ベネッセ、ジャストシステムの個人情報漏洩に見る企業のリスクマネジメント軽視の危うさ

関東では台風が近づいており、非常に風が強く吹いています。
リスクマネジメントの対象の一つである台風ですが、皆様対策はいかがでしょうか。

さて、今回は自然災害ではなくコンプライアンス、個人情報のお話になります。
今回もかなり企業のリスクマネジメントがお粗末であることが露呈した一件になってしまいました。
ともに東証1部上場という、日本のトップクラスの企業が起こした事件ということで、日本の株式市場の信用自体に疑問符がついてしまったように思います。

まず個人情報を漏洩したベネッセですが、原因はまだはっきりとはしていない模様です(平成26年7月10日現在)。
これに関しては、早急な原因究明と対策が望まれるところです。
1日経過した時点でまだ原因が特定できないのもいかがなものかとは思いますが、これは確証が得られなければ難しいと思いますので、一日も早く究明していただきたいものです。

ただ、同社の場合、「お客様情報の漏えいについてお詫びとご説明」等を見る限り、外部委託をした先からの流出であることが強調されていたように感じました。
記者会見の報道でも同じような印象を受けました。

これは、委託先の責任であり自分達の責任ではありませんということを意図するものだとすると結構問題です。
個人情報保護法では委託先の管理責任は元の会社にあることになっているからです。
実際、当該説明文書ではそのように読めなくはありません。

(委託先の監督)
第二十二条   個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
プライバシーマークの使用許諾(以下「取得」と呼びます。)も受けているようなので、経営者もプライバシーマネジメントシステム(以下「PMS」といいます。)をよくご存知のはずです。
当然、先の「お客様情報の漏えいについてお詫びとご説明」も経営者のチェックを受けていなければいけないはずです。
そうすると、経営者が規程を理解しているのか、少々気になるところです。

また、当該説明書を見る限り、あまり実効性があるようには思えません。
挙げられている対策案は、そのほとんどがプライバシーマークやISMSの取得に際し行っていなければならないことで、すでに実施されているはずのものだからです。
具体性に欠けるところもよろしくないですね。

7月10日のNHKの報道によると、以前から流出が指摘されていたとのことで、そもそも個人情報漏えいに対する取り組みが甘いのではないかという懸念もあります。
これも事実であれば、非常に由々しき問題といえるでしょう。

さて、もう一方のジャストシステムですが、こちらはもっとひどそうです。
こちらもプライバシーマーク取得事業者のようです。

こちらはDMを出すために名簿業者から個人情報を購入したといわれています。
日経をはじめとした新聞報道からはそのように読み取れるので、そうなのでしょう。

また、違法取得したものとは知らなかったということも書かれていました。
最終的には適法に取得したものだから問題ないという趣旨でした。
本当にそうでしょうか。
(利用目的の特定)
第十五条  個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
これらの条文を見ればわかるとおり、まず本人の同意を得ないで個人情報を取得することは法令で禁止されています。
プライバシーマークは個人情報保護法より厳しい規定を置いており、本人同意は当然のこと、その取得について書面で管理者の許可をとる仕組みになっています。

このような大手企業では、大抵プライバシーマーク審査員補の講習を受講した担当者を設置しているはずで、彼らはこの講習で耳にたこが出来るほど名簿業者から買うなといわれています。
それが守られず、名簿業者から適法取得云々という発言が出るのですから、何をかいわんや、です。

これは、社内にPMSがないといっているようなものです。
このような場合、多くは経営者が勝手な判断を下しているか、見て見ぬフリをしているかのどちらかだからです。
なぜこのような会社にプライバシーマークが取得できたのかが不思議なくらいです。

この2社に共通しているのは、経営者のリスクマネジメント感覚の欠落です。
違反を起こしたらどうなるのか、考えていないとしかいえないでしょう。
株式市場は敏感に反応したようで、株価はどちらも急落しています。

今はこのような不祥事一つで会社が危機に陥る時代です。
このようなことが無いよう、まずは経営者がリスクマネジメントに関する意識をしっかり持つ必要があるでしょう。

最後に余談ではありますが、プライバシーマークの使用許諾をしているJIPDECはこの2社をどう処分するのでしょうか。
処分しなかったら、プライバシーマークの信用にも関わるように思うのですが・・・
こちらも興味のあるところです。

関連記事