情報漏洩によるコンプライアンス違反
ここ数ヶ月だけでも、大手企業や公的機関での情報漏洩が止まりません。
個人情報は漏らしちゃダメって法律になって10年以上経つのに、この有様です。様々な情報がデジタル化される中で、コンプライアンス違反事例として最もポピュラーになっています。
ハッカーによる攻撃がきっかけであっても、膨大な個人情報を漏洩した直接的な原因の多くは、従業員の気のゆるみなどです。コンプライアンス研修をさんざんやっても、毎年、大型個人情報漏洩が起きています。しかも従業員の不正や不注意が多くの原因だったります。
改めて、個人情報漏洩の事例やレポートを振り返りながら、企業のコンプライアンス体制について考えてみましょう。
上場会社の情報漏洩
日本年金機構やベネッセなど個人情報の漏えいや流出事故が相次いでいる。 2012年1月から今年6月15日までに上場企業と主要子会社で個人情報の漏えい・紛失事故を公表した企業は179社、事故件数は288件にのぼった。漏えいした可能性のある個人情報は累計で最大7,148万人分に及ぶことがわかり、日本の人口の2人に1人の割合に匹敵する。2014年7月に発覚したベネッセホールディングス[(株)ベネッセコーポレーション]では、3,504万人分の個人情報が漏えいし、漏えい・紛失した個人情報全体の約5割を占めた。
「上場企業の個人情報漏えい・紛失事故」調査
たかが3年で、日本の人口の2人に1人の個人情報が漏れた、と。僕の個人情報も色々漏れているんでしょうね。定期的に不動産営業の電話が来てますし。
ベネッセホールディングスで3,504万件、Yahoo!で2,200万件、三菱UFJフィナンシャル・グループで672万人件、が大規模漏洩のトップ3のようです。BtoCの顧客情報はしっかり管理していただかないと。顧客側はどうにもこうにも対策ができるわけではないですからね。
コンプライアンスの“穴”はどの企業にも存在します。“徹底する”の意味を再度ご確認いただき、決して他人事と思わず対応してもらいたいです。
情報漏洩事例
東京商工会議所の情報漏洩
東京商工会議所は2015年6月10日、同所が管理する個人情報が漏洩したとされる問題について会見した。流出した可能性があるのは東商が主催したセミナーの参加者名簿などの個人情報1万2,000件あまりで、セミナー参加希望者が登録した氏名や住所、電話番号、電子メールアドレス、会社名などの一部または全部。仕事などの要件を装った電子メールを使って機密情報を盗む「標的型攻撃」が原因という。東商は今後、二次被害や事件の再発防止、セキュリティ対策の強化に取り組むとしている。
東商が情報漏洩で会見、約1万2,000件の可能性、「基本ができていなかった」
会社の住所や電話番号ならオープンにしている企業も多いしいいのですが、セミナー参加社の名前とメールアドレスが漏れたら面倒ですね。BtoB企業の営業リストにピックアップ間違いなしです。しかし、1万を越える個人情報をパスもかけず、ネット接続のできるPCに保存って…。
りそな銀行の情報漏洩
りそな銀行中目黒支店で働く派遣職員の子どもが、同支店を訪れた「関ジャニ∞」の大倉忠義さんや西島秀俊さんの個人情報をツイッターで漏えいしたとして、りそなホールディングスがホームページで謝罪しました。
結論として、りそな銀行、派遣会社、派遣社員、子どもの全員が責任を負います。派遣社員は、本来、守るべき個人情報を家族に話し、これがきっかけで子どもが個人情報を漏えいしているので、不法行為に基づく損害賠償責任を負います。
りそな銀行の芸能人情報漏えい事件、バカッターの責任は? 弁護士に聞いてみた
有名人が街で盗撮されたりするのは「有名税」とも言われますが、それはその瞬間だけで、住所や免許証のコピーが出回るということでは決してありません。
そもそもナイーブな個人情報を扱う機関が、顧客の免許証のコピーを自宅に持ち帰れるザル監査とは誰も思っていないでしょう。
日本年金機構の情報漏洩
日本年金機構の年金個人情報流出事件をめぐり、機構本部が4月、サーバーの保存ファイルにパスワードを設定していない複数の部署の内規違反を把握しながら放置していたことが20日、分かった。機構関係者が明らかにした。本部は3月、全部署にパスワードの設定を確認し回答するよう指示したが、無視されたケースがあった。ウイルス感染した5月8日以前に全部署で設定していれば情報内容の流出は防げた可能性がある。
機構本部、4月にパスワード無設定知りながら放置 情報内容流出拡大に拍車
日本年金機構の、2015年5月に125万件の個人情報が流出した事件ですが、公的機関では史上最大の情報漏洩事件でした。マイナンバーとの兼ね合いもあり、今でも話題となっております。
