機能紹介
- 2014/09/10
個人情報保護法ガイドライン改正で再委託禁止の可能性
ベネッセコーポレーションの通信教育サービスに関する顧客情報が大量に漏洩した事件を受け、経済産業省は8月15日、個人情報保護法の「経済産業分野を対象とするガイドライン」を今年9月にも見直すことを発表しました。
まず、この改正の大きなポイントの一つとして挙げられるのは、「原則として顧客情報管理の再委託が禁止される可能性がある」という点でしょう。8月の時点での一部報道によると、経済産業省は孫請け業者による個人情報の管理そのものを禁止する意向もあるようです。この大胆な措置が検討されたのは、ベネッセの漏洩事件が「孫請け企業の派遣スタッフ」による犯行だったことが大きく影響しているのでしょう。
この見直しが実際に行われたなら、多くの下請け企業は、これまで複数の孫請け企業に再委託していた顧客情報管理を全て引き上げ、一手に実行する必要が生じるかもしれません。膨大な量のデリケートな顧客情報を安全に保ちつつ、その管理体制を変更するのは容易ではないため、現実的には「取引先への出向」などの抜け穴が利用される可能性もあります。
また、「下請けの正規社員なら安心できる」とも言いきれません。以前ここでもお伝えした東芝や日産の事件のように、本社や関連企業の社員が、退職時の「おみやげ」として重要なデータを持ち出すケースは珍しくないからです。2012年に経産省が発表した資料によると、企業の営業秘密漏洩事件の半数以上は中途退職者(正規社員)の犯行でした。この再委託禁止の提案が抜本的な解決につながるかどうかには少々疑問が残ります。
今回の経産省の発表は、「名簿屋」や、それを利用する企業を規制するのでなく、情報を預かった企業の徹底管理をより強化する方向へ向かっています。今回の事件に当てはめるなら、ジャストシステムでも文献社でもなく、あくまで「顧客情報を預かって漏洩したベネッセ」を問題視したということになります。
先に挙げられた具体的な見直しの提案が、実際のガイドラインに取り入れられるどうかはまだ分かりませんが、いずれにせよ、企業が顧客から預かる個人情報に、今後ますます徹底した管理が求められることは間違いないでしょう。
各企業は、このような変更が加えられる事態に備え、ただ一定の水準を満たすことだけを目指すのではなく、状況に応じてアップデートされた管理体制やセキュリティ対策を整えると共に、「誰がどのデータに触れているのか」を普段から明確に可視化することが重要となるのではないでしょうか。
<記事提供元:株式会社イード>