NPO活動の継続・発展のために、情報収集・保有・発信は不可欠ですが、一方で、情報管理体制はどのように整えればよいのでしょうか。情報管理体制構築のポイントと、参考となる企業等の情報漏えい事例をご紹介します。
1 情報管理体制の構築
(1)チェックポイント
整えるべき情報管理体制は、各NPOの事業内容、事業規模、人員、保有情報の量や種類、性質等の諸事情により異なるため、一律に決定することは困難ですが、体制構築の第一段階として、
@ 保有する個人情報の洗い出し
(どのような情報を、何件くらい、どのような形で保有しているのか?)
A 個人情報保護法適用対象の「個人情報取扱事業者」にあたるか否か(※1)
B 事業内容・内部体制から考えて、危険性の高い漏えい経路
を検討する必要があります。
(※1「個人情報取扱事業者」について、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5000を超えない者」はこれにあたらないとされています。ただし、個人情報取扱事業者に当たらなくても、損害賠償請求を受けたり、社会的責任を問われる可能性はありますので、体制を整える必要がないわけではありません。)
(2)注意を要するポイント
保有情報の種類や性質について、氏名や電話番号といった一般的な個人情報のほか、思想、信条、宗教に関する事項、本籍地や犯罪歴、保険医療や性生活に関する特にセンシティブな情報を取得する際には、情報主体の明示的な同意を得た上、特に注意して管理する必要があります。
また、情報の流出経路について、件数が多い、名簿等の紙媒体からの流出のほか、USB、スマートフォン等の電子媒体は、大量の情報を誰でも簡単に保存・持ち出すことができますので、その取扱いと管理体制の周知徹底には、十分な注意が必要です。
2 事例紹介
それでは以下、具体的な事例をご紹介します。個人情報の種類・質、保有・漏えい件数、漏えい経路等の一例として、参考にしてみてください。
(1)「Yahoo!BB 顧客情報流出」事例
漏えい元組織 インターネット接続サービス大手企業
漏えい情報 Yahoo!BBの加入者等、顧客の氏名、住所、電話番号、メールアドレス等
漏えい件数 約450万人分
漏えい経路 元関係者による外部からの不正アクセス
(元派遣従業員が、退職後、在職時に与えられていた管理担当者アカウントを利用して、社外から社内サーバにアクセスし、流出)
対策費用 損害賠償額 6000円/人(但し訴訟原告)
社内管理体制の整備等の費用総額 約40億円
(2)「TBC」事例
漏えい元組織 エステサロン大手企業
漏えい情報 ウェブサイトで収集したアンケートの回答(住所、氏名、年齢、電話番号、メールアドレス、スリーサイズ、関心あるコース名等)
漏えい件数 約5万件分
漏えい経路 ウェブサイトの製作・保守業務を行っていた業務受託先の過失
(個人情報が含まれたファイルをアクセス制限のない状態で保存しており、複数のネット掲示板に当該ファイルにアクセスできるURLが公開された。)
対策費用 損害賠償額 2万2000円から3万5000円/人(訴訟原告)
原告らへの慰謝料支払い金額 約45万円
(3)「ベネッセ」事例
漏えい元組織 通信教育・人材サービス大手企業
漏えい情報 進研ゼミ・出産育児関係通信販売サービス等の顧客の住所、氏名、保護者名、電話番号、性別、生年月日等
漏えい件数 約3504万件分
漏えい経路 関係者による不正な持出し
(派遣従業員が、子会社のDBから、自分のスマートフォンに顧客データを転送し、複数の名簿業者に売却)
対策費用 被害者への金券送付(500円分)等、補償費用として200億円を準備
※以上をまとめた表がこちらです。画像はクリックすると拡大されます。
3 もしも漏れてしまったら
情報漏えいが発生してしまったら、@事実関係を把握し、A被害状況・事実関係の説明、B被害者への謝罪、B漏えい情報の回収、C事件の原因を明確にしつつ、再発防止策の整備を、迅速かつ適切に行うことが、必要となります。
問題をごまかそうとして、逆に状況を悪化させてしまう例も少なからずありますので、「真摯かつ誠実に」、「できるだけ迅速に」、必要な場合には弁護士等、専門家の助言と協力を受けながら、冷静に対処してください。
(NPOのための弁護士ネットワーク有志)
