メガバンク系の大手証券会社で顧客情報が流出する事故が起きました。件数が多いばかりでなく流出した個人情報の内容も深刻で、影響の大きさが際立っています。今回はこの事故を例にとって、個人情報に関する事故が起こった場合の影響を検討し、従業者教育の重要性を考えます。

まず、本件の事故による影響を、報道されている範囲で具体的にあげてみましょう。

個人情報を流出された顧客には問い合わせた覚えのないところから様々な金融商品の勧誘電話がかかってきました。勧誘元は多岐にわたるようですが、その態度の悪さやしつこさや、件数の多さが指摘されています。実は私の身内にもこの被害にあった者がいるのですが、とにかくしつこくて困ったと話していました。

流出させた本人は会社から懲戒解雇されました。警察からは不正アクセス禁止法違反の疑いにより事情聴取されており、場合によっては立件の可能性があります。また会社も、同法またはその他の刑事法違反により告訴を検討していると伝えられています。この流出者の氏名は報道されていませんが、今後の再就職などを含めて非常に厳しい人生を送らなければならないことが予想されます。

会社は事実関係の調査と謝罪に追われています。4月8日に報道発表と常務による記者会見が行われましたが、実際の被害が発表よりも大きかったことが判明したため、4月17日に再度報道発表と記者会見が行われました。2度目の記者会見では社長が頭を下げて謝罪しました。しかしながら現時点では被害の全容が明らかになったとはいえず、今後も会見と謝罪を繰り返さなければならない可能性があります。また、監督官庁である金融庁からの業務改善命令や、業界団体である日本証券業協会からの処分も予想されています。

個人情報保護の評価制度にプライバシーマークがあります。その基準である JIS Q　15001:2006（個人情報保護マネジメントシステム-要求事項）という規格では社内教育についても規定しており、個人情報保護マネジメントシステムに違反した際に予想される結果について従業者に理解させなければならないとしています。個人情報保護は最終的には人の問題であり、企業においては従業者教育を定期的に実施しなければならない理由が、今回の事故でも示されたものといえます。

（行政書士　関戸幸一）