個人情報保護に関するアレコレ

電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズが個人情報を流出させ、故意に流出させた犯人を懲戒解雇しました。 2007年07月04日13時15分 　［ニューヨーク　３日　ロイター］　電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズは３日、元従業員が顧客の個人情報を不正に入手し、関連業者に売却したことが判明したと明らかにした。これにより、２３０万にのぼる銀行およびクレジットカードの顧客情報が不正利用される恐れがある。 　同社傘下のサーテジー・チェック・サービシズでデータベースを管理していたウィリアム・サリバン元従業員が、顧客情報を不正入手した上で、関連業者に情報を売却したという。サーテジーが３日に裁判所に提出した書類で明らかになった。同社はすでにこの従業員を解雇したという。 　サーテジーは、今回の不祥事について、関連業者が流出した情報を顧客に対する売り込みや勧誘のために利用しているが、詐欺行為に利用された形跡はないとしている。流出情報には氏名、住所、電話番号、生年月日、銀行の口座番号、クレジットカードの情報が含まれている。 　サーテジーのレンツ・ニカルズ社長は電話会議で、今回の件による影響は十分に食い止められている、との認識を示した。 　最初に情報流出の可能性に気付いたのは５月１日前後だったという。また、関連当局がこの件について調査を行っていると明らかにした。 http://www.asahi.com/business/reuters/RTR200707040049.html 個人情報が流出した際に、その犯人（社員）をどう処分するのかもめることが多いそうです。サーテジー社のように個人情報を流出させた社員を懲戒解雇することも可能ですが、前提条件として就業規則に懲戒規程がなければなりません。就業規則に、きちんと懲戒する条件と対応する懲戒処分の種類（訓告、減給、出勤停止、降格、解雇など）を定める必要があるわけです。これを定めずに、個人情報を流出させてしまった社員を懲戒処分することはできません。雇用者の「懲戒権の濫用」と判断され、懲戒処分は無効になります。 比較的、大きな会社であるとこういった規程はしっかり作られている場合が多いのですが、中小企業や零細企業になると用意されていないことがあります。後でもめる

アフラックの個人情報流出事件は約９億円の賠償金が必要 アフラックが１５万件の個人情報を流出させてしまいました。（以下、朝日新聞） 　アメリカンファミリー生命保険（アフラック）は２６日、約１５万人分の顧客の個人情報が入った業務用パソコン１台を紛失したと発表した。顧客の銀行口座や病気に関する情報などは含まれておらず、同社は「パソコンにはパスワードの設定や情報の暗号化がされており、第三者が情報を閲覧することは困難だ」としている。 　パソコンを紛失したのは、同社が販売委託している代理店「ツーサン」（東京都新宿区）の男性社員。紛失したパソコンには、約１５万人分の顧客の名前や住所、生年月日、性別などのほか、保険料や保障額などの契約内容も保存されていた。 　同社によると社員は１７日朝、東武東上線志木駅から電車に乗り、パソコンが入ったカバンを網棚に置いたまま席に座った。池袋駅で降りようとした際、カバンがなくなっていることに気づいたという。池袋署に被害届を出し、カバンは同日中に同線下板橋駅で見つかったが、パソコンはなくなっていた。 　同社は「これまでのところ、パソコンに保存されていた顧客情報にもとづく不正請求や照会などはない」と説明している。問い合わせはアフラックコールセンター（フリーダイヤル０１２０・５０６・４８８）へ。 http://www.asahi.com/national/update/0726/TKY200707260202.html さてさて、「パスワードの設定や情報の暗号化」がされており「第三者が情報を閲覧することは困難」な情報ですが、もしアフラックがお客さんから訴えられたらいくらの賠償金を払う必要があるのでしょうか？ソフトバンクの個人情報流出から慣例化している500円/人？それともTBCのように1.7万円/人？実は、NPO日本ネットワークセキュリティ協会が「2003年情報セキュリティインシデントに関する調査報告書」で概算金額を計算する公式を提案しているんですね。 損害賠償額＝基礎情報価値×機微情報度×本人特定用意度×社会的責任度×事後対応評価 基礎情報価値：５００円 機微情報度：（10^x-1+5^y-1）：２～１２５ X＝精神的苦痛レベル：1,2,3 Y＝経済的損失レベル：1,2,3 本人特定用意度：1,3,6 社会的責任度：1,2 事後対応評価：1,2 （出典：

