個人情報の漏洩流出拡大、三菱UFJ証券事故

pmark-anchor 2009年4月23日 木曜日

個人情報保護アドバイザーの目木知明です。

 

今日はこのニュースについて

「流出拡大、進退へ発展も 三菱UFJ証券 顧客情報、77社に」

 

過去にも名簿業者への販売により個人情報の漏洩事故は多々ありましたが

一度漏洩した個人情報は永久に回収できないということを

もっと事業者はしっかりと認識する必要があるのではないでしょうか。

 

永久に回収できない!

とは不安をあおるような発言ですが、残念ながらこれは事実です。

過去にたくさんの事故・事件に遭遇しましたが、

「漏洩や事故が起きて、ことの重大さ、

はじめて個人情報保護の必要性が理解できました」

とコメントする経営者が多いことにビックリします。

 

特に大量の個人情報を保有する事業者は以下、ご注意ください。

 

まず個人情報の内容に“資産情報”や

“身体に関する情報”は含まれていませんか?

 

仮に漏洩などの事故が発生した場合、

刑事罰のほかに民事の賠償もあり

過去の判例上、エステティックTBCの判例では

1人あたりの賠償額が3万5000円となりました。

仮に1000件の漏洩があった場合は3500万、

10000件の場合は3億5000万で

中小ベンチャー企業であれば、一気に吹っ飛ぶような金額です。

 

情報が漏洩された当事者からみれば

ずっとこの情報が世の中に出回り続けると思うと

精神的苦痛は絶え切れないものがあることでしょう。

この賠償額は今後の一つの指標になりますが

上がることがあっても下がることは決してないと思います。

 

エステティックTBCを担当した弁護士の紀藤氏は

責任を認めたことは評価しながらも、

「4年間争ったのに、この賠償金額は低い。

少なくとも50万円以上でないと見合わない。

この金額では、被害者は泣き寝入りするしかない。

この程度の額では、企業による情報流出の歯止めにはならないだろう。

情報流出を許さないような社会的コンセンサスが必要だ」

 

とコメントしています。

 

しかし今回の三菱UFJ証券の事故から見ても解るように

なかなか歯止めの掛からないのが現状です。

 

今日はこのあたりで。

 

2009.4.23 目木知明

急な個人情報管理者の退職、事務局担当者の退職で大慌て!

pmark-anchor 2009年4月21日 火曜日

こんにちは個人情報保護アドバイザーの目木知明です。

さてさて、わたくし目木知明ですが、初めての方もいらっしゃるかと思いますので

簡単な自己紹介をさせて頂きます。

 

プライバシーマークのアドバイザー業務は

2002年から行っていますので今年で8年目になります。

生まれは兵庫県赤穂市の33才になります。

こんなことは、どうでも良いかもしれませんが・・・

 

先日コラムを掲載した岸本は

1999年からプライバシーマークのアドバイザーを行っているので

もうかれこれ10年戦士になります。

 

このコラムでは、最新のプライバシーマーク最新情報から

他社の事例、こんな事には気をつけようなど

読み易い記載で書いていきたいと思いますので

どうぞ宜しくお願いします。

 

今回のお題は、管理者の退職、事務局担当者の退職です。

 

1年のうちに必ず3社~5社は、

お客様から『目木さん、いままでお世話になりました。この度、退職することになりましたといった』

といったメールが私のところに届きます。

 

その後、その会社の社長様や役員の方から

慌てた声で電話が入り、『マークの更新時期が迫ってきているが・・・』

といった相談を受けるパターンが、

最近めちゃくちゃ多い!というのが事実です。

 

100名未満の会社でマークを取得されている会社では

だいたい1名~2名の体制でマークの維持をされているかと思いますが

もし辞められたらのことを考えていますか?

 

そんなの辞めてもだいじょうぶ、だいじょうぶ!

と思っている方も多いと思いますが

一から個人情報保護やJIS規格を覚えることは大変です。

また、審査は別として運用体制が一気にダウンしてしまいます。

解りやすくいえば、会社に残ったのは文書だけ

運営ノウハウは退職していった人のみが保持となります。

 

最近も急に事務局担当者の方が

体を壊され、退職された会社がありました。

この担当者は1人で全てを行っていましたので大変でした。

プライバシーマークは2時間ほどで引き継げるものではありません。

 

結局のこの会社は、JISの勉強会

個人情報の特定、リスク分析、教育、点検を

私と一緒に行って新規担当者を養成しましたが

3ヶ月も掛かりました・・・

 

今回のことを経て、この会社の社長さまと今後の対応を考えたのですが

事務局を毎年2名で構成し、次年度は別の担当者を任命し

役回りで運用していこう!となりました。ポイントは2名です!

担当者になることで教育や点検を実施し、

個人情報保護の理解や会社の仕組みについて深く入り込める

というメリットがあるので期待の若手を選抜していくことで

運営を決断されたました。

 

あなたの会社の管理者、事務局担当者も

いつ辞めてしまうかわかりません。

急な退職があった場合の備えも必要ですよ!

 

本日はこのあたりで。

 

2009.4.21 目木

プライバシーマーク更新 現地審査対策は代表者関与が最重要

pmark-anchor 2009年4月13日 月曜日

さて、今日のお題は更新審査について。

 

相変わらず個人情報に係わる事故が後を絶たない状況に

少なからず不安を感じるPマーク認証済企業も多いのではと思う

特に、ヒューマンエラーや不正アクセスとなると

いつ発生してもおかしくない状況であり、

見えない脅威に対してどこまで備えるのかも極めて難しい問題である。

 

Pマーク制度では2年ごとに更新審査があるが

新規申請とは異なり、その審査も一段と厳しい。

 

2年後といっても4ヶ月前からの受付が始まるため

その準備期間を入れると事実上1年半程度となる。

 

プロジェクト期間中は合格までモチベーションを

持続することは比較的容易であるが、認証合格後に落とし穴がある。

PMS運用の持続と定期的な見直しが維持できていないケースが見受けられるのだ。

 

これはマーク認証だけが目的になっている場合に多く

本来の目的である“個人情報保護”という

マネジメントシステムが形骸化してしまうためであろう。

 

同制度が求める“スパイラルアップ(継続的な向上)”を考え合わせると

プロジェクトスタート時に更新時点まで視野に入れた取り組みが望ましく

合格時点から、また新たな取り組みが始まると考えるのが適切である。

 

個人情報保護を根付かせ、全社的な取り組みの中でPMSを

維持・管理を徹底するためには厳格な内部監査がポイントとなる。

 

当然ながら代表者や経営陣の関与も不可欠である。

 

本来、個人情報保護はトップマネジメント事項であり

企業コンプライアンスの重要テーマでもあるからだ。

 

最後に、経営者の積極的な関与が更新審査状況を大きく左右するという事実は

これまで多くの更新サポートをお手伝いしてきた率直な感想であるとこを

書き添えておきたい。

 

2009.4.13

情報セキュリティコンサルタント 岸本雅美