コンプライアンス違反事例　ＮＯ．１３　ＩＴ関係（個人情報漏洩）

【１】違反概要

　インターネットサービスＧ社の利用者の大量の名簿情報が漏えいしていたことが発覚した。その数は発表当初242件であったが、その後に450万人とという国内では最大規模の情報漏えい事件となった。

【２】発覚の結果会社が被った被害

　被害者一人一人に500円分の金券が支払われて収束したが、Ｇ社しては、単純計算でも22億円を超える賠償金の支払いとなっている（一部の利用者は損害賠償訴訟を起こして1人6000円という賠償金判決を得た）。

【３】原因

　Ｇ社の代理店役員であった犯人および共犯者は、「脅迫」を目的に情報を盗んでいた。社名やユニークな「コンピュータ名」、社員番号や氏名までもがメタデータとして取り込まれていた可能性があることも知らずに、犯人の会社の端末で脅迫文を作成してしまっていたため、早期に犯人が判明し逮捕された（犯人には懲役4年という実刑判決が下った）。

【４】再発防止策

　１）代理店として自社で取り扱う以外のデータにアクセス出来ないようにする。
　２）結果が一覧できる検索などのデータの取り扱いは、許可された人のみが行なえるようにする。
　３）アクセスログを取り、誰がどのＰＣからどんな参照をしたかのログ解析が行なえるよにし、監視していることを利用者に知らせ、不正を抑制する。
　４）犯罪目的での個人情報取得が重罪である点を社員教育にて徹底する。

【５】再発防止策を機能させる歯止め

　１）漏洩と疑われる不正なアクセスが発生しているか否かなどを監視し、リスク管理の委員会などの定期的な場で報告する。
　２）漏洩事件は社内関係者が起こす例が多いので、全社員に対し個人情報保護のための教育の質を毎年上げながら、より厳しく管理していく。