CONTENTS MENU
HOME » お役立ち情報 » 【コラム 第2回】個人情報が流出・漏えいしたら?企業が抱えるリスクと個人情報保護の必要性

お役立ち情報

<< お役立ち情報一覧へ戻る

【コラム 第2回】個人情報が流出・漏えいしたら?企業が抱えるリスクと個人情報保護の必要性2015.09.11

個人情報が流出・漏洩したら?企業が抱えるリスクと個人情報保護の必要性
 

前回はプライバシーマーク(Pマーク)制度がマイナンバー制度の対応につながることをお伝えしました。今回は個人情報が漏えいした場合のリスクと、漏えいを防止する対策についてご紹介します。

大量の個人情報のデータ管理・運用が容易になった昨今、一度の事件・事故によって数百万件もの個人情報が漏えいしたというニュースが後を絶ちません。
データ管理されている個人情報は複製が容易であり、一度第三者に渡ってしまうと取り戻すことは非常に難しいでしょう。したがって、事業者のしっかりとしたセキュリティ対策と個人情報の取り扱い手順の確立が必要不可欠です。

 
 

過去の個人情報の漏えい事件

最近の大きな漏えい事件としては、2件挙げられます。一つは、通信教育を中心に事業展開する大手通信教育会社の個人情報漏えい事件です。
この企業が保有していた、数千万件を超える顧客の氏名や住所、電話番号などの個人情報が漏えいし、大きなニュースとなりました。この事件によってこの企業は数百億円以上の慰謝料等の支払いで大きな損失を被り、取締役2名が引責辞任しました。
この事件はアクセスログを取得していたため犯人の特定に時間はかかりませんでしたが、アクセスログの「分析」を怠っていたため、事件の「兆候」に気づく機会を逃していました

もう一つは、125万件もの個人情報を漏えいした日本年金機構の事件です。
この事件は職員に届いたメールから感染が始まりました。メールに届いたウイルスが新種のため、ウイルスソフトで検知できなかったこともありますが、「メールの不審な添付ファイルは開かない」という個人情報保護の基本方針が徹底されていませんでした。
また、原則保存してはいけない領域(サーバ)に個人情報を保存しない、保存せざるを得ない場合は暗号化するルールがあったにも関わらず、大部分の職員が定められた運用ルールに従っていなかったため、被害を拡大させてしまいました。

上記で挙げた個人情報の漏えいは大規模な組織だけに起こり得るものではありません。事故は従業員の不注意やセキュリティに対する意識の欠如から起こるものなので、組織の大小は関係なく、メール1通、FAX1回の送信ミスから大きな事故へと発展してしまう可能性も十分考えられます。

 
 

事業者側に生じる損失

事業者側に生じる損失

個人情報の漏えいが起きた場合、賠償金だけでなく漏えいの原因究明や再発防止の対策にも多くの費用が必要になります。
個人情報漏えいの損害賠償額については、1人あたり数千円~数万円程度となる場合が多く、仮に1万件の個人情報が漏えいし、1人あたり5千円の賠償をすると、それだけで5千万円の損害になります(もし商品券等を送る場合、さらに送料や人的コストも発生します)

何よりも個人情報漏えいは事業者としてのイメージを損ない、社会的信頼を失います。また、損なわれたイメージは簡単には回復できず、顧客・取引先からの信用を失い全社的な業績ダウンにつながります。

大手通信教育会社の場合、個人情報漏えい事件によって数十万人の会員減少、上場以来初の赤字転落となり、プライバシーマークも取り消されました。
後者の個人情報漏えい事件は日本年金機構への不信を招き、また、マイナンバー制度に対するセキュリティ対策が十分なのか、自治体・事業者への不安を増大させました。

今後は前記事でも触れたマイナンバー制度施行に伴い、法的な罰則も強化されます。個人情報保護法では違反があると是正勧告を受けるだけでしたが、マイナンバー制度施行後は故意に行われた不正には直接刑事罰が科せられます。
そのため、個人情報の適切な取り扱いについて「知らなかった」では済まされません。事業者全体で個人情報に対する意識を高く持ちながら事業を行う必要があります。

罰則例:
個人番号利用事務等に従事する者が、正当な理由なく、特定個人情報ファイルを提供した場合、4年以下の懲役、または2百万円以下の罰金、または併科。

 
 

個人情報漏えい後の対応と今後の対策

情報漏えいを起こしてしまった場合は、迅速に関係各所への報告、場合によっては対外的に公表し原因究明の調査を行う、今後の対応策や再発防止策を決める等の対応が求められます。また、そもそもこのような事態が起こる前に、個人情報を漏えいさせないようにするための社内の教育、体制管理の構築が必要です。

プライバシーマーク(Pマーク)を取得することで、特定個人情報(※個人番号が記載された源泉徴収票の書類等、個人番号を含む個人情報)の適正な取り扱いを確保する規程や手順の策定から運用、チェックし続ける体制を整えることができるようになります。
また、プライバシーマークは取得後も2年間毎に更新の審査を受ける必要があり、個人情報保護体制を継続的に維持・改善するのに役立ちます。さらに、個人情報の取り扱いに関する周知徹底や意識向上のための社内研修を行わなければならず、定期的に社員教育を行う仕組みとして活用することも可能です。

 
 

第2回のまとめ

プライバシーマーク(Pマーク)の取得は、個人情報に対する管理体制の強化や社員意識向上のための有効な手段です。本記事で取り挙げた実例にもあるように、情報漏えいは事業者に多大な損失をもたらします。経済的損失だけならまだしも、社会的信用が損なわれてしまうと、事業活動の継続が困難となる可能性もあります。

大規模な個人情報漏えい事件が発生し、世間の事業者に対する「情報セキュリティ体制」の要求は日増しに高まっています。また、マイナンバー制度の実施後は罰則も強化され、事業者に求められる責任も重くなります。
個人情報漏えいという最悪の事態を防ぐ手段の一つとして、プライバシーマークの取得を検討されてみてはいかがでしょうか。

【コラム 第3回】プライバシーマーク(Pマーク)取得のメリット を読む

<< お役立ち情報一覧へ戻る

Pマーク・ISO認証取得に関する相談窓口 0120-641-999