前回まで、個人情報保護法施行に伴う国内の緊急事案に関し、さまざまな角度から検証し、個人情報保護に対して先進的な米国の事例も見てきた。今回は、最近起きた個人情報保護漏洩事件に対し、そのポイントをチェックしてみよう。
価格.comは、個人情報取扱事業者でない可能性がある
個人情報保護法が施行されてなお、個人情報の漏洩事件が後を絶たない。中でも価格.com社の事件に対する世間の評には、厳しいものがある。
価格.com社の事件は、同社が運営する価格比較サイトに何者かがウイルスを移植したことで、ウイルス感染被害を拡大させただけでなく、登録していたユーザーのメールアドレスを大量に漏洩したというものである。
原因の詳細は明らかにされないものの、Webアプリケーションシステムの欠陥がもたらす個人情報漏洩事件としては、珍しいものではないと推測されている。にもかかわらず、価格.com社に対する世間の評が厳しい理由は、ひとえに記者会見での社長の発言にある。後に発言の訂正があったが「最高レベルのセキュリティ対策を実施していた」「自社の内部理由による被害ではないので、個別の補償はしない」等々の発言が、周囲をあきれさせた結果だ。Eコマースを営む経営者、まして東証一部上場企業の経営者としての良識を疑う声は多い。
価格.com社を弁護する気はさらさら無いが、個人情報を扱う関係者としては、この事件を他山の石として「学ぶ」姿勢が重要だ。
最大の焦点は、個人情報保護法が定める「安全管理措置義務」に違反していると思われるにもかかわらず、価格.com社に対する行政処分がなされない点である。
個人情報保護法の施行直後に東証一部上場企業が起こした個人情報漏洩事件である。個人情報保護法施行後初の経済産業省による行政処分として、「見せしめ」効果が十分期待できる事件に思える。
行政処分対象となればWebアプリケーションシステムのセキュリティに対して、多くの企業が真剣に取り組むきっかけになったはずだ。経済産業省が今回の事件を承知しながらも価格.com社を行政処分の対象としない理由は、いくつか考えられる。「メールアドレスのみの漏洩であり、被害の程度が軽微である」「メールアドレス漏洩にともなう二次被害が確認されていない」などだ。
また、憶測の域を出ないが、そもそも価格.com社が個人情報取扱事業者として個人情報保護法の対象とできるかどうかの判断に迷いがあって、処分を見送っているのではないかとの思いが、筆者には強い。
なぜならば、価格.com社は、個人を特定できる情報を収集していないからだ。価格.com自体の利用には特別な登録は不要だ。ただ、最安値変動のお知らせメールを受け取るなど、より便利に利用しようとすると、ユーザーID(メールアドレス)の登録が必要だが、郵便番号、性別、生年月日の登録のみで、氏名、住所、電話番号のような項目は、一切収集していない。ユーザーIDとして利用されているメールアドレスに関しては、下記の経済産業省のガイドラインに例示されているように、個人情報として判断される場合と、されない場合がある。
価格.com社に行政処分がなされない理由が「個人情報取扱事業者に当たらないから」というのは、あくまでも筆者の憶測だ。仮に憶測が当たっていたとすれば、個人情報を取り扱う企業に求められるリスクマネジメントの原則である「必要以上の個人情報を収集しない」が実践されていた結果といえる。
日経BP社 2005年7月25日
Link
価格.comは、個人情報取扱事業者でない可能性がある
個人情報保護法が施行されてなお、個人情報の漏洩事件が後を絶たない。中でも価格.com社の事件に対する世間の評には、厳しいものがある。
価格.com社の事件は、同社が運営する価格比較サイトに何者かがウイルスを移植したことで、ウイルス感染被害を拡大させただけでなく、登録していたユーザーのメールアドレスを大量に漏洩したというものである。
原因の詳細は明らかにされないものの、Webアプリケーションシステムの欠陥がもたらす個人情報漏洩事件としては、珍しいものではないと推測されている。にもかかわらず、価格.com社に対する世間の評が厳しい理由は、ひとえに記者会見での社長の発言にある。後に発言の訂正があったが「最高レベルのセキュリティ対策を実施していた」「自社の内部理由による被害ではないので、個別の補償はしない」等々の発言が、周囲をあきれさせた結果だ。Eコマースを営む経営者、まして東証一部上場企業の経営者としての良識を疑う声は多い。
価格.com社を弁護する気はさらさら無いが、個人情報を扱う関係者としては、この事件を他山の石として「学ぶ」姿勢が重要だ。
最大の焦点は、個人情報保護法が定める「安全管理措置義務」に違反していると思われるにもかかわらず、価格.com社に対する行政処分がなされない点である。
個人情報保護法の施行直後に東証一部上場企業が起こした個人情報漏洩事件である。個人情報保護法施行後初の経済産業省による行政処分として、「見せしめ」効果が十分期待できる事件に思える。
行政処分対象となればWebアプリケーションシステムのセキュリティに対して、多くの企業が真剣に取り組むきっかけになったはずだ。経済産業省が今回の事件を承知しながらも価格.com社を行政処分の対象としない理由は、いくつか考えられる。「メールアドレスのみの漏洩であり、被害の程度が軽微である」「メールアドレス漏洩にともなう二次被害が確認されていない」などだ。
また、憶測の域を出ないが、そもそも価格.com社が個人情報取扱事業者として個人情報保護法の対象とできるかどうかの判断に迷いがあって、処分を見送っているのではないかとの思いが、筆者には強い。
なぜならば、価格.com社は、個人を特定できる情報を収集していないからだ。価格.com自体の利用には特別な登録は不要だ。ただ、最安値変動のお知らせメールを受け取るなど、より便利に利用しようとすると、ユーザーID(メールアドレス)の登録が必要だが、郵便番号、性別、生年月日の登録のみで、氏名、住所、電話番号のような項目は、一切収集していない。ユーザーIDとして利用されているメールアドレスに関しては、下記の経済産業省のガイドラインに例示されているように、個人情報として判断される場合と、されない場合がある。
価格.com社に行政処分がなされない理由が「個人情報取扱事業者に当たらないから」というのは、あくまでも筆者の憶測だ。仮に憶測が当たっていたとすれば、個人情報を取り扱う企業に求められるリスクマネジメントの原則である「必要以上の個人情報を収集しない」が実践されていた結果といえる。
日経BP社 2005年7月25日
Link
