« バナーの所有権をゲットしました![ゴーログ] | トップページ | やっぱり「アメリカ万歳論」にみえるようです――猛反省。[ゴーログ] »
2004.03.19
顧客情報の漏洩を考える [コラム]
金曜日の定例コラムです。先週は、「CSRを語る前に内部管理体制を整備せよ」というテーマで企業の内部管理の重要性について書きましたが、今日は、最近話題になっている顧客情報の漏洩について考えてみたいと思います。
顧客情報漏洩に関するニュースが、後を絶たない。
先月末には、ヤフーBBの個人顧客情報流出がマスコミを賑わした。流出が確認された情報件数は、約452万件と膨大な数に上る。この事件は、容疑者が盗んだ個人情報をもとにヤフーBBを提供するソフトバンクBBおよびソフトバンク本体を恐喝していたというもので、顧客情報漏洩もますます悪質な犯罪性を帯びてきた。犯罪性といえば、ジャパネットたかたのケースも同様である。同社は、被疑者不詳のまま、窃盗の容疑で警察に告訴状を提出した。報道によると、1998年7〜10月頃、当時の本社ビルのサーバー室から個人情報の入った業務用の記憶媒体「カートリッジ・マグネティック・テープ」が何者かによって盗まれ、149件の個人顧客情報が流出したらしい。
また、記憶に新しいところでいえば、「勘定奉行」という財務・会計ソフトなどを販売しているオービックビジネスコンサルタントに関しても、顧客情報漏洩の報道があった。同社の案内送付用法人顧客情報を保存したフロッピーディスクが盗難にあったらしい。この事件は、そのフロッピーディスクを預かっていた同社の業務委託先が、車上荒らしによりそのフロッピーディスクを盗まれたというもので、フロッピーディスクには7325社の法人顧客情報が保存されていたという。実際は、顧客情報が暗号化されていたため、フロッピーディスクを盗んだだけでは情報を活用することはできなかったのだが、オービックビジネスコンサルタントはタイムリーにフロッピー盗難の事実を公表。それを受けて、マスコミが大々的に報道したことから、犯人はインパクトの大きさに恐れをなしたのか、そのフロッピーディスクは犯行から3日後に盗難場所から150メートル離れた道路脇の植え込みで見つかったという。
バカにならない顧客情報漏洩のコスト
顧客情報漏洩事件が頻発していることを受けて、事件に巻き込まれた企業の損失額も拡大しつつあるようだ。過去の事例をみると、昨年8月に発覚したファミリーマートのメルマガ購読者約18万人の顧客情報漏洩に際して、同社は詫び状と1000円相当のクオカードを送った。直接的な費用だけで、1億8000万円の損失になる。同じく昨年8月に約8万人分のクレジットカード会員情報が流出したアプラスの場合も、顧客に対して詫び状と1000円の商品券を送ったため、損失は8000万円。ヤフーBBの場合は、1人500円相当の金券を郵送することとなったため、損失は単純計算で22億6000万円に上る。
一旦顧客情報の漏洩が起これば、「お詫び」のコストはバカにならない。その上、顧客情報の漏洩に伴う企業イメージの低下も避けられない。まるで、踏んだり蹴ったり殴られたり、という状況に陥ってしまう。情報漏洩の企業ダメージは、こうした直接の損害金額にとどまらない。
このような事情を反映して、最近、個人情報が漏洩した際の損害を補償する「個人情報取扱事業者保険」が発売され、好評を博しているようだ。これは、万が一、個人情報が漏洩した場合に、第三者に対する法律上の賠償責任を負担することによって被る損害および個人情報が漏洩したことによる企業ブランド価値の毀損を防止・縮減するための費用の補償を行う保険商品である。ただ、この保険とて、補償限度額は最大で1億円。ヤフーBBのケースで考えれば、「ないよりまし」という程度のものに過ぎない。
情報セキュリティに対する認識が甘い企業は多い
このような事態にも関わらず、企業における情報セキュリティの認識はまだまだ甘い。インターネット・ポータルを運営しているgooが、本年1月に大企業から中小企業までを対象として行ったgooリサーチ「第1回 企業の個人情報保護と情報セキュリティ対策に関する意識調査」によれば、企業が活用したい個人情報として、氏名や住所、年齢・生年月日、電子メールアドレスなどが挙げられている。個人情報漏洩により深刻な被害を及ぼす事項として、「社会的な信用の低下」「顧客からの取引や指名の停止」「情報が漏洩した個人からの損害賠償請求」という回答が多い。
もっとも、その一方で、調査対象企業の個人情報保護対策への取り組み状況をみると、「プライバシーポリシーの策定」「情報システムや管理体制の再構築」といった対策を採っている企業もあるものの、「特になし」という回答が25.9%、「わからない」という回答も8.3%ある。また、一般に、顧客情報の漏洩は外部からの侵入者によるものでなく内部から流出するケースが多いのだが、ネットワークを経由する社内情報の漏洩防止対策については、「特にない」という回答が38.2%もある。
要するに、個人情報を活用してビジネスを行いたいという企業は多い。そして、企業の個人情報に関するセキュリティ対策は遅れ気味であるという実態が浮き彫りになったという感が強い。
いずれにせよ、今後すべての企業は、顧客情報の漏洩対策を求められるようになるだろう。外部からの情報奪取に対する対策のみならず、内部からの情報漏洩についても、管理する姿勢が重要になってくる。ここで、対策を考えていく上で忘れてはならないポイントをひとつだけ指摘しておきたい。それは、顧客情報漏洩の問題が発生した場合に、個人の責任に帰して幕引きをしてはならないということである。
人間は、時にはミスをする、悪事を働く、不祥事を起こす。そういうことをヒューマンエラーというが、ヒューマンエラーはあくまで結果であって原因ではない。ヒューマンエラーによる顧客情報流出を最小限にとどめるためには、それがなぜ起こったのかというプロセスを深く分析しなければならない。単にその原因をその個人の責任に帰してしまうのではなく、なぜその顧客情報の流出が発生したのかを探ることが重要だ。
特定の事件を特定の個人の責任に帰してしまうことはたやすいし、そういうことを実際に目にすることも多い。しかし、特定の個人を責めたところで、何の解決ももたらさないし前進もない。組織として、あるいは仕組みとして、どこにどのような不備があったのかに意をめぐらさなければ、より高度な情報セキュリティ体制の整備にはつながらないのだ。個人への攻撃は、情報セキュリティを含む内部管理体制を整備するインセンティブを阻害するだけで、むしろ有害でさえある。
人間は常に誤り得る
顧客情報漏洩の問題に関しても、「人間は常に誤り得る」または「人間は不祥事を起こし得る」という前提に立って考えなければならない。情報漏洩に備えて、セキュリティポリシーを制定することは必要なのだが、立派なルールを作ったら、それで不祥事がなくなったなどという事例はない。情報管理責任者を置いたところで、情報管理責任者もスーパーマンではないから、ミスや見落としもあるだろう。
日本企業の場合、内部管理の対策は、得てして建前論で終始してしまうケースが少なくない。素晴らしいルールを制定するのだが、そのルールブックがどこにあるかといえば、神棚に飾ってあるか、引き出しの奥にしまわれているか、ゴミ箱に捨てられているか、という3通りだったりする。要するに、形作りだけして魂が入らないまま放置されるケースが多いのだ。
もっと、実務的に考えるべきだ。「人間は常に誤り得る」という前提に立って対策を講じるべきだと思う。「人間は不祥事を起こし得る」という視点で対処すべきなのだ。そうすれば、自ずと対策も練り込まれてくる。どんなルールを作ろうが、そのようなスーパーマンを担当者にしようが、顧客情報が漏洩する可能性をゼロにすることはできない。そうであれば、万一にも顧客情報が漏洩した場合にどうすればその顧客情報が利用されないかを考えることが重要となってくる。
このような観点からは、オービックビジネスコンサルタントの例は示唆に富む。同社のケースでは、業務委託先が車の中に顧客情報が保存されたフロッピーディスクを置きっ放しにしなければ、この事件は起こらなかったわけである。しかし、フロッピーディスクをうっかり置き忘れてしまうということは、人間である限り残念ながら起こりえる。
じつは、顧客情報が盗まれるという事態にはなったものの、同社はその情報を暗号化処理しパスワードも付加していた。もちろん、その暗号やパスワードまで解読されれば情報流出は避けられないという議論はある。しかし、それに加えて、同社が迅速にフロッピー盗難の事実を公表したため、犯人がその情報を第三者に売ることを事実上困難化させた。その結果、犯人がフロッピーディスクを植込みに放棄してくれたのであるから、同社の情報セキュリティ対策は一定の効果を挙げたと考えて良い。
冒頭に上げた企業の事件に関するプレスリリースには、「情報の流出元に関して、現在調査中」「情報の流出経路の特定も含め、一刻も早い事態の全容解明に向けて、全力を挙げて取り組んでいる状況」といった文言が記されている。もちろん、事態の全容解明は必要不可欠なことである。関係者の処分も行われるかもしれない。
しかし、情報セキュリティ体制強化の本質は、事態の全容解明や関係者の処分が行われた後に、再発防止に向けてどのような「仕組み」を構築するかにかかっている。特定の個人の責任に帰着させたり、外部のならず者を批判するだけでは、同じような事件が再発するだけである。「人間は常に誤り得る」そして「人間は不祥事を起こし得る」という現実を直視した実務的な対応が求められている。
マスコミ報道に過剰反応すべきではない
キレイゴトや机上の空論による情報管理は百害あって一利なし。「顧客情報を漏洩するのはケシカラン」というマスコミ報道にもほとんど価値はない。そもそも顧客情報を漏洩しているのがマスコミなのだから、何をかいわんやである。オフレコだと断わっているのに、平気で記事にする人々は少なからずいるし、最近では、情報ソースを他者に明かさないというジャーナリストの常識すら弁えていない記者も増えた。そういう人種が「顧客情報を漏洩するのはケシカラン」と言っているのだから、天にツバするようなものである。