リスク分析規程には業務フロー図は不要？ プライバシーマーク（JIS１５００１）には、リスク分析規程を内部規定として設けることを要求しています。しかし、JIS要求事項には、業務フロー図の作成なんて求められていないんですよね。もちろん、個人情報保護法や経済産業省ガイドラインなどにもリスク分析のための業務フロー図作成なんて求めていません。事実、ウチのプライバシーマーク取得支援のコンサルティングでもお客さんに業務フロー図を作ってくれとは頼みませんし、その方法でプライバシーマークが取得できなかったこともないんですよ。 けれども、ちまたのプライバシーマーク関連の書籍や、コンサルティング会社のWebサイトでは、（私が調べた範囲で）ほぼ全て「業務フロー図を作成します（必要です）」とうたってるんですよね。たぶん、プライバシーマーク審査員が作れという風に指導したのが切っ掛け（業務フロー図があれば審査時に指摘しやすいので）だと思うんですよね。で、それを誰かがノウハウとして世間に公表したから定着してしまったのかなと思います。 さて、リスク分析規程の業務フロー図に焦点を絞って書いてきましたが、この業務フロー図作成が楽な作業ならウチの帳票に組み込んでもいいんですけど、業務フロー図作成って作業量が多い割に作るのが難しいという２重苦なんですよ。想像してみて下さい。個人情報を利用している仕事の流れをWORDのオートシェイプを使って取得から廃棄（または消去）までフロー図に書きます。どうでしょう？かなり複雑な図になるはずです。そして、フロー図を作成する工数（時間）も相当必要になるはずです。この作業を、会社で取り扱っている（保護対象とした）個人情報全てに対して実施します。全ての部門・部署を回って個人情報の取扱いの流れをヒアリングして、それをひたすらWORDに入力して業務フロー図を作り上げていきます。決して、無理な作業ではないですが、非常につらい作業になります。なので、ウチではお客さんに業務フロー図の作成は依頼しません。 じゃ、どうすれば業務フロー図抜きでリスク分析規程を終わらせれるのか？といったお話はまた次回。 当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

個人情報保護法の対象となる事業者は… 個人情報保護法の対象となる事業者を次のように定義しています。 ３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 一 国の機関 二 地方公共団体 三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。） ここで、さらに説明が必要になる単語が２つ。 個人情報データベス等 事業のように供している者 個人情報データベースとは次のように定義されています。 ２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。 一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの とどのつまり、エクセルに入力したデータやあいうえお順に差し込んだ名刺入れが該当するわけですな。 なので、会社の個人情報をすべて紙で保管し、パッとみて分からないようにランダムに並べておけばその会社は個人情報取扱い事業者ではい＝個人情報保護法の罰則を受けないと言うわけですねｗ そんな非効率的な対策をしている会社なんてないと思いますがｗ そして、もう一つ「事業のように供している者」とは、経済産業省のガイドラインに次のように解説されています。 「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。 わかりにくいので、例を挙げると商品を販売するために、お客様の住所録を使って営業したりすることですな。 また、営利事業のみを対象とする者ではないとありますが、これはNPO法人やボランティア団体なども対象にしているぞと言っているわけです。ただ、別の個人情報保護法がある「国の機関」「地方公共団体」「独立行政法人等」は含まれないですけどね。 まとめると、個人情報保護法の対象になる事業者は、個人情報を記入（入力）した台帳などをもっていて、継続して事業を行っている者となりま

地方コンサルタントのeisukeです。 このブログは、私が仕事を通じて学んだノウハウを情報発信します。 私の仕事は、だいたい以下の通り。 ISO9001（品質マネジメントシステム） JIS15001（個人情報保護マネジメントシステム） 生産管理（主に5S指導） Webサイト構築支援 このブログがファイルのアップロード許可していれば、帳票なんかもアップロードしたいですね。 それでは、また次回。