PR

 前回は,ジャックスのクレジットカード会員情報流出事件を取り上げた。今回も,最近起きている金融・信用分野の個人情報流出事件について考えてみたい。

管理リスクが高くなる紙の書類と電子データの混在

 本連載の第1回で取り上げたように,個人情報保護法に基づく是正勧告第1号となったのは,124万件の顧客情報を記録したCD-ROM3枚を紛失したみちのく銀行のケースだった。残念ながら金融・信用分野では,個人情報保護法本格施行後2年を迎えようとしている現在も,個人情報の紛失が発覚している。

 2007年3月5日,大東銀行は同行の植田支店で個人情報を含む書類を誤って紛失したことを発表した(「お客さま情報の紛失について」参照)。紛失した書類は1998年4月1日~2004年3月31日の間の外貨両替票の一部402件で,氏名,住所,電話番号が含まれていた。新聞報道によると,両替票を含む書類を金融庁に報告する必要があり,支店が書類の在庫確認をしたところ,3月4日に紛失が確認されている。同行の社内規定では,両替票の保存期間を10年としているが,誤って廃棄された可能性が強いという。

 さらに3月7日には,JCBが顧客情報1524人分が記載された業務処理用の書類が,同社の社屋内において紛失していたことを発表した(「お客様情報の紛失について」参照)。紛失した書類は,顧客のポイントサービスの年間ポイントを掲載した紙のリスト96枚で,カード番号,名前,住所,ポイント合計等の情報が含まれていた。同社のシステム部門が作成した書類を,2006年12月25日に営業部門担当者が受領後,営業部門オフィス内で所在不明となったという。JCBは,営業部門の担当者が誤って他の不要書類とともに裁断廃棄したと説明している。

 大東銀行もJCBも,情報の外部流出や二次被害は確認されていないと説明している。だが,紛失した書類が見つからない限り100%安全とは言い切れない。ミスや不正の排除が難しい点に加え,暗号化などの事前予防対策を施しようがない分,紙の書類の方が管理上のリスクは高いのである。紙の書類と電子データが混在した環境は極力避けるべきだ。

法定帳簿の保存期間だけでは決められない情報ライフサイクル

 さて,第34回第40回で取り上げたように,個人情報保護法に基づく是正勧告第2号となったのは,顧客の個人情報623件分などを第三者に漏出したみずほ銀行のケースだった。この件では,業務上横領の疑いで行員が逮捕されている。残念ながら,このケースと同じように内部関係者が個人情報を悪用する事件も,引き続き発生している。

 2007年2月8日,みずほインベスターズ証券は,同社仙台支店の顧客名簿が手元にあるとして,同社を恐喝した容疑者2人が恐喝未遂の容疑で宮城県警仙台中央署に逮捕されたことを発表した(「お客さま情報の外部流出について」参照)。容疑者の1人は同社仙台支店の元契約社員で,流出した顧客情報には,2000年12月時点において元契約社員が担当していた顧客396人分の名前,住所,電話番号,年齢,預り資産額等が含まれていたという。

 このケースでは,個人情報保護法施行前に容疑者が顧客情報を持ち出したと思われるが,刑事事件が絡んだ場合,個人情報を管理する側が注意しなければならないのは時効の問題である。なぜなら,適用される犯罪の種類や罰則の重さによって,公訴時効の期間が変わってくるからだ。個人情報の保存期間については,法定帳簿の保存期間などを参考にして決めることが多いが,刑事上の公訴時効も頭に入れておく必要がある。他業種の企業も,金融・信用分野で起きたケースを教訓に,情報ライフサイクル管理の現状を見直してはどうだろうか。

 次回は,電力業界の個人情報管理について取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/