第1回 事故前提のリスクマネジメントの必要性：個人情報が流出 有事のときの危機管理（1/2 ページ）

個人情報保護対策を行うことは必須だが、万が一の事態を想定する必要がある。本シリーズでは、個人情報の流出という有事に対し、企業が備えておくべきこと、事後対応をどうすべきかを紹介する。まずは事故前提のリスクマネジメントがなぜ重要か、知っておこう。

[丸山満彦，ITmedia]

　個人情報漏えいについての報道が相次いでいる。ほぼ毎日1件か2件のペースで報道されているのではないだろうか。しかし、報道されているほど実際の漏えい事件が過去に比べて、増えたわけではないと思われる。今まで、漏えいの事実に気づかなかったか、あるいわ気づいても報道発表されていなかった事件・事故がここにきて報道されているのではないだろうか。

　個人情報保護法の全面施行に伴い、今後、個人情報漏えいなどが発生した場合はその事後の対応が非常に重要となる。そこで今回から4回にわたって、漏えい事故への対応のポイントを解説する。

個人情報漏えいの事例

　個人情報漏えい事例について、過去の記憶をたどると次のような事件が思い出される。

主な個人情報漏えい事例

業種 発覚時期 概要 漏えい件数 自治体 1999年5月 委託先のシステム開発業者から住民データが漏えい。約26万円で販売 約21万人 コンビニエンス ストアー 2003年8月 ローソン会員情報（氏名、住所、性別、生年月日、電話番号ほか）が漏えい 約56万人 信用販売会社 2004年1月 約32万人の顧客データの流出。調査専門会社が調査した結果、ホストコンピュータや外部からのアクセスによる情報流出の可能性は低いと判断。サーバデータ抽出ツールによる情報系、キャッシング系からの情報流出の可能性が高いと判明したが、真相は分からなかった 約32万人 電気通信事業者 2004年2月 全顧客の情報が漏えい。漏えいした情報を使って会社を恐喝した男が逮捕された 約660万人 通信販売会社 2004年3月 名前や性別、住所、電話番号、生年月日、年齢が記載された顧客情報が漏えい（九州、山口、東京、大阪など）。内部者による漏えい 約60万人 石油会社 2004年4月 会員情報の一部が流出。架空請求が会員に届いたため、調査を行ったところ住所などの誤記がそのままであったことから漏えいが判明した 約220万人 旅行会社 2004年6月 内部者による漏えい事件。顧客の氏名、住所、電話番号、生年月日、職種などの情報が漏えいした 約62万人

　上記は被害が甚大な主立った事件であるが、大部分の漏えい事件は書類の紛失、ノートPCの紛失、FAX・メールの誤送信といったことが原因で、漏えいした件数も100件程度の場合もある。ノートPCの紛失であれば、通常の方法では情報にアクセスできないような対策を実施しているケースも多く、実際には被害につながっていない場合も多いと考えられる。

　しかし、今後、個人情報の漏えいが生じた際には公表を行うことが定着すると、漏えい事件のたびに公表を余儀なくされ、企業のブランド、評判に傷がつくことにを留意しなければならない。つまり、漏えいしないようにする防止策のみならず、漏えいした時にいかに損害を少なくするのかが重要となってくる。これには、事故対応の善し悪しが重要であり、そのためには事前の準備から漏えい時の対応まで幅広い対策が必要となる。

漏えい時対策の基本的な考え方