個人情報保護法が4月1日に完全施行されてから4カ月。個人情報の漏洩や紛失は絶えず、報道されたものだけでも250件を優に超える。漏洩・紛失した企業は、セキュリティ対策に無頓着だったわけではない。かなりのコストと時間をかけていた企業も少なくない。それでも事件は起きたのはなぜか。真相を追った。

(福田 崇男、小原 忍)


【無料】サンプル版を差し上げます本記事は日経コンピュータ2005年8月22日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集2」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバーをご利用ください。

 2005年5月中旬、みちのく銀行の原田和夫頭取(当時)あてに金融庁から1通の封書が届いた。中に入っていたのは、金融庁に出向くことを求める書面だ。「ついにきたと直感した」という下山建吾コンプライアンス統括部部長の“悪い予想”は、当たってしまう。5月20日、金融庁に向かった原田頭取を待っていたのは、個人情報保護法に基づく是正勧告だった。同法が4月1日に完全施行されて以降、金融だけでなく、すべての業種において初の勧告である。

 勧告の直接のきっかけは、4月中旬に、個人情報約124万件を含む顧客情報約128万件を記録したCD-ROM3枚を紛失したこと。みちのく銀行では毎月1回、ともに青森市内にある事務センターから本社へ、前月末時点のすべての口座残高情報を記録したCD-ROMを社内便で送っている。事務センターの担当者が、3月末時点の情報を記録したCD-ROM3枚を送ったのは4月12日。いつもなら数日内に届く受領書がこないため、4月20日に本社側の担当行員に問い合わせると、CD-ROMを受け取った覚えはないという。

 「顧客情報を紛失した可能性あり」――この事態に、本社は騒然となった。リスク管理委員会を緊急開催し、対応を協議するとともに、本社にいる200人が総出で、徹夜に近い状態で本社内を捜索した。22日まで探したものの見つからない。22日の朝には監督省庁である東北財務局に届け出、記者会見を開いて事実を公表した。

 その後、大道寺小三郎会長と原田頭取が5月30日付で引責辞任。顧客に送ったお詫びのダイレクト・メールは約60万部で、6000万円弱の費用がかかった。「自分の預金は大丈夫か」といった問い合わせが殺到した。

風化していた規定の業務手順

 CD-ROMの送付に際し、みちのく銀行が何の対策も採っていなかったわけではない。「郵便物取り扱い手続き規定」を設けたのは、数十年前。顧客情報を含む書類や記録媒体は、必ず書留扱いで送ることにしていた。

 しかし、CD-ROMの送付作業が毎月のルーチンとなるにしたがい、「CD-ROMは重要物だという意識が、徐々に風化してしまっていた」(下山部長)。いつしか、CD-ROMを一般の郵便物と同じ袋に入れて運ぶようになっていたのだ。そのため、書留扱いならあるはずの送付記録が残っていない。しかも、4月中旬は決算発表の準備時期であり、本社側の担当行員は業績を下方修正する作業に忙殺されていた。

 金融庁が初の是正勧告を出すのを決めたのは、124万件という数字だけでなく、こうした、みちのく銀行の監督や教育が不十分であったことを問題視した結果だ。みちのく銀行は今、「初心に返って、行員の再教育や規約の改訂、手続きの厳格化などに取り組んでいる」(下山部長)という。

 問題が起きたのは、みちのく銀行だけではない。この4カ月で起きた漏洩・紛失事件は250件以上。単純計算で1日2件は起きている。程度の差はあれ、漏洩・紛失した企業のほとんどは、何らかのセキュリティ対策を施していた。


続きは日経コンピュータ2005年8月22日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。