事例で検証する最新コンプライアンス問題
【第1回】
「顧客情報流出事件-教育事業会社の場合」
弁護士 原 正雄
は じ め に
コンプライアンスの中心課題は、お客様からの信頼、期待に応えることである。お客様の信頼、期待の一つに、顧客情報を守ってほしいというものがある。
ところが、近時、極めて大規模な顧客情報流出事件が発生した。
そこで、以下、同事件を題材に、個人情報を保有するリスクを述べるとともに、危機発生時にどのように対応すべきかを論述したい。
1 事件の公表
大手教育事業会社B社は、2014年7月9日、お客様情報が約 760 万件、外部に漏えいしたこと、場合によっては約 2,070 万件に及ぶ可能性があることを公表した。
流出した情報の多くは、子ども向け教材に関するものである。世帯ごとに1件とカウントしているため、場合によっては、被害者が4,000万人以上となる可能性さえある。
個人情報の流出事件としては、過去最大級のものである。
2 情報流出の経路
B社は、2010年、サービスごとに分かれていた顧客情報のデータベースを統合した。その結果、情報件数が100万件単位から1,000万件単位となった。
B社は、データベースの保守管理を、グループ内のS社に委託していた。委託先のS社は、さらに外部業者に再委託し、その外部業者にデータベースへのアクセス権限を付与していた。
その外部業者の派遣社員が、2013年末、B社のデータベースに不正アクセスし、顧客情報を大量にコピーして持ち出したとのことである。
3 B社の対応
B社の社長は、7月9日の記者会見で「持ち出したのは当社グループ社員ではない」と説明した。他方で、警察の捜査に支障が出る可能性があるため、詳細については開示を控えるとした。
おそらく、この時点で、再委託先の外部業者の派遣社員が疑わしいことを事実上把握していたのだろう。
ただし、グループ内か、グループ外かは、被害者である情報対象者からすると全く問題にならない。個人情報保護法は、個人情報の取扱いを外部に委託する場合、委託者に管理監督責任がある旨を明示している(同法22条)。
言ってみれば、流出の犯人がグループ外の再委託先であるということは、内々の事情にすぎない。外部への情報開示の場である記者会見において「持ち出したのは当社グループ社員ではない」と主張することは、本来、許されない。
B社は、委託先S社がISMS(情報セキュリティマネージメントシステム)を取得していることを指摘している。確かに、委託先がISMSを取得していることは重要な要素かもしれない。しかし、その事実をもって、委託元の管理監督責任が免責されるわけではない。
委託先から情報が流出した事案は、過去多数存在する。特に、個人情報が再委託される場合には、委託元が、再委託先の管理監督体制についても確認する必要がある。例えば、本件では、再委託先の派遣社員にデータベースへのアクセス権限が付与されていた。委託元であるB社は、本来、こうした事態も把握し、是正すべきであった。
4 流出した情報の内容
今回の事件で流出した顧客情報は、郵便番号、氏名(親子)、住所、電話番号、生年月日、性別などとのことである。
B社は、7月9日の記者会見の時点では「クレジットカード番号・有効期限、金融機関の口座情報、成績情報などのセンシティブ情報は、流出していない」として金銭補償を否定している。
もっとも、流出したのは、子どもの情報である。不安を抱えている保護者は多数に上るだろう。また、電話番号や生年月日などをパスワードとしてしまっている場合、パスワードが解明されてしまう等のリスクもあり得る。
5 情報を取得利用した業者の対応
B社から流出した顧客情報は、複数の名簿業者を経て、J社の手に渡った。
J社は、名簿業者から257万3,068件のデータを購入している。その際、名簿業者との間で、当該顧客情報が適法公正に入手したものであることを契約の条件としたとのことである。
他方、最終的には、データの出所を明らかにしないまま、契約を締結したとある。J社は、リリースにおいて「B社から流出した情報と認識したうえで利用した事実はない」としている。
個人情報保護法は、確かに、一定の場合には、名簿業者などが第三者に個人情報を提供することを認めている(同法23条2項)。しかし、その前提として、そもそも、当該個人情報が第三者提供を認めていた必要がある。そして、個人情報保護法は、原則としては、本人の同意なしに個人情報を第三者へ提供することを禁止している(同法23条1項)。
したがって、名簿業者から個人情報を取得する場合、単に、名簿業者から「適法公正に入手した」との説明を受けるだけでは足りない。当該個人情報の取得経路を確認し、対象となる個人が第三者提供に同意しているのかを、厳格に確認すべきである。
6 事件発覚後の経緯
B社の顧客情報を取得したJ社は、6月下旬、取得した顧客情報をもとにダイレクトメールの発送を開始した。その直後の6月26日以降、B社に顧客からの問合せが急増した。B社は、この時点で、顧客情報流出の可能性を把握した。
2013年末の外部流出から、すでに半年が経過していた。
B社では、ちょうど6月21日に株主総会が開催され、新社長が就任し、新体制となったばかりであった。翌27日、報告を受けた新社長は、ただちに調査の開始を命じた。
28日に緊急対策本部を設置するとともに、調査会社に調査を依頼した。30日には、警察や、監督官庁である経済産業省にも報告、相談した。そうしたことの結果、7月4日には、B社顧客情報を扱っている名簿業者を把握し、7日には情報が流出したデータベースを特定したとのことである。
以上の対応は、迅速なものであったと評価できる。
J社は、7月7日、B社から面会要求を受けているが、拒否したとある。実際は、J社はこの時点で面会に応じ、両社一致して善後策を講じるべきであった。B社は、J社が面会を拒否したことから、J社及び名簿業者に対して、内容証明郵便で警告書を発送している。
以上を踏まえて、B社は、7月9日、リリースとともに、記者会見を実施した。
記者会見では、DM、テレビ広告を2週間~1ヶ月の予定で停止することや、担当役員2名の引責辞任を公表した。翌10日、B社は、株価が前日終値比6.4%安となり、J社に至ってはストップ安となった。同日、経済産業省は、B社に対して、個人情報保護法に基づく報告を要請した。
7月11日、J社は「全データを削除することに致しました」と公表した。これに対してB社は、「全データの削除は、今後の調査の必要性から望ましくない」と批判した。
個人情報保護法上の問題を指摘された場合、企業としては一日も早く該当情報を削除したいと望むであろう。
しかし、優先すべきは、対象個人の被害回復である。その前提として、実態を調査することは不可欠であり、該当情報の削除は望ましくない。
7 まとめ
上記のとおり、個人情報を保有することには大きなリスクがある。
保有する事業者は、その管理に遺漏があってはならない。また、事業者は、第三者から個人情報を取得する場合、その来歴を慎重に確認しなければならない。
また、万一情報が流出した場合、事業者は、迅速に事態を把握し、適切に公表しなければならない。被害回復にも全力を尽くさなければならない。対応を誤ると、さらに事件は拡大することになる。
(了)
「事例で検証する最新コンプライアンス問題」は、不定期の掲載となります。
