個人情報を紛失し、その経験を基に対策を実行した矢先に新たな事件が発覚した。

表1●昨年夏以降に発覚した個人情報の漏洩事件(発覚順。件数と概要は5月13日時点)

情報は、すでに漏れている

 個人情報の漏洩事件が続発している。昨年夏以降だけでも、表1[拡大表示]に示すような数多くの事件が明らかになった。特にソフトバンクBBの、450万件と過去最大件数の情報漏洩事件は多くの企業を震撼させた。5月には3人の顧客が損害賠償請求訴訟を起こし、裁判の行方が注目されている。

 程度の差はあれ、これらの事件を見て自社の体制を見直した企業は少なくない。来年4月には個人情報保護法が完全施行されるので、なおさらだ。NTTコミュニケーションズ(NTTコム)コンシューマ&オフィス事業部CRMシステム部の佐々田法男担当部長は、「当社にとって個人情報保護はインターネット社会が訪れるずっと前からの重要なテーマ。漏洩対策には注力してきたが、事件を受けてさらに見直しを進めている」と語る。三井住友カードやユーシーカード、JR東日本、全日本空輸、ぴあなどさまざまな企業が、対策を強化している。冒頭の3社もそうだ。

 それでも、情報漏洩事件はなくならない。理由は二つある。一つは、漏洩対策に100%はないこと。どの事件も、情報を外部に持ち出したのは社員や契約社員、業務委託先など内部関係者とみられている。正規の権限で情報を抜かれると、その防止はかなり難しい。

図1●多くの事件では、かなり前の情報漏洩が、顧客からの問い合わせなどをきっかけに最近発覚した。この間、どの企業も情報が漏れたことに気付かないまま事業を継続していた
 二つ目は、今対策を強化しても、すでに情報が漏洩している可能性が高いこと。表1の事件の多くも、情報が漏れたと思われる時期と、発覚時期にはタイム・ラグがある(図1[拡大表示])。

 ソフトバンクBBのサポート・センターに勤務していた派遣社員が情報を盗み出した事件では、持ち出しは2002年5月~昨年6月の間。発覚は、半年以上たってからだ。この間は漏れたことさえ分からなかった。東武鉄道は「架空請求された」という顧客からの問い合わせが多発したことから情報流出と判断。データの内容から、昨年3月以前に流出したものと見ており、発覚までにやはり半年以上かかった。ジャパネットたかたに至っては6年もさかのぼる、1998年7月に漏れた可能性が高い。1999年に顧客からの問い合わせが2件あったものの、調査が及ばず情報流出との結論に至らないまま5年が経過した。

 エルティ総合法律事務所長の藤谷護人弁護士は、「どの企業も、すでに情報が漏れていると考えても決して大げさではない」と強調する。

対応の遅れは経営を揺るがす

 情報漏洩が発覚したときの企業への影響は、大きくなるばかりである。ソフトバンクBBは、1件500円の郵便為替という顧客へのお詫びや対策に40億円をかけた。東武鉄道は、「102@Club」会員13万人に向けレジャー施設の無料利用券を配布。費用にして6億5000万円である。ジャパネットたかたは、1カ月半以上にわたる事業の自粛で100億円以上もの収入を逸したという。

 最も怖いのは、顧客や取引先の信用を失うことである。場合によっては企業の存続を脅かす。過去の例を見ても、事件が発覚したときの対処の仕方によっては、信用を大きく落としてしまう。今、漏洩防止策だけでなく、漏洩が発覚したあとにどう対処すべきか、事後の対処に目を向けるべきだ。

 損害賠償の面からも、事後対処に備えることは重要である。判例としては今のところ京都府・宇治市の事件しかないが、5月17日にはソフトバンクBBが訴えられた。今後、損害賠償請求される例はさらに増えるかもしない。損害は、情報がどれだけ個人にとって重要なものかと、どのように使われて、どれだけ被害を受けたかによって決まる。事後の対処に戸惑えば、2次流出や詐欺事件など被害が急拡大しかねない。

 では、実際に漏洩が発覚したら、どのように対処すればよいのか。その対処のために、事前に準備しておくことは何なのだろうか。

図2●情報漏洩が発覚した場合の対処の流れ。最初にアクション・プランを策定。漏洩の事実確認後、プランを軌道修正しながら、情報公開、被害拡大の防止、原因究明、改善に努める
事件発覚で行うべき六つの作業

 企業向けの情報セキュリティ保険を提供するAIU保険の中江透水ITリスク スペシャリストは、「いざ、事件が起きたときに、頭が真っ白になってしまうことが一番危険」と説明する。何もできないばかりか、下手をすると自ら信用をおとしめるような行動をとってしまいかねないからだ。そうならないために、情報漏洩が発覚した場合に何をすべきかを、まずは知っておきたい。

 必要な作業は大別して6項目ある(図2[拡大表示])。(1)問題解決までのアクションと手順を策定する、(2)事実を確認、(3)顧客や取引先へ情報を公開、(4)被害拡大を阻止、(5)原因究明、(6)再発防止策の実施――である。

 最近では、いち早くWebページで情報を公開するなど、素早い対処が行われるようになってきた。他社の事例を教訓として生かしているからだろう。


本記事は、特集2の一部を再構成したものです。記事では、事件が発覚した各社がとった行動や対処、対策を講じている企業の事例を基に、図2で示した六つの作業を行ううえでのポイントと、そのために事前にやっておくべき対策を詳しく解説しています。