4月1日以降、個人情報が漏洩した事件は50回以上―個人情報保護法の完全施行に向けて対策を取ってきたはずの企業や自治体で、個人情報の漏洩が止まらない。5月20日には、みちのく銀行が、保護法施行後初めての是正勧告を受けた。
 |
| 表●今年4月1日以降に1000人分以上の個人情報を紛失、または漏えいした主な企業・自治体 |
個人情報保護法の完全施行後2カ月がたった6月3日時点で、個人情報の漏洩事件は、報道されたものだけでも優に50を超える。ほぼ毎日どこかで、個人情報を記録したパソコンやメディアが、紛失または盗難に遭った計算だ。漏洩件数が1000件以上のものに限っても20に達する(表[拡大表示])。
金融庁からの是正勧告を受けたみちのく銀行は、氏名、住所、電話番号、生年月日、預金残高といった顧客情報、約128万件を記録したCD-ROM3枚を紛失した。金融庁が勧告に踏み切ったのは、漏洩件数が多いという理由だけではない。みちのく銀行が、内部規定通りに個人情報を取り扱っていなかった上に、行員に対する教育を怠ったため、「個人データに係る安全管理措置等に重大な問題がある」と判断した。同行は6月20日までに、是正に向けた措置の内容を金融庁に報告しなければならない。報告しなければ、30万円以下の罰金を支払う必要がある。
立て続けに漏洩を起こした企業もある。NTTデータの社員が4月14日、業務委託元であるNTT西日本の顧客情報2146件をノート・パソコンにコピーして自宅に持ち帰り、空き巣に盗まれた。その1カ月後には別の社員が、NTTデータの全社員1万1835人分の個人情報を記録したUSBメモリーをかばんごと紛失した。
個人情報保護法の施行によって、各社が漏洩の事実を積極的に公開し始めたために事件が表面化しやすいという側面はある。ただ各事件を見てみると、対策を徹底させることの難しさがうかがえる。NTTデータがまさにそうだ。NTTデータは、個人情報の外部持ち出しを原則禁止している。やむを得ない場合だけ上司の許可を得、暗号化した上で持ち出せた。しかし、そのルールが守られていなかった。
表にはないが、イオンクレジットサービスは4月18日、148人分のキャッシュ・ディスペンサ利用記録用紙を紛失した。同社は、プライバシーマーク、ISMS、TRUSTeといった情報管理に関する認定を複数取得していたが、回収を委託していた業者までは監督が行き届いていなかった。
