- 2009年4月19日 21:00
- 情報
今月の初めに、三菱UFJ証券のシステム部の部長代理がほぼ全ての顧客の個人情報を一枚CDに焼いて社外に持ち出し、一部のデータを名簿業者に売却した事件が発生した。
2005年に個人情報保護法が完全施行され、半年間で5,000件を超えて個人情報を保有する者は個人情報取扱事業者となり、個人情報保護法上も個人情報の厳格な管理・運用が求められるようになった。今回の事件の場合は、個人情報を管理・保護すべき立場の役職者により情報が不正に持出され、業者に売却されるという意図的、計画的な事件である。
報道によれば、今回の事件は他人のアクセス権限を入手し、その人に成りすまして個人情報を取出し、そのデータをもとに別の部門の者に偽りの目的を告げてCDに焼かせ、そのCDデータを名簿業者に売却するといった事件である。
今回の事件を経緯として、三菱UFJ証券は個人情報保護の体制を見直すと報道されているが、個人情報保護の仕組みの見直しだけでは実効性はあがらないのではないかと思う。社員クラスの事件であれば、アクセスできる範囲を制限する、個人情報にアクセスした者のログを監視する、媒体の持込を禁止する、監視カメラを設置するなど、ある程度物理的な安全対策の見直しで一定の効果が得られるものと思われるが、企業のマネジメント職クラスの場合には業務執行面で必要なデータへのアクセスは様々あり、これらを物理的な安全対策の見直しにより対処するといったことだけでは、効果は薄いと云わざる得ない。
個人の所得情報や資産情報を預かる金融業者として、このような稚拙な事件を二度と起さないためには、物理的安全対策に偏らず、企業倫理の醸成、組織風土の継続的改善など組織力の改善を併せて行っていくことが必要であろう。
既に、今回の事件を経緯として三菱UGJ証券との取引を停止した企業も現れており、経営上の打撃が生じつつあるとの報道もあり、今回の事件は多くの企業において対岸の火事とせず、これを機会に自社の個人情報の管理態勢を見直してみては如何なものかと思う次第である。
参考
"個人情報保護法" http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
"プライバシーマーク制度" http://privacymark.jp/privacy_mark/about/index.html
- Newer: 2009.4.26 個人情報は盗まれ損なのでしょうか?
- Older: 2009.4.12 地球に優しい環境対策を身近に経験しました