個人情報と企業の在り方
2014/12/05   コンプライアンス, 情報セキュリティ, 個人情報保護法, IT

事案の概要

12月4日GMOグループのお名前.comは、12月4日17時30分頃に配信したメールマガジンについて、同社の作業上のミスにより、本文内に他の会員の「法人名または名字(姓)」「ドメイン名」「会員ID」が記載され配信していることが発覚した旨を公表し謝罪した。対象は16万4650件に当たるとしている。
特にドメイン名は、whois情報(ドメイン使用者の住所や電話番号等の登録情報）の検索により、個人の特定が可能な場合があり、波紋を呼んでいる。

個人情報の管理責任

法律上、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。（個人情報の保護に関する法律（以下、「個人情報保護法」という）2条1項）。
そして、お名前.comのように個人情報データベース等を事業の用に供している企業は、個人情報の漏えい等につき安全管理措置を講じる義務を負う（個人情報保護法20条、ガイドライン11条1項）。義務違反を放置した場合には、主務大臣の是正勧告・命令等（個人情報保護法34条）が行われ、罰則（個人情報保護法56条）が課される可能性もある。

コメント

今回の場合、GMO側はすみやかに対応しており、主務大臣の是正勧告・命令等が行われる可能性は低い。
また、損害賠償訴訟についても提起される恐れは低いと予想される。なぜなら、会員の住所、電話番号といった個人情報の特定とドメインの流出との因果関係の認定は困難だからである。さらに、会員各自の請求額も判例に照らすと良くて数万円程度と考えられ、費用や手間を考えると訴訟に発展する可能性は低いものと思われる。
しかし、企業にとって、個人情報の流出は、当該企業の価値を著しく下げるものであり、事業の存続を左右しかねない重大な事件である。特に本件はハッキング等によるものではなく、作業上のミスといった初歩的なものであった。このような事態を避けるためには、個人情報保護方針を策定、公表の上、社内監査体制を強化したコンプライアンスを構築すべきであろう。