13 コンプライアンス, 情報セキュリティ, 個人情報保護法, その他

事案の概要

今年7月に発覚したベネッセHD傘下のベネッセコーポレーションによる顧客情報漏洩問題は、当初発表された個人情報約760万件の流出から大幅に増え、最大約2070万件に及ぶ情報の流出が明らかとなっており、過去最大規模の情報流出・漏洩事件となった。

ベネッセは顧客情報に関するデータベースの運用や保守管理を岡山市に本社があるグループ企業「シンフォーム」に委託していた。同社はこうした業務をさらに複数の外部業者に分散して再委託しており、今回シンフォーム東京支社の派遣社員であるシステムエンジニア（SE）が不正競争防止法違反（営業秘密複製）容疑で逮捕されている。

ベネッセHDの原田泳幸会長兼社長は「深くお詫びするとともに、1日も早い信頼回復に務めたい」と謝罪し、「お客様にご迷惑とご心配をかけている加害者であることは明確」と認め、情報管理体制の見直しや、社員や関係各社のスタッフも含めた意識改革などに取り組んでいく考えを示した（関連サイト①参照）。
再発防止策としては、弁護士や外部の専門家を交えた「個人情報漏えい事故調査委員会」を発足させ、事実関係の解明、警察の捜査への協力に努めるとしている。
そして、顧客への対応としては、ⅰ）「お客様本部」（仮称）の発足、ⅱ）金銭的補償の2つを進めるとしている。「お客様本部」は不審なDMや電話あった場合に情報提供する窓口として開設し、不正に取得した名簿が使われていることが分かった場合は、発信者に対し利用停止と提出を呼びかける。また、金銭補償の原資として200億円を準備し、お詫びの品や金券で対応する予定としている。

一方、この大規模な情報漏洩事件を受け、経済産業省はベネッセコーポレーションに対し、個人情報保護法に基づく報告徴収を要請するとともに、学習塾や通信販売などの業界3団体に対し、再発防止などを要請した。茂木敏充経産相は、「委託先事業者を含めて情報管理を徹底させることが重要」と述べている。

そして、経済産業省は、個人情報保護法の「経済産業分野を対象とするガイドライン」の指針（関連サイト②参照）を10月にも改正する。この指針は個人情報を安全に扱うために企業がとる対策例を定めている。改正により、企業が情報管理を頼んだ委託先で実際に顧客情報を取り扱う人物や、情報が流出したときの損害賠償責任を契約書に明記するよう求め、個人情報にアクセスした形跡を定期的に監視することや、個人情報を取り扱う部屋をカメラで監視することも求める予定だ。

さらに経産省は、所管する独立行政法人の情報処理推進機構（IPA）がつくる指針も9月をめどに改正する。この指針は組織内部からの不正流出を防ぐ対策を定めており、個人情報を保存しているパソコンにUSBメモリーなどをつないでも、情報を抜き取られないような対策を企業に求めるとする。

今回、ベネッセの情報漏洩事件を受け、少子化が進む中で子どもに関する名簿が「宝の山」として教育産業で取引されている実態が明らかとなった。平成17年に個人情報保護法が全面施行されるとともに個人情報への意識が高まり、学校現場では名簿の配布が自粛されるようになった。加えて、それまで重要な情報入手ルートだった住民基本台帳の閲覧も、営利目的ではできなくなり、子供の情報を扱った名簿の市場価値は高騰している。

このような状況下では、早急に情報管理の徹底・強化がなされなければならない。特に教育産業における塾などの中小零細事業者は情報管理対策が遅れがちであり、個人情報保護が徹底されているか注視する必要がある。また、今回の事件はベネッセの委託先が再委託した業者から情報が漏れており、委託先の従業員を含め末端まで管理を徹底できるかが問われる。

個人情報漏洩による損害としては、まず、個人情報保護法による刑事罰や一人あたり数千円の民事損害賠償に止まらず、信用低下による新規受注減や取引停止などの可能性、システム復旧へのコスト増、殺到する問い合わせへの対処による業務効率低下など、企業にとって間接的な損害も大きいことを今一度認識する必要がある。

今回、経産省の指針改正はより企業の情報管理の強化を促すものであり、企業としては、個人情報管理の再委託を廃止したり、情報流出が生じた場合の損害賠償責任を委託先との契約書に明記したりするなど指針に沿った組織的な情報管理体制の見直しが求められている。そして、今後企業の情報漏洩を防ぐには、これらの強化策を実効的なものとしなければならない。そのためには、中小企業あるいは業務委託先についても指針の周知徹底に努める必要があり、情報管理が指針に沿ってなされているかについて統一的な監督権限を行使できる第三者機関を設けることも検討されるべきであろう。