PR

 前回は,産業安全の分野で利用されている「ヒヤリハット」事例の分析手法を使って,病院の個人情報紛失事故を整理した。今回は,この手法を金融業界の個人情報紛失事件に横展開して考察してみたい。

顧客約35万人分の個人情報紛失が発覚した三菱東京UFJ銀行

 2007年9月6日,三菱東京UFJ銀行は,163の支店で,顧客約35万人分の個人情報を記録した資料(コムフィッシュ,マイクロフィルム,還元資料)を紛失したことを発表した(「お客さま情報の紛失について」参照)。紛失した資料には,顧客名,口座番号,取引金額等の個人情報が含まれていたという。同行の発表資料や報道記事を基に状況を整理すると,以下のようになる。

  • 「どこで」:個人情報紛失が発覚したのは旧東京三菱,旧UFJ双方の営業店であるが,店舗数でみると,コムフィッシュについては旧東京三菱,マイクロフィルムおよび還元資料については旧UFJが多くなっている。合併前の各行の保管形態などと関係がありそうだ
  • 「どんな時」:個人情報が記録・記載されている資料を,全国の営業店から専門のセンターへ集約する「情報管理高度化」の過程で各営業店の紛失が発覚しているが,どの時点で紛失したかについては不明である
  • 「どんなこと」:前述の通りだが,外部へ情報が流出した懸念は極めて低く,顧客情報が不正に利用されたとの連絡・問い合わせはないとしている
  • 「原因」:保管期限を過ぎた書類に混入するなどして誤廃棄した可能性が高いと説明している。営業店における個人情報ライフサイクル管理のプロセスで,保存の必要がある情報と不要な情報の区分けが曖昧になったとも考えられる
  • 「対策」:「情報管理高度化」など情報管理の強化・徹底と誤廃棄の再発防止が挙げられている

 このケースのポイントは,時間が経過するにつれ,必要な情報と不要な情報の区分が現場レベルでつかなくなっていた点にあると思われる。そこが改善されなければ,誤廃棄はまた起きる可能性がある。

多店舗展開企業は情報紛失にいつ遭遇してもおかしくない

 実は同じ6日,三菱UFJ証券も10の支店で,顧客3万7000人分の個人情報を記録した帳票を紛失したことを発表している(「お客さま情報の紛失について」参照)。銀行や証券会社に限らず,多店舗展開を基盤とする業態の企業では,いつ遭遇してもおかしくないケースである。

 金融機関の場合,「閉じた組織」「閉じたシステム」を前提とした物理的対策中心の情報管理態勢を敷いてきた背景があるので,社内にある個人情報の棚卸しは比較的やりやすい。これに対し,複数企業の「人」「物」「金」「情報」が行き交う総合小売店舗などでは,どんな個人情報が存在し,誰に利用され,誰が管理しているのかを把握するだけでも大変だ。第67回で取り上げたマックスファクターと高島屋,大丸のケースのように,一枚の磁気媒体の紛失が複数企業のブランドイメージや社会的信用の失墜につながりかねない。細心の個人情報管理が求められる。

 三菱東京UFJ銀行のケースから,単純に1支店当たりの平均紛失顧客数を計算すると2147人になる。中小企業でも,2000人分の顧客リストが店ざらしになったり行方不明になって「ヒヤリハット」することは起き得る話だ。ICカードや生体認証などの技術的対策を導入する余力がない企業であれば,なおさら人間力による注意喚起が必要である。店頭では,顧客もリアルタイムに企業を観察していることを忘れてはならない。

 次回は,グループ・コンプライアンスの観点から,金融業界の個人情報漏えい事件を考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/