個人情報保護法施行から5年。情報システムを仲介とした常連客育成手法としてCRMが注視されており、顧客の個人情報と取引履歴の蓄積はまさにビジネスの心臓部とも言える。
これが外部に漏洩した場合に失われる企業価値は計り知れないが、本稿で取り上げる日本IBMの事例は、Winnyへの再放流者との対処が、極めて示唆に富んでいる。
EC事業者にとって、個人情報保護法についての社内体制をもう一度見つめ直す良い機会のはずだ。
事件の概要-委託先漏えい+悪質な再放流者の介在事例
平成20年11月11日、神奈川県は、神奈川県授業料徴収システムに係る個人データ(公立高校の生徒約11万人分)の流出のおそれがあること、同13日には、のべ約2,000人分の個人情報流出が既に確認されていることについて発表し、事件は一気に世間の知るところとなった。
そして、平成21年1月8日には、インターネット(ファイル共有ソフトWinny(ウィニー))上にそれが流出していることが確認され、多数の個人データが不特定多数のウィニー利用者の手に渡るという事態に発展したのである。
なお、直接の漏えい元は、同システムの開発運用を県から委託された日本IBMである。
日本IBMの委託先(神奈川県の再委託先)従業員がこれらのデータが格納されたパソコンを自宅に持ち帰ったところ、家族がウィニーをインストールし、その後、暴露ウイルスに感染したことによって、その全データがウィニー・ネットワーク上に流出してしまったものである。
なお、本件では、漏えいした個人データをネット上に再放流する悪質な者が介在し、著作権法違反などの名目で逮捕され罰金刑に処されている。 ちなみに流出した個人データは、平成18年度神奈川県立高等学校在籍生徒に関する情報である。
個人情報の項目は、学校・課程・学科コード、郵便番号、住所、氏名、電話番号、授業料振替口座情報(金融機関コード、支店・預金科目コード(ゆうちょ銀行は通帳記号)、口座番号、口座名義)であった。これだけの項目が揃うと、生徒の「個人情報」であると同時に、生徒の「プライバシーの権利に属する情報」(プライバシー情報)ということになる。
・ポイント1 神奈川県の対応
神奈川県の対応は迅速であった。①相談窓口を平日、土日等9:00〜20:00まで専用ダイヤルを継続設置し、②被害者である生徒本人及び保護者への通知を行い、③流出が確認された全ての生徒、保護者に対しては、書面をもって流出のおそれがあることについてのお詫びと振替口座の変更の検討の依頼等を行った。
また、本システムの委託先であり、今回の流出の直接の原因者である日本IBMに対しては、情報が流出した被害者及び流出のおそれのある生徒及び保護者に対する謝罪と流出情報の削除等についての法的措置、技術的対応等を要請した。
・ポイント2 委託先企業(日本IBM)の対応
本事例が多くの企業の教訓となるところは、日本IBMの対応であろう。
日本IBMは情報管理の先頭を走る企業である。こうした企業においても起きてしまう現実に多くの企業は、正直どこまで有効な対策を講じることができるのか不安にかられるところでもある。