企業の成長を応援する情報メディア りそなCollaborare

Copyright (c) Resona Bank, Limited All Rights Reserved.

事業のルールを守る

過去の失敗に学べ。個人情報保護で重要な組織と人の問題

日本情報マート

2018.05.15

 企業は、個人情報の漏洩を未然に防ぐための対策を講じる必要があります。従業員一人ひとりが個人情報保護に対する高い意識を持つことが求められますが、個人任せにしていては、綻びが生じます。実際の事例から、漏洩事故の原因を探り、組織としての体制づくりのポイント、社長が果たすべき役割を見ていきましょう。

1 情報漏洩の主な原因

 個人情報の漏洩事故の多くは、従業員など内部関係者の不注意によるものです。プライバシーマーク付与事業者から報告があった事故を見ると、不注意の態様としては、メール誤送信(20.7%)、紛失(20.0%)、宛名間違い等(14.8%)、封入ミス(13.4%)の割合が高くなっています(日本情報経済社会推進協会プライバシーマーク推進センター「平成28年度 個人情報の取扱いにおける事故報告にみる傾向と注意点」)。漏洩事故対策で重要なのは、このような不注意への対策となります。

 また、従業員による故意の漏洩もしばしば見られます。例えば、従業員が「退職時に顧客情報を持ち出して競合会社への転職に利用する」「対応した好みの女性顧客の住所等の個人情報を自社のデータベースから不正取得する」といったケースなどがあります。これらは顧客情報の目的外利用であり、従業員のモラルの問題としてだけで片付けることはできません。

 ここで、過去に発生した大量漏洩の事例をいくつか振り返ってみましょう。

2004年から2015年の間に起きた個人情報の大量漏洩の事例に関して、漏洩件数や損失額等について説明した画像です。

 大量漏洩事故の場合、原因のほとんどが故意、すなわち内部関係者による、いわゆる「不正アクセス禁止法」や「不正競争防止法」違反等の犯罪行為や、外部の悪意の第三者による標的型メール攻撃などに起因するウイルス感染です。

 中小企業の場合、それほど多くの個人情報を取り扱っているわけではないかもしれません。しかし、自社で個人情報の漏洩事故が起きてしまったら、問題は漏洩事故のおわび(賠償金)や対策費用などの金銭負担だけでは済みません。報道や訴訟などによって事故が明るみに出れば、会社の社会的評価が低下し、今まで築いてきた信用も失墜します。漏洩件数の規模や会社が所属する業界によっては、ビジネスが立ち行かなくなることもあり得ます。

 なお、裁判例による個人情報の漏洩事故による1人当たりの賠償金額は、多くが5000~3万円程度ですが、訴訟を起こされた場合、弁護士に依頼し、だいたい1年以上にわたってそれに関わることになるので、業務上の大きな負担となります。

2 社長が果たすべき役割

 個人情報の漏洩事故を防ぐためには、従業員個人が注意を払うだけでは足りません。組織としての迅速・適切な対応が不可欠です。

 例えば、日本年金機構の事例では、個人情報を扱うファイルにはパスワードを設定するという運用ルール(注)があったのに、それがほとんど守られておらず、運用ルール実施の点検・確認も行われていないことが事故調査によって判明しました。この他、漏洩事故に対する組織全体としての対応方針の明確なルール化と、訓練等による徹底が図られていなかったとも指摘されています。

(注)ただし、当時の日本年金機構では、重要情報が暗号化されずに共有フォルダ上に保管されており、仮にファイルにパスワードが設定されていたとしても、標的型メール攻撃への防御策としては極めて不十分な状況でした。

 こうした組織の機能不全は、個人情報を管理する担当者レベルでどうにかしようとしても解決が難しいことかもしれません。やはり、次のような社長の「トップダウンのマネジメント」が有効でしょう。

