================================================================

ISO認証機関のインターテックから厳選されたお役立ち情報をお届けします

2019.3.29発行(第34号)

================================================================

いつも大変お世話になっております。
今号では、以下の情報をお届けします。

【事例】
実際に起こった過去の個人情報漏えいの事例

【研修】
情報セキュリティに関する研修

【法令クイズ】
改正個人情報保護法

 

本メールマガジンにてご紹介している事例や考え方等は、
あくまでも一般的な考え方や事例の1つとしてご紹介しているものであり、
審査での適合性の保証や同様の取組みの導入を推奨、強制するものではありません。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【事例】
実際に起こった過去の個人情報漏えいの事例

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

情報化社会である現代、組織が持つ情報はどの組織にとっても重要な資産です。
これら機密情報の情報漏えいの原因の60%は社内/日常業務にあることを
以前(第30号)ご紹介しました。

実際に個人情報の漏えいだけで年間380件以上、その賠償額の総額は
数千億円という規模で情報セキュリティに関する事故が発生しています。
国際的に話題になった事例としては、

・2019年 米クラウドコンピューティング会社のCitrix (シトリックス)社の
社内ネットワークへの不正アクセス。
・2018年 米ホテル事業を運営するマリオット・インターナショナル社の
不正アクセスによる最大5億人の顧客情報の漏えい。
・2017年 米消費者信用情報サービスEquifax(エキファックス、エクィファクス)社の
1億4300万人の社会保障番号などを含む個人情報の漏えい。

などが知られています。また、日本においても、
2019年1月に(株)オージス総研のファイル転送サービス「宅ふぁいる便」の
顧客データ約480万件が漏えいしたと発表され、現在も調査が続いています。

『企業IT利活用動向調査2018』によると、今後重視したい経営課題として
「業務プロセスの効率化」、「従業員の働き方改革」に次いで
「情報セキュリティの強化」が3位となり、その対策へは
高い関心が寄せられていることが分かります。

 

 

今号(34号)では、全ての組織に共通するリスクである情報セキュリティについて、
特に個人情報漏えいの損害賠償事例を通して、その重要性についてご紹介致します。

[5年間で漏えいした個人情報は日本の人口の半分を超えている?]

『上場企業の個人情報漏えい・紛失事故調査』によると、2012年から2016年の5年間で、
上場企業と主要子会社で発生した個人情報の漏えい・紛失事故によって漏えいした可能性のある個人情報は、
日本の人口の半分を超えていることが分かりました。(累計最大延べ7545万人分)

個人情報の漏えい・紛失事故を公表した企業数は259社、事故件数は424件。
一例を見てみますと、

・2014年ベネッセホールディングスの約3504万件分の漏えい事件。
・2013年ヤフーの外部からの不正アクセスで最大2200万件のIDが外部流失した可能性が公表された事件。
・2012年の三菱UFJフィナンシャル・グループが約672万人分の
過去の顧客取引データを記録したコムフィッシュ(記録メディア)を紛失した事件。

等、重大で大規模な漏えい事故が発生しています。

 

 

個人情報の漏えい・流出が生じた場合、まずは企業の自主的な対応がなされます。
また、企業に対して裁判が起こされ、裁判所が賠償額を算定するケースもあります。

過去の個人情報漏えい事故・事件の例)

 

 

[地方自治体でも賠償責任を負った京都府宇治市・住民基本台帳データ流出事件]

<概要>
再々委託先のアルバイトの従業員が不正にコピーしたデータを
名簿販売業者に販売し、約22万件の住民基本台帳データが流出するに至った。
被害者らが1人当たり33万円(慰謝料30万円、弁護士費用3万円)の損害賠償を求めた民事裁判では、
1人あたり1万5000円(慰謝料1万円、弁護士費用5000円)を認めた。

<漏えいした個人情報>
住民基本台帳データ
(住民の住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主の続柄 等)

<ポイント>
プライバシー権侵害に対して損害賠償という形で個人に損害の填補を認めた初めてのケース。

※個人情報保護法の施行前の事件

 

[総額200億円以上の賠償額となったベネッセコーポレーションの個人情報流出事件]

<概要>
業務委託先の社員が、不正に顧客情報を取得し、約3504万件分の情報を名簿業者3社へ売却し、
個人情報が流出するに至った。企業側から自主的なお詫びの対策として、1人500円相当の金券を配布。
被害者らが1人当たり5万~10万円を求めた民事裁判では、
1人当たり3300円(慰謝料3000円、弁護士費用300円)の賠償を認めた。

<漏えいした個人情報>
氏名、性別、生年月日、出産予定日(一部)、メールアドレス(一部) 等

<ポイント>
判決では氏名や住所などの情報が「思想信条や性的指向などの情報に比べ、
他者にみだりに開示されたくない私的領域の情報という性格は低い」として原告側の実害を認定せず、
「情報漏えいによる精神的苦痛には3千円の慰謝料が相当」と判断された。
また、派遣社員の不法行為でも使用者責任を負うとして賠償責任を認めている。

