それぞれの企業が責任を問われるのは当然だ。ミスが重なりにくいようなフローを作るとか、持ち運ぶHDDは暗号化しておくとかは、今後の対応にかかっている。HDDの暗号化について、していないという報道はないが、していたら報道時に触れないはずはないだろう。(悪意のあるプロの手に渡ったら、標準の暗号化程度では無力かもしれないが、盗んだかばんに入っていたHDDをPCにつないで確認してみたという程度の置き引き犯による二次被害は防げるだろう。読めなければ諦めてフォーマット後中古屋に売って終わりだろう。)
ITmedia エンタープライズ:原因は「二重の人為的ミス」ウイルスバスター不具合で謝罪
大三川執行役員 十数人のチームで、交代制で動いている。誰がチェックミスしたのかはまだ聞いていない。チェックには厳格なルールを適用しており、ISO9002(国際品質保証規格)にも認定されている。
ケイ・オプティコム : プレスリリース:個人情報を含んだハードディスクの紛失について
このたび、株式会社ケイ・オプティコム(取締役社長 田邉 忠夫/本社 大阪市北区)の社員が、
通信設備障害時の保全業務対応用のハードディスク1台を紛失し、そのハードディスクの中に最大
12,004件の個人情報(氏名、住所、電話番号)※が含まれていることが判明いたしました。
※銀行口座、カード番号等に関する情報は含まれておりません。
上は、トレンドマイクロが誤ったパターンファイルをばら撒いて、一部ユーザーのPCが起動しなくなったときの報道。下は、ケイ・オプティコムが顧客の個人情報入りのHDDを紛失した件についてのプレスリリース。トレンドマイクロは、ISO9002に認定されているし、ケイ・オプティコムはインターネット接続サービス安全・安心マーク推進協議会とやらの安心マークをつけている。
にもかかわらず、このような事態を引き起こしたのなら、これらの認定団体は何等かの責任を社会に対して負うべきだ。これらの設定した基準をクリアしたにもかかわらず、不良品をばら撒いたり個人情報の入ったストレージが行方不明になるということは、監査基準に問題があったと考えるべきだろう。でなければ、こんなお墨付きマークは、天下りの寄生宿主でしかないという批判を受けても仕方がないだろう。むしろ、こんなマークで品質を保証することによってユーザーが信頼してしまったとしたら、企業と結託してユーザーをだましたのと一緒なのだ。
トレンドマイクロの発表にもその弊害が現れている。「チェックには厳格なルールを適用しており、ISO9002(国際品質保証規格)にも認定されている。」というのはおかしい。この言い方だと、「ISO9002の基準をクリアしていれば、そこで起こったことについてはうちは知らない」と聞こえる。ISO9002の基準をクリアしていれば、そこで起こったことについてはISOが賠償するとでもいうのならいいが、そんな話は聞いたことがない。だいたい、ISO9002を取得するための製品チェックなのか考えろといいたい。
これが、個人情報保護法施行前後で企業がおおわらわでやっていることの本質だ。大騒ぎして、規程の変更や組織改変、リリース、契約策定したところで、個人情報が漏れたときに、「当社はこれだけやってました。これは他社と同レベルです」という責任転嫁のための基礎固めでしかない。
ユーザーは、「ISO9002の認定うけていても、安全・安心マークが付いていても、安心はできない」と思っておくしかない。
#この図式は、国土交通省が自らの監督責任について知らん振りしているJR西日本の事故や、三菱自動車の不良品による人身事故(事故を起こしたトラックは国土交通省の車両審査をパスして発売されたし、事故車両は車検をパスしていた)と同じだ。
前に書いたままほっておいたら、次々同様の報道がある。このエージェントがやったのは、個人情報保護法施行前なので、法的にどこまで問えるのか疑問だ。ソフトバンクとの契約違反という形でしか問えないかもしれない。ただし、ソフトバンクは以前社内からの遺漏で問題を起こした企業で、「再発防止」に取り組むと宣言していた。委託先だからいいということではないだろう。
契約書を取り交わせばそれで自分の責任は逃れられるという発想は「お墨付き」体質といえるだろう。かといって、出張サービス委託するさいに顧客の住所・氏名・電話番号を知らせないわけにはいかないだろう。しかし、ユーザーにとっては委託先がもらすかどうかは問題ではない。ソフトバンクを信じて託した個人情報なのだから、ユーザーに対する責任はソフトバンクが負うしかないだろう。
Yahoo! BB出張サポートの委託人、顧客情報を自分のビジネスに流用 – CNET Japan
ソフトバンクBBは、「業務委託先や登録エージェントとは、個人情報の厳格な取り扱いを定めた誓約書を交わしておりましたが、このような事態に至ったことはまことに遺憾です。お客様ならびに関係者の皆様に大変ご迷惑をおかけしたことを深くおわび申し上げると共に、再発防止に取り組んでまいります」としている。
遺漏しないようにするには、委託先の情報管理について定期的な監査をするしかないだろうな。そこまでやっていることを示して始めて、情報を委託元としての責任を果たしているといえる。後、委託業務を行ったユーザーに継続的フォローアップもやって欲しいものだ。