個人情報の漏洩事故事例の概観と対策のポイント
【関連カテゴリー】

4月1日の個人情報保護法全面施行以後、個人情報に関する事故が多発しています。
なぜ個人情報漏洩事故がこれほどまでに喧伝されるのでしょうか。
個人情報には人には知られたくないプライバシーに関するものも多く含まれます。氏名、住所、電話番号から、資産、年収、経歴、病歴にいたるまでいろいろありますが、他人に知られたくないことが知られれば、個人は精神的損害を被ります。もちろん情報の性質によって精神的損害の軽重は異なります。それは法律的に見れば慰謝料額に反映されることになります。
また、近時は、個人情報が犯罪の温床になっていることが問題といえます。巧妙ではあるが、ある意味原始的な「振り込め詐欺」から、システムの間隙を付いた、クレジットカードの不正利用まで犯罪は多種多様ですが、結果的に個人が財産的被害を被ることも少なくありません。このような点で近時、特に個人情報の重要性が増しているといえます。

個人情報に関する事故を概観すると次のような特徴のある事例が挙げられます。
第一に単純な紛失事例です。
特に金融機関の顧客情報紛失事例が多数報告されています。大手銀行、地方銀行、信用金庫等を合わせると350万人分を超えるとされています。このうち、128万人分が紛失したみちのく銀行は、個人データの安全管理を徹底するよう金融庁から個人情報保護法に基づく初の勧告を受けました。これらは個人情報の洗い出し、特定の作業の中で判明したものかもしれません。
金融機関の多くは外部流出のおそれはないとしていますが、皆無であるとはいえないでしょう。

第二に盗難事例です。
報道されている事例の中で多く見られるのは、仕事のため個人情報の入ったパソコンを自宅で使っていたところ、これが盗難にあったというものです。中にはガン患者の情報が入ったパソコンが医師の自宅から盗まれたという事例も報道されています。
第一、第二の事例を防ぐためには、個人情報の取り扱いに関する社内規程を整備し、その目的、内容を役員、社員に教育、徹底することが肝要です。かかる事例では、社員などにいわゆる悪意はありません。ただ、社内のルールが不十分だったり、個人情報保護に関する意識が希薄だったりすることから起こるものです。まずはルールを作ること、そして、それを社内全員に納得がいくような形で徹底することが重要です。もちろん、情報処理を外部に委託している場合は、そこで紛失、盗難が起きる場合がありうるので、委託先と個人情報保護に関する契約を取り交わし、監督することも必要です。

第三は、社内あるいは外部委託先の人間が、いわゆる悪意をもって、漏洩又は不正利用したという事例です。近時の例では、パソコン教室の社員が受講生のクレジットカード情報が入ったファイルを個人情報売買業者にメールで送信していたという事件が目に付きます。その結果カードの不正利用が行われています。
これを防止するには、社員又は外部委託先と事前に契約書ないし誓約書を交わしておき、そこに一定のペナルティを記載しておくこと、個人情報へアクセスできる権限ある者を限定し、できる限り、だれがいつアクセスしたかを記録できる体制をとっておくこと、いざ(故意による)不正利用があった場合には、必罰の姿勢で臨むことが重要だと思います。
以上、第一~第三の事例が事故の相当割合を占めますので、上記のポイントを重視して対策をとれば、相当程度事故は防げると思われます。

問題は、第四の事例で、これは外部からの不正アクセスによる事故です。アメリカのクレジットカード会社の委託先から4000万人分もの情報が流出した事例、留学生が旅行会社などのコンピューターサーバーに不正侵入し、52万人分もの情報を盗み、不正アクセス禁止法違反の疑いで逮捕された事例がそうです。
これに対処するには、アクセス制御、不正ソフトウエア対策など技術的安全管理措置を取ることが必要です。取り扱う個人情報の質量、又は企業の規模によっても取るべき対策のレベルは変わってくるでしょうが、場合により多大なコストをかけなければなりません。システム面でのセキュリティー対策を請け負う企業も増えてきているようですので、そのようなサービスを依頼するかも検討課題となるでしょう。

なお、企業が取るべき又は取るのが望ましい措置は、経済産業省のガイドラインに「安全管理措置」としてまとめられています。上記のポイントに留意しつつ、ガイドラインを一覧されることをお勧めします。