| No.057 個人情報漏洩事件 |
| 概要 |
・私の個人情報が漏洩したことで、手書きの詫び状が届き、とても驚いた。
・個人情報の漏洩などの悪い事実を隠して、後に判明すると企業存続の危機となる。
・一口に個人情報と言っても、重要な個人情報とそうでない個人情報がある。
・重要な個人情報を選別して、重点的に対策を講じること。
(2005/07/03)
|
| 私の個人情報が漏洩したそうです。 |
「あなたの個人情報が漏洩しました。」...なんだ?このメールは?新手のスパムかフィッシングかなと思ったら、本当のことでした。送信元はオープンソースで少しは名の知れた企業です。そういえば、数年前に仕事で展示会に行ったときに名刺交換したことを思い出しました。
メールの本文をよく読んでみました。ふむふむ。オープンソースのCRMアプリケーションソフトのテストデータとして私の個人情報を利用していたと。ま、個人情報保護法施行前の話だから、テストとして実際の個人情報を使っちゃいかんとは言えんわな。それで、そのテストデータを含んだ状態でオープンソースとしてCRMアプリケーションとともに公開してしまったと。んー、チェック体制が甘いね。しょうがないなぁ。
漏洩した個人情報は数百件か。たった数百件の中に入っちゃったのか。運が悪い。個人情報を含んだ状態でダウンロードしたユーザにはデータの廃棄をお願い済みとのこと。オープンソースとは言え、ちゃんとダウンロード先は監視しているんだね。テストデータもちゃんと監視してくれよ。
ちと気分が悪くなりましたが、基本的に私はソフトウェアをオープンソースとして公開している企業は好きなので、許してあげることにしました。ま、漏洩した情報は会社の情報ですしね。と言うことで、このメールは削除。すぐに忘れてしまいました。
ところが、しばらくしたら一通の手紙が会社の方に届きました。差出人は、例のオープンソースのCRMアプリケーションソフトを作っている企業です。簡易書留で送られてきているので、お詫びの商品券か何か入っているのかな?(嬉)と思ったら、社長名の手書きの詫び状が入っていました。(苦笑)
うげ、こんなの必要ねーよ。と、一瞬は思ったのですが、よく考えてみると、このような対処方法もありだと思いました。今回は、漏洩した個人情報件数が少ないですし、確かに商品券なんかより手書きの文章には誠意が感じられました。ここ数年、正式な手書きの文章なんか見たことなかったので、かなり驚きました。
手間と時間はかかりますが、実際の費用は手紙の送料しか発生しません。経営者の視点から見れば、優れた対処方法と言えるのではないでしょうか。(嫌みに聞こえるかな?)「こんな対処方法もあるんだな」という参考になればと思います。
|
| 隠すことは止めた方が良い。 |
ところが、この文書を公開した時点で、この企業のウェブサイトには、個人情報を漏洩したという事に関して一切の記述がありません。この企業が支援しているオープンソース毎のウェブサイトもあるのですが、例のCRMアプリケーションのウェブサイトに関しても「公開してはならない情報が含まれていた」という記述はあるのですが、個人情報が含まれていて漏洩したという事には触れていません。
この対応は、非常にまずいと思います。近年、コンプライアンスとコーポレートガバナンスの2点が重視されつつあるのです。悪い情報ほど早く公開して、早く謝り、早く対策を打つということが重要です。悪い情報を公開した時点では批判を浴びますが、長い目で見れば企業にとってプラスとなります。もし後から悪い情報が判明すると、その時こそ企業は存続の危機となります。
悪い情報を隠すことは、問題を先送りするだけで何の解決にもなりません。最近の経営者の皆様なら、有名大企業の度重なる不祥事の結果、どうなったかということをよく知ってると思うのですが。
|
| 重要な個人情報には重点的な対策を。 |
今回の事件で、もう一つ感じたことは、「一口に個人情報と言っても重要度がある」ということです。つまり、個人情報にも重要な個人情報とそうでない個人情報があるということです。
今回の事件では、もし私の個人情報が会社の情報ではなく、プライベートな情報だったら、もっと怒ったと思います。また、クレジットカードの情報や銀行口座などの情報がもし含まれていたら、確実に情報漏洩した企業に電話して怒鳴りつけるでしょう。手書きの詫び状ぐらいじゃ絶対に許しません。
また、同じ数の個人情報でも、社員情報と顧客情報では顧客情報の方がずっと重要です。顧客の個人情報でも企業の顧客と個人の顧客なら個人の顧客情報の方が重要です。取引先の情報でも、強い立場の取引先か弱い立場の取引先かで重要度は異なります。
このように、含まれる情報の中身と個人情報の種類により重要度は変わります。全ての個人情報に対して一律に漏洩対策を行うと、費用もかかりますし、対象が広すぎるため個人情報取扱者がその重要性を認識する度合いが弱くなり、逆に危険だと思います。
個人情報の重要度に合わせて情報漏洩対策を行うことをお奨めします。
|
