PR

 前回は,外部委託先の元社員の自宅パソコンが発端となって個人情報漏えいに至った自治体の対応状況を,危機管理広報の視点から取り上げた。今回は,委託先の監督の視点から個人情報漏えいの再発防止対策について考えてみたい。

国でも起きていた再委託先からの個人情報流出

 2007年5月8日,資源エネルギー庁はインターネット広報事業の実施に要する個人情報が,平成17年度に業務委託したNECメディアプロダクツの協力会社から流出する事故があったことを発表した(「平成17年度委託事業に係る個人情報の流出について」参照)。NECメディアプロダクツは,ホームページ上に原子力等の政策情報・海外の話題を掲載するとともに,原子力情報誌の作成・送付等を行うメディアミックスのプロジェクトを進めるために,関係者のメーリングリストを作成していた。

 平成17年度の事業はすでに終了していたが,今年の4月22日頃,プロジェクトメンバーであった再委託先のデザイン事務所のパソコンがウイルスに感染し,メーリングリストの共有情報が外部へ流出していたことが発覚した。流出した共有情報には,情報誌送付先の氏名,所属,住所,電話番号などの個人情報約1700人分が含まれていたのだ。実は,自治体の外部委託先からの住基情報漏えいが問題となる前の時期に,国の機関でも同じような事態が発覚していたのである。

 外部委託先からの情報流出発覚を受けて,NECメディアプロダクツは「当社ではこのたびの事態を極めて重く受けとめており,情報管理の更なる徹底を図り,再びこのような事態を引き起こさぬよう全力を挙げて取り組む所存であります」と声明を発表した。ただし,具体的な再発防止策の中身までは触れていない(「資源エネルギー庁殿から委託を受けた業務に関する個人情報流出について」参照)。

地域主導型の官民協働で個人情報保護ノウハウの集積を

 それでは,外部委託先からの個人情報漏えいを防ぐために,発注者はどのような対策を講じればいいのだろうか。

 民間で起きた外部委託先からの大規模な情報漏えい事件としては,第80回第84回で取り上げた大日本印刷のケースがある。そこで情報漏えいの憂き目に遭った委託元企業の対応を追うと,対策のヒントが見えてくる。

 例えば,地方銀行の京葉銀行は,新聞朝刊の報道記事を見て,自社の顧客情報(5万6478人分)流出を知った企業の一社である(「業務委託先からのお客様情報流出について」参照)。同行は,今年の6月4日に,業務委託先における情報管理について具体的な再発防止策を発表した(「お客様情報の流出にかかわるその後の対応について」参照)。

 その内容は,以下のようなものだ。

  1. 委託先選定に関するチェック体制の整備
    業務委託先を選定する際は,各担当部署が選定した結果について,業務委託前にリスク管理部門で一元チェックを行う
  2. 定期的チェックの強化
    選定した業務委託先については,プライバシーマーク等を取得している先も含め定期的なチェックを行い,問題がある場合には改善を要請する
  3. 預託する個人データの見直し
    預託する個人データの内容は,委託する業務に必要な範囲の個人データに限定する
  4. 預託データ消去確認の強化
    預託した個人データの消去時期等をより厳格に設定し,全ての預託先から都度消去した報告書を徴求する

 再委託先の有無については,プロジェクトオーナー以外の部門が一元的に事前チェックする。これは,日本版SOX法対策でおなじみになった「職務分掌」の考え方の応用だ。業務委託契約締結後も,定期的に委託先企業をモニタリングし,不備の是正を図る態勢をとる。外部に提供する個人データの範囲を限定して,万一の時のリスクを最小化する。そして,最後の廃棄の段階まで情報ライフサイクル管理を徹底する。要するに,個人情報管理のPDCAサイクルをいかに継続的に回すかがポイントとなっている。

 残念ながら今のところ,地域住民の大切な個人情報を流出させた地方自治体で,京葉銀行並みの再発防止策を発表したケースは見当たらない。自治体の外部委託というと,地方のIT人材不足が課題として挙げられることが多い。だが,地域の金融機関も同じような悩みを抱えている。

 個人情報保護対策,とりわけ組織的対策に関しては,中央のやることよりも,先進的な地元企業のやることを参考にしながら,官民協働で検討したほうがよさそうだ。ちなみに,第91回で取り上げた再春館製薬所は熊本県,日本メナード化粧品は愛知県の会社である。

 次回は,最近公表された情報セキュリティ関連統計を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/