以上、簡単に個人情報漏えい事件の概要についてご紹介いたしました。

個人情報保護に関しては、個人情報保護法やGDPR(EU一般データ保護規則)といった
関連法規に基づき損害賠償の責任を負うこととなります。
また、損害の程度や有無に関わらず、個人情報が流出した際は、企業側の自主的な対応が重要となります。
また、日頃からこのような事態が発生しないような情報セキュリティ管理の仕組み作りが必要です。

情報セキュリティにおける組織的な対応力を強化するための施策として
第三者による認定/認証制度の重要性は広く知られていますが、
実際に認証のどこに価値を見出しているのかを調査した結果があります。

最も多かった回答は「取引先からの信頼を得るため」の約76%。
次いで、「社内の情報セキュリティ体制を高度化させるため」、「消費者からの信頼を得るため」が続いています。
同調査では、契約や入札の際に、第三者認証取得が条件となっている場合も多く、
第三者認証取得の重要性がより増している背景があると述べられています。

 

 

<出典:(株)東京商工リサーチ 『「上場企業の個人情報漏えい・紛失事故」調査』>
リンクアドレス:http://www.tsr-net.co.jp/news/analysis/20170327_01.html

<出典:(財)日本情報経済社会推進協会 『企業IT利活用動向調査2018』>
リンクアドレス:https://www.jipdec.or.jp/library/itreport/2018itreport_spring.html

<参考: 経済産業省 個人情報保護に関するページ>
リンクアドレス:https://www.meti.go.jp/policy/it_policy/privacy/

<参考: 個人情報保護委員会ホームページ>
リンクアドレス:https://www.ppc.go.jp/

 

ご参考)情報セキュリティに関する国際規格”ISO27001”

世界中の企業や組織は、自らが取り扱う情報のセキュリティの改善を求められています。
多くの政府がさまざまな情報セキュリティに関する法規を施行しています。
顧客からは適切な情報セキュリティ対策を実施している証拠等が、また、
一般市民からも的確なデータ保護が求められています。

ISO27001は、適切な情報セキュリティ対策についての基準として
世界中で認知されている情報セキュリティ・マネジメントシステム(ISMS)に関わる規格です。
ISO27001では、以下の要求事項に対して組織的に取り組まれていることを示す
情報セキュリティポリシーの策定を求めています。

<ISO27001取得のメリット>
・関連する法規や契約上のセキュリティ義務の遵守
・作業条件の改善
・資源の最も効果的な利用
・継続的な改善
・実効あるリスク評価/処理対策を活用した効果的なISMSの確立
・告発手続の回避

弊社は、多岐にわたる規格の個々の認証は勿論のこと、それらを統合した認証も行っております。
お客様のニーズを的確に捉えて効果的な制度の確保に取り組んでいます。
”ISO27001”に関する詳細は弊社営業担当者又はお電話にてお気軽にお問い合わせください。
(東京事務所:03-3669-7435 大阪事務所:06-6150-0571)

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【研修】
情報セキュリティに関する研修

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

インターテックでは情報セキュリティに関する研修も行っており、
情報セキュリティにおける組織的な対応力を強化するための方法(ISO27001)を
より理解いただける研修となっております。
情報セキュリティマネジメントの仕組みを適用する為に必要な技術やスキル、
情報セキュリティについてどのような視点で何を確認しておくとよいのか
などが理解できる内部監査員養成コースなどございます。

皆様のご参加をお待ちしております。
詳細・お申込みは【コチラ】から。
研修全般のページアドレス:https://ba.intertek-jpn.com/study/

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【法令クイズ】
改正個人情報保護法

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【問題】
我が社はものづくりの会社であり、情報処理やソフトウェア開発などはしていない為、
個人情報保護法は関係ない。という理解は正しいでしょうか?

【回答】
改正個人情報保護法では、例えば、「仕事で使う携帯電話の電話帳」
「ソフトウェア等でリスト化された従業者や顧客台帳」を使っている会社は「個人情報取扱事業者」となり、
個人情報保護法の義務を負う対象としてしています。

 

<出典:経済産業省 『改正個人情報保護法パンフレット』>
リンクアドレス:http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

▼ 弊社お客様のISOマネジメントシステム活用事例をご紹介しています

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

弊社お客様のISOマネジメントシステムの活用事例や
研修(セミナー)の開催風景などをFacebookにてご紹介しています。

<お客様事例等は以下にアクセスください>
リンクアドレス:https://www.fb.com/IntertekCertification

 

 

*掲載内容は発行当時の内容をそのまま掲載しております。
 その後の改訂・変更等により、現状とは異なる場合やURLのリンク切れなどがあります。
 予めご了承ください。

*こちらに掲載された記事全文/一部を許可なく転載することを禁じます。

発行:インターテック・サーティフィケーション株式会社