個人情報流出で倒産するシステム・インテグレータ

2003/11/1

 さまざまな議論を経て成立した「個人情報の保護に関する法律」(個人情報保護法)が2005年4月にも施行される見通しだ。Eコマースサイトなどを運営し、大量の個人情報を保存している企業にとっては、施行前と比較して求められる義務が格段に増える。エルティ総合法律事務所の所長で弁護士/公認システム監査人の藤谷護人氏は、「企業が個人情報を漏えいすると、民事で損害賠償を請求されることが多かったが、個人情報保護法の施行後は刑事事件に発展することがある」と指摘し、「企業のシステム管理者は個人情報保護が刑罰によって社会ルール化される重みを感じる必要がある」と述べた。

エルティ総合法律事務所の所長で弁護士/公認システム監査人の藤谷護人氏

 藤谷氏はコンピュータ・アソシエイツが主催したイベント「個人情報保護法によって変わるITセキュリティ」で講演した。藤谷氏は公認システム監査人の資格を持つ唯一の弁護士。司法試験合格前は千代田区職員として区役所内のシステム化や運用を担当した。

 藤谷氏は企業が起こした過去の個人情報流出事案を紹介した。インターネット上に大量の個人情報が初めて流出したのは、1998年の人材派遣会社のケース。人材派遣会社の登録者9万人の個人情報が“美人度ランキング”付きで流出し、数十セットがWebサイトで販売された。被害者のうち、6人が提訴し、のちに人材派遣会社と和解した。和解金額は明らかになっていないが、藤谷氏は「判決が出ていれば損害賠償額は10万円程度になったかもしれない」と予想した。仮に9万人全員が提訴していた場合は、90億円の損害賠償額になる計算で、企業にとってはあまりに多い出費となる。さらに「損害賠償金を支払っても社会的イメージを埋めることはできない」(藤谷氏)ため、企業に対するダメージは続く。

 上記の人材派遣会社のように大規模な個人情報の流出が起きても、被害者が訴え出ることが少なく、企業が被る損害賠償額は小額なことが多かった。しかし、2002年に発生したエステティックサロン運営会社の事例では、弁護士がWebサイトを開設して約5万1000人の被害者に対して、集団提訴を呼びかけた。実際に被害者が呼びかけに応じ、運営会社を提訴。係争中だ。藤谷氏は弁護士による集団訴訟の呼びかけについて、「個人情報保護に対する意識の高まりだ」として、「企業に対して、大きな心理的な影響を与えた」と述べた。

 確かに、弁護士が取りまとめた集団提訴が起きて以来、個人情報の流出に対する企業の姿勢が変わったようだ。藤谷氏の説明によると、カード会員の個人情報56万人分を流出させたことが今年6月に分かった大手コンビニエンスチェーンは、流出発覚後に115万人の会員全員におわび状と500円分の商品券を送付した。送付コストなどを含めて5億円以上の経費がかかったと見られる。今年8月に流出が発覚した信販大手も約8万人の被害者に、おわび状と1000円分のギフト券を送付した。この信販大手は、氏名、住所、性別、電話番号、生年月日など基本情報に加えて、顧客の職業区分や年収区分も流出させた。送付したギフト券の総額は8000万円になる。藤谷氏は、個人情報流出の被害者に商品券などを送付し謝罪することについて「民事の集団提訴を受ければ企業の存亡にかかわる。過剰とはいえない」と評価した。

 企業による個人情報流出問題の要因の1つと指摘されているのが、システム開発や管理のアウトソーシングだ。藤谷氏が紹介した過去の個人情報流出問題でも多くのケースで、企業のアウトソーシング先が情報を流出させていた。発注を受けたシステム・インテグレータが自らが開発せずに、下請け、孫請けに仕事を委託する日本特有の系列構造も個人情報を流出させる地盤になると藤谷氏は指摘し、「アウトソーシング先や下請け、孫請け先で自社と同じセキュリティレベルを維持できているか、厳しくチェックする必要がある」と訴えた。

(編集局 垣内郁栄)

[関連リンク]
コンピュータ・アソシエイツ

[関連記事]
今から分かるICタグ〜課題克服は可能か (@ITNews)
電子メール暗号化が巨額の損害賠償を防ぐ (@ITNews)
情報漏えい対策は経営トップから (@ITNews)
「個人情報保護法」時代のセキュリティ対策 (@ITNews)
電子化でよみがえる印鑑文化 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)