お詫びのお知らせが届く前に、企業が準備すべきこと(前編)

呉井嬢次(Johji Kurei) 2005-05-30 12:35:00

 個人情報保護法が施行されて初めての勧告が、個人情報を紛失したみちのく銀行に対して行われた。取引先が個人情報に関するトラブルを起こした場合、企業は何をすべきなのだろうか。

 みちのく銀行への勧告は、情報セキュリティーが高いと言われている金融機関であっても、例外ではないことを明らかにした。ただ、今年3月に、みずほ銀行が個人情報の紛失をウェブで公表している。しかし法律施行前なので、勧告は受けなかった。みちのく銀行は、個人情報保護法が施行された直後に発覚し、勧告第一号となったのである。これはある意味で、最悪のタイミングだ。それでも、業務に支障がでる営業停止ではなく、まず勧告される点ではラッキーだったといえよう。同行は、顧客情報管理態勢の確立に向けて動き出しているし、個人顧客、取引先には直接の影響は表れていないからだ。

 みちのく銀行「法令等遵守態勢及び経営管理態勢の確立・強化に関する業務改善命令ならびに個人情報保護に関する勧告措置の受命について」

http://www.michinokubank.co.jp/news_release/20050520_pdf/20050520.pdf

 みずほ銀行「お客さま情報の紛失について」

http://www.mizuhobank.co.jp/company/release/2005/pdf/news050330.pdf

個人と企業で対応は異なる

 個人情報の紛失、漏えいが頻発する組織はどうなるのだろうか。ここで重要なことは、個人と企業で対処方法が異なってくることだ。個人の場合は、サービスを競合する取引先に乗り換えていく。しかし、企業は違う。取引先でトラブルが発生した場合、過去の取引実績、サービスの継続性から、簡単に取引を停止、変更することは難しい。取引先に対して、契約書に定められていない改善要求をしても、その義務はない。トラブルを頻発する企業に対して、どのような手段を企業は準備しておくべきなのか。これが問題だ。個人情報保護法対策を終えた企業が、次に注目するのはココだろう。

予防策だけでは不十分な個人情報保護対策

 個人情報保護法施行にむけて、多くの企業では、予防的な処置が取られた。「個人情報保護指針(プライバシーポリシー)」を策定し、プライバシーマークなどの認証マークを取得する企業も相次いだ。また、省庁のガイドラインを参考にして、個人情報保護の責任者を任命した。それでも個人情報が漏えいし、企業にはお詫びの連絡が舞い込んでいる。

 最近では、情報セキュリティマネジメントシステム(ISMS)の認証取得の審査業務を行っている財団法人が、パソコンを紛失して、内部に格納された個人情報が紛失するトラブルが発生している。ISMS認証取得事業者数が800を超えた現在、取得事業者を審査する審査登録機関への管理態勢の強化、認定機関である財団法人日本情報処理開発協会(JIPDEC)の対応や結果の公開を注目したい。何故なら、ISMS認証登録機関の事故であるからで、単純に誤れば済む問題ではない。予防策はもちろん、再発防止を確実にする是正処置が必要なことをISMS認証基準で求めているのだから。

==ここから==

                  2005年5月20日

○○ 様

                財団法人○○○○保証機構

                 個人情報保護管理責任者

                 ○○○○

 

          お詫びとお知らせ

 平素は格別のご高配を賜り、厚くお礼申し上げます。

 弊機構において個人情報のデータを紛失いたしましたことをお知らせいたします。

 紛失しました個人データは、お客様や契約先様のメールアドレス46件で、その中に貴殿のメールアドレスが含まれております。

 多大なご心配とご迷惑をおかけすることになりましたことを、心よりお詫び申し上げます。

 本来なら訪問してご説明をさせていただくべきところですが、取り急ぎメールにてご連絡させていただきますので、何卒よろしくお願いいたします。

 紛失の経緯は、5月11日、弊機構の職員が、出張先のドイツケルン市にて携行した業務用ノート型パソコン1台が入ったバックを紛失し、そのパソコンに貴殿のメールアドレスが記録されていたものです。調査に努めるとともにケルン市警察署には盗難届けを提出いたしましたが発見に至っておりません。

 本件に関連して何らかの事態が発生した場合には、至急ご連絡をいただきますようお願い申し上げます。

 弊機構では、再発防止に精一杯取り組んで参りますので、何卒ご理解の程よろしくお願い申し上げます。

<本件に関するお問合せは下記までお願いいたします。>

財団法人○○○○保証機構

個人情報保護管理責任者

--以下(略)--

==ここまで=

 

後半は、実際に事故を想定して、いろいろ準備している企業の事例を取上げる。

 

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR