PR

 前回は,大日本印刷の有価証券報告書を題材に,個人情報保護法の遵守に関連するリスク認識について取り上げた。今回は,大日本印刷に個人情報取扱業務を委託したジャックスの有価証券報告書や決算短信から,情報漏えい事件のインパクトを考えてみたい。

業務委託先よりも大きかった委託元企業のリスク認識変化

 ジャックスの「平成18年3月期有価証券報告書」を見ると,「事業等のリスク」の「法的規制等について」の中に「個人情報保護法」という項目を設けて,以下のように記述している。

当社グループで保有しております個人信用情報を含めた個人情報の取扱は,従前より厳格に行ってまいりましたが,万一,情報漏洩や紛失事件が発生すれば,社会的信用の失墜,損害賠償責任が発生し,業績に影響を与える可能性があります。(以下省略)

 他方,同社は2007年5月9日に「平成19年3月期決算短信」を発表している。法的性格に違いはあれ,有価証券報告書も決算短信も,株主/投資家にとって重要な開示情報である点は変わらない。これを見ると,「事業の状況」の「部門別の状況」という項目の中で,2月に発覚した個人情報漏えい事件について,以下のように記述している。

2.部門別の状況(総合あっせん)
(前文省略)なお,平成19年2月に当社の業務委託先である大日本印刷株式会社から15万件のカード会員情報が不正に持ち出され流出したことが判明いたしました。カード会員様を始め関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げますとともに,再発防止に向けて万全を尽くしてまいる所存でございます。

 さらに,「事業等のリスク」の中に「個人情報関連リスク」という項目を設け,以下のように記述している。

当社グループでは事業の性格上,大量の個人信用情報を保有しております。当社グループで保有しております個人信用情報を含めた個人情報の取扱いは,個人情報保護法が施行される前から厳格に行っておりますが,今般の業務委託先からの大量流出事故と同様の,情報漏洩や紛失事件が発生した場合,信用の毀損,損害賠償責任,業務面への行政処分等,業績に影響を及ぼすおそれがあります。(以下省略)

 前回触れた大日本印刷の有価証券報告書の内容と比較すると,業務を委託したジャックスの方が,個人情報漏えい事件について詳細に記述しており,リスク認識も大きく高まった印象を受ける。

 第9回のカカクコム事件で触れたように,顧客の安全・安心だけでなく株主の利益を守ることも企業経営者の責任だ。外部委託先の従業員の不祥事が発端となった事件であっても,株主/投資家は,株式を発行した委託元企業を見ている。ジャックスの対応は当然といえよう。

業界再編,M&Aで重要になる顧客情報管理と情報開示

 その後2007年6月21日,ジャックスは,三菱UFJニコス,三菱東京UFJ銀行と,金融サービスの充実と事業競争力の強化を図るべく,業務・資本提携協議を進める方針であることを発表した(「ジャックス・三菱UFJニコス・三菱東京UFJ銀行による業務・資本提携協議について」参照)。

 奇しくも三菱UFJ二コスの前身であるUFJ二コスとディーシーカードも,大日本印刷の委託元として個人情報漏えいに見舞われている(「業務委託先からのお客様情報の流出についてのお知らせ」参照)。また,第86回で取り上げたように,2007年3月30日,旧UFJ二コスは経済産業省から個人情報保護法に基づく勧告を受けている(「個人信用情報流出の可能性について」参照)。個人情報保護法とは直接関係ないが,三菱東京UFJ銀行も2007年6月11日,銀行法に基づく行政処分を受けている(「株式会社三菱東京UFJ銀行に対する行政処分について」参照)。

 3社の株主/投資家はこれらの経緯を知っているから,今後の顧客情報管理態勢についてより厳しくチェックするだろう。その視線は,当然外部委託先にも向けられることになる。業界再編やM&Aにより集積した顧客情報を「負債」でなく「資産」として活用するためには,情報管理を強化するだけでなく,「物言う株主」に向けた情報開示も含めた戦略の見直しが必要だ。ここでは,ITの真価の問われることになる。

 次回は,企業の内部統制対策の観点から,個人情報漏えい事件への対応を考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/