個人情報漏洩の企業責任、甘さ目立つ日本

個人情報漏洩の企業責任、甘さ目立つ日本 対策遅れも
https://www.nikkei.com/article/DGXZQOUC04AML0U1A800C2000000/

 ※ オレも、今般の身内の不幸に際して、提出書類の収集のために、随分と役所の窓口を訪れた…。

 ※ その時感じた感想は、「随分、”個人情報”の管理は、厳重なものなんだな…。」と言うことだ…。

 ※ 特に、”マイナンバー”については、凄かった…。まず、殆んど”本人”以外は申請できないくらいに、ガチガチに固めている…。

 ※ ある場面では、「家族全員の”承諾書”の提出が、必要です。」と言われた…。

 ※ 「個人情報」と言っても、住所、氏名、年齢、性別くらいのものだ…。書類提出目的も、年金関係とか、保険関係とか、半ば”公的”なものだ…。

 ※ そういう提出関係で、なんでそんなに厳重にする必要があるんだ…、と思った…。
 ※ それに反して、企業関係(民間)の管理に関しては、記事にある通りユルユルだ…。
 ※ このチグハグさは、解せん話しだな…。

『個人情報の漏洩問題に関し、日本と欧米で企業への罰則の格差が目立っている。欧米当局はセキュリティー対策が手薄な企業に巨額の制裁金など厳しい姿勢で臨むが、日本では企業の責任が問われる例が少ない。データ漏洩の被害者の不満が募るうえ、一部の専門家は「日本企業の対策の甘さを招き、結果的に国際的な競争力も低下させかねない」と懸念している。

個人情報保護委員会、取り合わず
「本当にこれで対応は終わり?」。婚活マッチングアプリ「Omiai」を利用していた会社員の20代女性は驚いた。同サービスを運営するネットマーケティングは5月、外部からの不正アクセスを受け最大で約171万アカウント分の運転免許証やパスポートなどの画像データが漏れた可能性があると公表した。

同社からデータ流出の恐れがあると知らされた女性は、すぐに個人情報の削除を要請。だが8月にやっと届いた返信は「調査のため削除できない」との内容で、不安が消えなかった。「個人情報保護委員会にも問い合わせたが、取り合ってもらえなかった」という。

ネットマーケティングはこの件に関し「被害者のデータは、ネットから遮断したサーバーに保存している」と説明。「非常に申し訳なく思っている。対象者が非常に多く、非常に多くの問い合わせを頂いたことなどから一部で対応が遅れてしまった」などと話す。

日本の個人情報保護法では、個人情報を漏洩した企業の責任を問うハードルが高い。同法は企業に適切な情報管理を行うよう義務付けるが、一部の例外を除きデータ漏洩自体を直接罰する規定はない。法令違反が明らかなら個人情報保護委員会が改善を求める勧告や措置命令などを出し、その命令に違反すると罰金などが科せられる仕組みだ。

違反が疑われる場合に、個人情報保護委員会が指導や助言などの行政処分を下すこともできる。だが現在と同じ手続きになった2017年から21年3月までに、最も重い「命令」が出されたのは2件で、勧告は5件のみ。指導や助言は800件以上あるが「ほとんどの場合、企業名は非公表」(影島広泰弁護士)だ。

被害者が自力で民事裁判を起こし、情報漏洩による精神的苦痛やプライバシーの侵害を主張して損害賠償を求めることは可能だ。ただ弁護士費用や裁判の準備で少なくとも数十万円以上のコストが見込まれ「実際に裁判に踏み切る人は少ない」(金田万作弁護士)。

勝訴しても、過去に裁判で認められた賠償額は1件あたり数千円が相場で、割に合うとは言い難い。04年にブロードバンド「ヤフーBB」の約450万件の顧客情報が流出した際、損害賠償訴訟を起こしたのは、たった5人だった。

欧米では高額制裁相次ぐ
欧米では対照的に、データ漏洩を起こした企業に当局が高額の制裁金を命じる例が相次ぐ。代表的なのが欧州の一般データ保護規則(GDPR)だ。

GDPRは18年5月の施行以来、欧州各国の当局が企業などに制裁金の支払いを命じた例は計約700件に及ぶ。例えば英国当局は19年、英航空大手ブリティッシュ・エアウェイズ(BA)が大量の顧客情報を流出させた問題で、約1億8千万ポンド(約270億円)の制裁金を科すと発表。その後、新型コロナウイルス禍による業績低迷を受けて2千万ポンド(約30億円)に減額されたが、セキュリティーの甘さが巨額な制裁につながると示された。

米国でも、企業の責任を問う動きが厳しさを増す。20年施行のカリフォルニア州消費者プライバシー法(CCPA)では不適切な管理によって個人情報が漏洩した場合、当局による執行対象となるだけでなく消費者は1人あたり100~750ドルの損害賠償を企業に請求できると定めた。「同様の規定は他の州や連邦レベルでも検討されている」(ディパロ真紀・米国弁護士)という。

消費者の信用評価を手掛ける米エクイファクスが17年にサイバー攻撃により約1億4千万人の個人情報を流出させた問題では、同社が19年、米連邦取引委員会(FTC)などに7億ドル(約770億円)の制裁金を支払うことで合意した。うち最大4億2500万ドルが、消費者への補償に充てられる。

情報漏洩の責任を巡る日本と欧米の差は、企業の対応力の違いにも反映している。

日本IBMによると、データ漏洩が起きてから会社がそれに気づき、被害拡大防止の対策を完了するまでに、日本企業は平均で288日かかっていた。ドイツ企業(160日)の約1.8倍に及び、対応が遅さが目立つ。日本IBMの小川真毅・セキュリティー事業本部長は「(日本は)規制が緩いため、経営層が重要課題と認識しないこともある」と話す。

各国の個人情報保護法制度に詳しい杉本武重弁護士は「日本の漏洩事案は、欧州などの基準から考えれば巨額制裁の対象になりうる場合も少なくない」と指摘する。日本法だけの対応に慣れてしまうと、海外向けのビジネスで当局からの制裁対象となるリスクが高まる可能性もある。

個人情報の取り扱いを巡っては、経済界などに「規制や罰則が厳しすぎると事業活動を萎縮させかねない」との懸念もある。だが消費者のプライバシー意識が高まり、”世界基準”の対策が求められる場面は増えている。顧客層などを勘案しつつ、日本法にとどまらない対応も必要とされる。

(渋谷江里子)

22年施行の改正保護法 実効性が課題

欧米に比べ個人情報保護ルールが緩いと指摘されることもある日本だが、徐々に変わりつつある。2022年4月に全面施行する予定の改正個人情報保護法では、企業の情報漏洩への対応が強化される見込みだ。

不正アクセスで個人情報漏洩が起きた際、個人情報保護委員会への報告や個人への通知が義務付けられる。現行法では委員会への報告は「努力義務」、個人への通知は「望ましい」とされるにとどまっていた。

企業への罰則も強化された。最大50万円だった罰金が1億円まで引き上げられ、20年12月から先行施行されている。

ただ改正法の運用には課題も残りそうだ。企業への罰金が適用されるのは、委員会からの命令に違反した場合や個人情報を不正な目的で第三者に提供した場合など、限定的な運用になる可能性がある。現行法でも企業が罰金を命じられたケースは公表されていない。法改正がどこまで実効性を伴うかが問われる。』