アリコ個人情報漏洩に対する業務改善命令(金融庁)
報道では、本日、自動車メーカー向け電線の価格カルテル(独占禁止法違反)の疑いで、公正取引委員会が電線メーカー大手の矢崎総業、住友電気工業、古河電気工業などに対して立入検査を行ったことが報じられています。電線関係はカルテル事件が多いな、というのが正直な感想です。
さて、それとは全く別の話が本題ですが、アリコジャパンの個人情報漏洩事件について、本日、金融庁が同社に対して、業務改善命令を出しています。
→ 金融庁サイト 報道発表資料
なお、この件については、当ブログでも少し触れました。
→ 「アリコ・ジャパンの情報流出事件」(09/9/12)
今回の業務改善命令について詳しくは金融庁資料を見ていただくとして、今回の業務改善命令にあたって、アリコ及び業務委託先の管理体制の問題点、個人顧客情報漏えいの要因としては、次のとおりとされています。
- 本件業務委託先においては、ホストコンピュータへのアクセスに必要となるID 及びパスワードを日常的に担当者間で使い回しする等、個人顧客情報管理が杜撰であり、情報漏えいが起こり易い状況にあった。また、ID の使い回しは、一旦、情報漏えいが生じた場合に、実行犯の特定を困難にするという問題にもつながった。
- 他方、アリコにおいても、個人顧客情報の管理態勢に以下のような重大な不備が認められた。
① アリコのシステム部門においては、本件業務委託先が個人顧客情
報を扱っていることについての認識が不十分であったため、本件
業務委託先に対する立入検査においても、個人顧客情報保護の観
点から、深度ある確認・検証を行っていなかった。そのため、上
記1で述べたような、本件業務委託先における杜撰な個人顧客情
報管理の実態を把握できず、また、牽制や是正も十分に行ってい
なかった。
② さらに、アリコのシステム管理において、個人顧客情報保護上、
以下のような問題が認められた。
ⅰ)ホストコンピュータへのアクセス権限の付与範囲について、業
務遂行の実態に応じた必要最小限のものになっていないこと。
ⅱ)サーバーや業務委託先のコンピュータ端末の一部において操作
履歴が残らないものがあったため、不正利用に対する牽制効果が
不十分であるとともに、万一不正利用があった場合に原因究明を
困難にするという問題があったこと。
ⅲ)業務委託先の従業員にホストコンピュータへのアクセス権限を
付与する際の本人確認が不十分であり、付与後の管理も不十分で
あったこと。
③ 上記①及び②の問題の背景には、個人顧客情報保護に係る担当部
門において、業務委託先も含めた全社的な個人顧客情報の漏えい
リスクを網羅的に把握・分析し、かつ予防的な施策を検討する態
勢ができていなかったこと、更には、当社経営陣において当該リ
スクの重要性を踏まえた深度ある検証や、必要となる指示等を行
っていなかったこと。
ホストコンピュータへのアクセスのID、パスワードの杜撰な管理というのは、ヤフー個人情報漏洩事件でも似たような管理がなされており、それが賠償責任の根拠ともなりました。このような大手企業にかぎらず、IDやパスワードの管理というのは、実際の現場では結構難しいもので、セキュリティを重視すると現実の仕事がやりにくくなるという状況になるわけですが、自社が管理している個人情報の重要性を認識して管理を行ってほしいものですね。一般企業でもそうですが、電気通信事業者や保険会社であれば当然のことではないかと思われます。
« 音楽情報サイト問題について続報(消費者庁) | トップページ | 自動車部品メーカーに対する日米欧の独禁当局の協調調査か? »
「パソコン・インターネット」カテゴリの記事
- 「食べログ」東京地裁判決と公取委実態調査報告書(2022.06.16)
- スシロー「おとり広告」で措置命令(景表法)(2022.06.09)
- 「ピークパフォーマンス」(野上麻理著)のご紹介(2022.02.27)
- 「弁護士法72条違反で」とは(2021.10.18)
- メルカリなどフリマへの出品と違法行為(2021.10.13)
「法律」カテゴリの記事
- 「判例による不貞慰謝料請求の実務 最新判例編vol.2」(中里和伸弁護士著・LABO)(2023.07.07)
- トロビカーナ「メロン テイスト」に対する措置命令(消費者庁)(2022.09.06)
- 「食べログ」東京地裁判決と公取委実態調査報告書(2022.06.16)
- ドライヤーの広告に関する差止訴訟(ダイソンvsパナソニック)(2022.06.12)
- スシロー「おとり広告」で措置命令(景表法)(2022.06.09)
« 音楽情報サイト問題について続報(消費者庁) | トップページ | 自動車部品メーカーに対する日米欧の独禁当局の協調調査か? »
コメント