・情報管理について強い関心を持っていることを従業員に示す。

情報漏洩は、一旦発生すると会社に大打撃を与えます。一方、情報セキュリティは売り上げに直結しないため、従業員に自主的に取り組ませることが難しいものです。そこで、社長自らが情報セキュリティに強い関心を持っているという姿勢を示し、従業員が行動しやすくすることが大切です。

・情報管理の担当者を明確にし、命じるだけでなく、実際に権限を与える。

情報セキュリティについて、「責任ある立場の者」が実効性ある行動を取れるだけの権限と責任を明確にしておくべきです。

・セキュリティ機器やセキュリティソフトの導入で終わらせない。人が最後のとりでであるという意識を持つ。

セキュリティ機器やセキュリティソフトを導入しても、完璧というわけではありません。悪意ある者に破られてしまう可能性を認識することが求められます。大切なのは、危機に対応できる組織体制を整え、実際に人が迅速に行動することです。

・危機管理の基本は、社長が逃げないこと。

情報漏洩に限らず、企業不祥事において、傷口が拡大していくのは、社長が責任を回避して担当者任せにする場合です。社長が矢面に立ち、先頭を切って全社的に対応する姿勢を示さなければ、危機管理は機能しません。

メールマガジンの登録ページです

3 情報漏洩の個人情報保護法上の影響

 個人情報保護法(以下「法」)では、基本的に、法律違反に対しては個人情報保護委員会による行政的な監督で対処することになっており、いきなり処罰されるというわけではありません。

個人情報保護委員会による監督と罰則について、例えば、個人情報保護委員会による監督を報告及び立入検査から指導及び助言に進むなど、チャート形式で分かりやすく説明した画像です。

 管理ミスによる漏洩の場合は、法第20条(安全管理措置を講ずる義務)の違反となります。また、働いている従業員や役員、派遣社員の漏洩行為による場合は、法第21条(従業者の監督義務)の違反となることがあります。この他、情報処理等を委託した先から漏洩した場合は、法第22条(委託先の監督義務)の違反となることがあります。

 これらの義務違反が認められる場合は、個人情報保護委員会が監督権限を行使して、事業者に報告を求めたり(法第40条)、違反を是正するために必要な措置をとるべき旨を勧告することがあります(法第42条第1項。なお、勧告したことは公表されます)。

 勧告に従わない場合や重大事案の場合、個人情報保護委員会は、違反の是正等の命令を出すことができます(法第42条第2項および第3項)。

 なお、顧客データベース等を不正に漏洩した場合は、「個人情報データベース等不正提供罪」(1年以下の懲役または50万円以下の罰金)に処せられることがあります(法第83条)。ただし、個人情報保護法の罰則の対象は「故意犯」だけであり、不注意で漏洩事故を起こしたとしても、いきなり処罰されることはありません。

 このように、しっかり対応さえしていれば、法的な罰則を恐れることはありません。個人情報を保護する強い姿勢を基本とし、組織的、人的、物理的、技術的の4つの側面から安全管理措置を図っていきましょう。次回は、4つの安全管理措置の概要と押さえておくべきポイントを紹介します。

連載個人情報保護への対応

以下の記事もあわせてご覧ください。

以上

※上記内容は、本文中に特別な断りがない限り、2018年5月14日時点のものであり、将来変更される可能性があります。

※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。

【電子メールでのお問い合わせ先】 inquiry01@jim.jp

(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト http://www.jim.jp/company/をご覧ください)

執筆:弁護士 坂東利国
<経歴>
1989年 千葉県立千葉高校卒業
1994年 慶應義塾大学法学部法律学科卒業
2001年 司法試験合格
2003年 弁護士登録(東京弁護士会・登録番号30894)
<所属・役職>
日本労働法学会所属
日本CSR普及協会所属
日本スポーツ法学会所属
東京商工会議所専門相談員(2007年~2009年、2011年~2012年)
渋谷駅周辺地域ICT活用検討協議会法律顧問(2014年)
三浦市ICT活用検討協議会法律顧問(2015年)

RECOMMENDATION

オススメの記事