極端な話、ただの一般事業会社の漏洩であればまだよかったものの、銀行や公的機関となると…。ね。セキュリティーが厳し過ぎて、データにアクセスするのに手間がかかりすぎるとしても、それは仕方ないといえるのでしょうが、だからって機密すべきデータをローカルPCに保存って…。
公的機関だし、コンプライアンス研修などで違反事例として色々な事例を見聞きしているだろうし、もうなんとも言えません。
メール送信による情報漏洩
日本郵政は10日、取引先の建設業者ら約7,500のメールサービス登録者に対し、登録者名やメールアドレス、電話番号、住所を一覧にしたエクセルファイルを、8日にメールで誤送信するミスがあったと発表した。
日本郵政、登録者情報をメールで誤送信
個人の情報が漏れるのもマズいけど、ビジネス的なつながりが外に漏れるのも非常によろしくないです。悪用というか、このデータを使って色々ビジネス的に仕掛ける企業も多そう。一斉送信でエクセルファイルを送れるのもすごいですが、簡単に想定できる情報漏洩の典型例なだけに、ミスを防ぐ仕組みがなかったのが残念な所です。
株主の情報漏洩
サンリオは2015年5月19日、株主向けサイトに登録した同社株主の個人情報が漏洩していた事実を認めた。同社は4月8日に株主の氏名や住所、電話番号など7項目が漏洩した可能性があると公表していた(関連記事:サンリオ、株主6,249人の個人情報が漏洩か)。漏洩した人数や経路は公表していないものの、漏洩した可能性のある株主6,249人にお詫びの品として1,000円分のクオカードを送る。
サンリオが株主向けサイトからの情報漏洩認める、6249人に1000円分の金券配布
株主の情報が漏れて、どんな二次被害が起こりうるのか、はよくわかりませんが、こちらも非常によろしくない事態です。
このサイト運営会社は、ゴルフダイジェスト・オンライン、アルデプロ、トランスコスモス、ロート製薬などのIRサイトも運営していたそうで、5社合計で最大1万2,344人分の情報漏洩があるとかないとか。
インパクトの大きい企業サイトで個人情報を集めているなら、相当のセキュリティ実施をしているとおもいきや、根幹の部分?をハックされ、各社巻き添えをくらった形のようです。企業本体だけではなく、ベネッセの件のように、個人情報を扱う運営会社のコンプライアンスチェックも必要ということでしょう。
これはサプライチェーン・マネジメントでも重要な考え方なので、CSR担当者はしっかりと状況把握をしておきましょう。
情報漏洩に関する温度差
起きることを前提に考えるという”考え方”は誰しも知っているけど、実際に起きる考え方はしてないものです。先の表以外にも視点の違いは表現出来ると思います。組織内での立場によっても変わります。認識も同じです。
ここ最近の情報漏洩事件は異常事態なのか?・・・それぞれの立場と温度差
ここはCSRのリスクマネジメントの基本のきなのですが、不祥事やミスによるステークホルダーへの被害は、必ず起きます。必ず。それが明日なのか、1年後なのか10年後なのかはわかりません。
大きな自然災害もそうですし、いつおこるかわからない事象には予算やリソースをさけない、というのはわかるのですが、ビジネスの根幹となる情報や組織体制は何が何でも守るべき。極端な話、それができない企業は……長期的に考えて社会に必要とされないので、倒産していただいても結構です。
今後、ミドルマネージャーはより、「不祥事や致命的なミスはいつか起きる」という前提のもと現場の指揮を取っていただきたいものです。
ここ数ヶ月の大型情報漏洩は、コンプライアンス意識のなさからでしょう。ただし、だからといって、過度なコンプライアンス研修や情報統制をし作業効率を著しく下げるものも喜ばしいとは言えません。このバランスは非常に難しい。
情報漏洩は「機械ではなく人が漏らす」とも言われますが、特に個人情報の扱いは気をつけるべきです。サーバーからダウンロードしたり、名簿・リストをPCのローカル(PCそのものにデータを置く)に置くのは非常に危険です。僕もめっちゃ気をつけています。
まとめ
コンプライアンスというか、いわゆる情報と従業員を管理しきれていない、組織のガバナンス不備ともいえます。
組織や従業員の倫理観という所を越えて、もはや法的にもNGな量の個人情報漏れがある時代、大企業ほどの影響はないとしても、社員数人の会社でもこれは他人ごとはありません。
CSR担当者の業務領域ではない場合も多いとは思いますが、企業側に大きな影響がでますので担当部門と連携し、CSR報告書等の情報開示を含めて対応しましょう。何度も言います。本当に他人事ではありません。
ほら、この瞬間も危険な行為をしている従業員があなたの隣に・・・!!
関連記事
・5年連続増加!? 「コンプライアンス違反企業倒産動向」(2015)
・コンプライアンス経営の倫理観を問う4事例
・コンプライアンス違反事例とCSR的なリスク管理の違い