スキップしてメイン コンテンツに移動

個人情報流出を理由に社員を解雇できるか

電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズが個人情報を流出させ、故意に流出させた犯人を懲戒解雇しました。


2007年07月04日13時15分
 [ニューヨーク 3日 ロイター] 電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズは3日、元従業員が顧客の個人情報を不正に入手し、関連業者に売却したことが判明したと明らかにした。これにより、230万にのぼる銀行およびクレジットカードの顧客情報が不正利用される恐れがある。
 同社傘下のサーテジー・チェック・サービシズでデータベースを管理していたウィリアム・サリバン元従業員が、顧客情報を不正入手した上で、関連業者に情報を売却したという。サーテジーが3日に裁判所に提出した書類で明らかになった。同社はすでにこの従業員を解雇したという。
 サーテジーは、今回の不祥事について、関連業者が流出した情報を顧客に対する売り込みや勧誘のために利用しているが、詐欺行為に利用された形跡はないとしている。流出情報には氏名、住所、電話番号、生年月日、銀行の口座番号、クレジットカードの情報が含まれている。
 サーテジーのレンツ・ニカルズ社長は電話会議で、今回の件による影響は十分に食い止められている、との認識を示した。
 最初に情報流出の可能性に気付いたのは5月1日前後だったという。また、関連当局がこの件について調査を行っていると明らかにした。
http://www.asahi.com/business/reuters/RTR200707040049.html

個人情報が流出した際に、その犯人(社員)をどう処分するのかもめることが多いそうです。サーテジー社のように個人情報を流出させた社員を懲戒解雇することも可能ですが、前提条件として就業規則に懲戒規程がなければなりません。就業規則に、きちんと懲戒する条件と対応する懲戒処分の種類(訓告、減給、出勤停止、降格、解雇など)を定める必要があるわけです。これを定めずに、個人情報を流出させてしまった社員を懲戒処分することはできません。雇用者の「懲戒権の濫用」と判断され、懲戒処分は無効になります。


比較的、大きな会社であるとこういった規程はしっかり作られている場合が多いのですが、中小企業や零細企業になると用意されていないことがあります。後でもめること多くの時間と労力が無駄になります。少々手間かもしれませんが、しっかりと準備しておいて損はないとおもいます。



当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

個人情報につける値段

アフラックの個人情報流出事件は約9億円の賠償金が必要 アフラックが15万件の個人情報を流出させてしまいました。(以下、朝日新聞)  アメリカンファミリー生命保険(アフラック)は26日、約15万人分の顧客の個人情報が入った業務用パソコン1台を紛失したと発表した。顧客の銀行口座や病気に関する情報などは含まれておらず、同社は「パソコンにはパスワードの設定や情報の暗号化がされており、第三者が情報を閲覧することは困難だ」としている。  パソコンを紛失したのは、同社が販売委託している代理店「ツーサン」(東京都新宿区)の男性社員。紛失したパソコンには、約15万人分の顧客の名前や住所、生年月日、性別などのほか、保険料や保障額などの契約内容も保存されていた。  同社によると社員は17日朝、東武東上線志木駅から電車に乗り、パソコンが入ったカバンを網棚に置いたまま席に座った。池袋駅で降りようとした際、カバンがなくなっていることに気づいたという。池袋署に被害届を出し、カバンは同日中に同線下板橋駅で見つかったが、パソコンはなくなっていた。  同社は「これまでのところ、パソコンに保存されていた顧客情報にもとづく不正請求や照会などはない」と説明している。問い合わせはアフラックコールセンター(フリーダイヤル0120・506・488)へ。 http://www.asahi.com/national/update/0726/TKY200707260202.html さてさて、「パスワードの設定や情報の暗号化」がされており「第三者が情報を閲覧することは困難」な情報ですが、もしアフラックがお客さんから訴えられたらいくらの賠償金を払う必要があるのでしょうか?ソフトバンクの個人情報流出から慣例化している500円/人?それともTBCのように1.7万円/人?実は、NPO日本ネットワークセキュリティ協会が「2003年情報セキュリティインシデントに関する調査報告書」で概算金額を計算する公式を提案しているんですね。 損害賠償額=基礎情報価値×機微情報度×本人特定用意度×社会的責任度×事後対応評価 基礎情報価値:500円 機微情報度:(10^x-1+5^y-1):2~125 X=精神的苦痛レベル:1,2,3 Y=経済的損失レベル:1,2,3 本人特定用意度:1,3,6 社会的責任度:1,2 事後対応評価:1,2 (出典:...
コメントを投稿
続きを読む

個人情報保護法の違反した場合の罰則について

個人情報保護法がザル法だと言われている根拠のひとつが罰則の軽さですよね。 社会的信頼を失うから公表だけでも相当痛いですが。。。 ■個人情報保護法から抜粋 第五十六条 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。 第五十七条 第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。 第五十八条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 ほかの法律を犯していると、重たい方が科せられますから一概に言えませんが、個人情報保護法だけだと、どんなに罪を犯しても30万円ですむわけですね。
コメントを投稿
続きを読む

個人情報保護法における法廷公表事項 法律上だけの解釈

個人情報保護法の法廷公表事項は、法律の解釈だけだと次の通りになっています。 第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 第十八条 3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 法第24条第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1 当該個人情報取扱事業者の氏名又は名称 2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 正確には上記だけです。 ですが、苦情処理や開示方法も暗に公表しろと言っています。 苦情処理や保有個人データの開示修正をするときに連絡先がなければできないんだもん。 ほか、 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 でもうすこし詳しく説明があります。 ちなみに、「公表」とはどのような状態を指すか 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 でこのように説明されています。 「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の 人々が知ることができるように発表すること)をいう。ただし、公表に当たっては、事 業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならな い。 【公表に該当する事例】 事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所へ の掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等 の備置き・配布等 事例2)店舗販売においては、店舗の見やすい場所への掲示によること。 事例3)通信販売においては、通信販売用のパンフレット等への記載によるこ...
コメントを投稿
続きを読む