【相次ぐ個人情報流出事件】
「ソフトバンクBB」の運営するADSLサービス「ヤフーBB」から流出した約460万人分の顧客情報を親会社のソフトバンクに示し、現金数十億円を恐喝しようとしたとして政治団体の元代表らが逮捕・起訴されました。
3月22日には同じくADSL大手でアッカ・ネットワークス(筆頭株主はNTTコミュニケーションズ)からも201人分の顧客情報が流出したことが判明しました。
また、テレビショッピングで有名な「ジャパネットたかた」からも約66万人分の顧客情報が流失したとして、社長はテレビ・ラジオ番組の放送の一時自粛を決定しました。
そのほかにも、近時、ローソン(流出規模56万人)、ファミリーマート(同18万人)、三洋信販(同最大200万人)など大規模な個人情報流出事件が頻発しています。
ヤフーBB事件で被告らは顧客情報の入ったDVDを所持しており、内部の協力者から入手した可能性があるとされています。
このように膨大な個人情報が高速インターネットやディスクを通じて極めて簡単に外部に流出する危険が高まっています。
【なぜ個人情報が保護されなければならないか】
そもそも、個人に関する情報には他人に知られたくないものが含まれていますが、何をもって他人に知られたくないとするのかは個々人によって違います。
そのため、自分に関する情報は個々人がコントロールできなければならず、その人の意思を離れて、情報が独り歩きすることは避けなければなりません。
他方で、企業にとっては、現在の顧客に関する情報は必然的に企業内に蓄積されますし、現在のみならず、アンケートなどで将来顧客になりうる個人に関する情報を得ておくことは、経営戦略上役立つものです。
ところが、一旦、顧客情報が流出してしまうと企業の信用力、ブランドの低下につながり、また個人から損害賠償請求を受けるリスクが高まります。
ヤフーBBの例では、情報が漏れた顧客全員に「おわび」として500円相当の金券を送ることとしましたが、これにかかる費用は郵送費も合わせて40億円を超えるといわれています。
【個人情報保護法で企業に求められる責任】
そこで、個人情報流通に関するルール整備を目指す「個人情報の保護に関する法律」が昨年5月に公布され、平成17年4月1日に施行されることが決まっています。
企業は顧客などから個人情報を入手するときは、その情報をどのような目的で利用するのかを特定して示さなければならず、企業は、本人の同意なしにはその目的以外にその情報を利用してはいけません。
そして、企業は個人情報が漏えいしないよう安全管理措置を講じることが義務付けられており、保有する個人情報を本人の同意なしに第三者に提供することも一定の場合を除いて禁止されています。
さらに企業が入手した個人情報をデータベース化している場合には、本人からその情報を開示するように求められた場合にはこれに応じなければならず、また訂正、追加、削除を求められた場合には必要な調査をしたうえで適切な措置を取らなければなりません。
なお、個人情報を過去6ヶ月の間5000件以上保有していない企業については、この法律による厳しい義務付けはされません。
【違反した場合には、罰則も】
企業がこれらの義務を怠った場合には、監督官庁の大臣から是正措置をとるよう勧告または命令を受けることとなっており、さらに命令に違反した場合には、違反行為をした代表者や従業員が6か月以下の懲役または30万円以下の罰金刑が課されるほか、法人にも同額の罰金刑が課されます。
【ガイドラインに依拠した具体的体制の整備へ】
企業は来年4月の法律施行に向けて社内の個人情報保護体制の整備を迫られていますが、膨大な事務が要求され、個人情報保護法の条文だけでは企業が具体的にどのような措置を取ればよいか不明な点が多いところです。
現在のところ、データ化すべき情報の洗い出しから着手し、情報取得・管理の方法についての検討が重ねられています。
3月25日には、国民生活審議会が、個人情報保護のために企業や国、地方自治体がとるべき対策を示した基本方針を総理大臣に答申しました。
これによると、個人情報管理の責任者の設置など管理体制の強化、従業員への教育研修、情報漏えいが判明した際の事実関係の公表などを企業に要求しています。
今後は省庁別にガイドラインの策定が予定されており、経済産業省は4月にもガイドラインを公表する方針とのことです。
企業としては、これら政府のガイドラインやその後に公表される見込みの業界団体によるガイドラインに基づいて、個人情報管理体制をより具体化していくことが迫られています。
