先週に続いて、最近起きた個人情報の流出事件について私見を述べてみたい。
今回、三菱UFJ証券でほぼ全ての顧客データが社員によって盗まれた事件が発生したことは皆様ご存知のところです。
今の法律では、会社の資産(データを焼いたCD等)を使用して、それを持ち出せば会社の資産を横領したことになり、窃盗として刑事罰を科すことができるものの、今回のように会社の資産を使用しても返却してしまうと、本来の目的である個人情報を盗んでも現行の刑法では処罰できない。そのため、警察は他人のID、パスワードの使用に着眼して「不正アクセス防止法」を適用し捜査せざる得ないといっている。
「個人情報保護法」が施行されたことにより、巷では「学校の同窓会名簿の発行廃止されたり、生徒の連絡網の名簿作りが廃止されるなど」、個人情報に関する認識が劇的に変わっているにもかかわらず、センシティブ情報を扱う事業者からこれだけ大量の情報が流失したにもかかわらず、盗んだ本人には直接的な刑罰を科すことができないという現行の法体制は大きな不備があるのではないかと思っているのは私一人でしょうか。
現行法で個人情報を保管している個人情報取扱事業者より盗まれた「個人情報」に関して、その事業者が被害届けを出すことが難しければ、流出した情報は特定出来ているので「その個人情報の本来の所有者である情報主体者」が被害届けを出すことで、窃盗事件として扱うといったことを一考できないだろうか。
いずれにしても、組織がきっちりとした個人情報保護の仕組みを整備し、運用するのは当然としても、今回の事件のような意図を持って個人情報を盗み、他人に譲渡するような行為は、法律によって直接的に罰することが出来るよう早急な法の整備をすべきものと云いたい。
- Newer: 2009.5.3 豚インフルエンザと危機管理
- Older: 2009.04.19 三菱UFJ証券の個人情報流失事件から