いたずらに騒ぎ立てるのではなく、具体的に何ができるのか、どこまでできるのか、それでも情報漏洩が起こった場合には何をすべきなのか、企業はどこまで何をすれば善意なる管理者としての義務を果たしたとみなされるのか、プライバシー保護違反に対する損害補償はどうあるべきか、など前向きの議論をすべきなのではないか。
マスコミは、プライバシー、プライバシーととかく騒ぎ立てるが、日本人はそもそも表札を玄関前に掲げるおおらかな国民性なのだ。他の国では考えられないことだが、高額納税者を毎年公表して、誘拐犯に「ここに金持ちがいますよ」と教えているのは日本くらいのものなのである。あそこまで、顧客情報の漏洩を問題視するのなら、なぜ高額納税者の公表を問題視しないのだろう。それとも、自分の記事ネタになるようなことだけは、プライバシーがないと思っているのだろうか。
そもそも個人のプライバシーを侵害するような記事を日々平気で垂れ流しているのはマスコミ自身である。そして情報管理に一番ルーズなのもマスコミである。各企業は、マスコミの過剰報道に右往左往することなく、実務的で現実的な対策を講じていく必要がある。
2004 03 19 [06. リスク管理の勘所] | 固定リンク
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/15160/322370
この記事へのトラックバック一覧です: 顧客情報の漏洩を考える [コラム]:
» シティバンクの顧客情報、12万口座分紛失 [アジア海外駐在員便利帳 から]
日本の顧客情報がシンガポールで紛失というのがいかにもシティバンクらしいですね。シティバンクはグローバルに事務処理集中を進めており、シンガポールはアジア全域の預金... 続きを読む
受信 2004/03/19 12:36:55
» 顧客情報管理 [さる日記 から]
ヤフーから個人情報漏れてごめんなさいの金券届きました。こんなことより、漏洩経路の究明が終わるまで、新規会員の募集停止をすればいいのに。と思うが、マスコミはたた... 続きを読む
受信 2004/03/19 13:25:40
» めでたいサッカー。 [気まま絵日記 から]
サッカー、オリンピック出場権獲得だ〜、わ〜っ
あー、面白い試合でした。
ちょっと最後、鳥肌とか立っちゃったりして。
もう山本監督にメロメロです。
今日は... 続きを読む
受信 2004/03/19 15:34:13
» Yahoo!BB謝罪金1名500円>>>情報漏洩補償保険料 [独善概論(dokuzen-gairon) から]
ソフトバンクBB、450万件超えるYahoo! BBの個人情報漏洩を認め謝罪
5 続きを読む
受信 2004/03/19 17:26:13
» 顧客情報の漏洩 [日曜日は楽しいドライブ から]
ヤフーBBの顧客情報の漏洩事件などで企業などの危機意識が高まったのかな?と思って 続きを読む
受信 2004/03/19 19:40:14
» 無形のモノの価値 [PurpleMoon - Online Diary から]
昨今、顧客情報漏洩事件が頻発する要因として考えられるのが、
1.記憶媒体の進化により、一度に大量の情報を簡単に持ち出せるようになったこと
2.「スパムメール」... 続きを読む
受信 2004/03/19 20:11:11
» データ漏洩として幅広く考える [まーねこのひとりごと から]
私は半導体エンジニアで、色々機密事項を扱う立場にありますので、顧客情報に限らず、 続きを読む
受信 2004/03/19 20:32:14
» 顧客の情報漏洩 [sohosoho-Blog-市原 から]
情報漏洩 最近この手の話題が多い。
情報漏洩して何がまずいのか?
カード番号が第三者に知られるのはどう考えてもまずい。
TBCの時ように、体のサイズも... 続きを読む
受信 2004/03/19 20:40:18
» プライバシーと個人情報保護 [ほぼ日刊:ビジネススクール・MBA blog から]
エコノミストというのだろうか。。。経営者というにははばかれる人だ。
木村剛さんの 続きを読む
受信 2004/03/21 0:39:56
» 盗み心を刺激しない [ネタ銭ゼロからの資産形成 から]
個人情報の漏洩は、基本的に、職場でのお金の窃盗と同じだと思います。
まずは、簡 続きを読む
受信 2004/03/21 15:09:53
» 情報セキュリティについて(顧客情報の漏洩を考える) [McDMaster's Weblog から]
http://kimuratakeshi.cocolog-nifty.com/blog/2004/03/__5.html
情報セキュリティの重要性が巷間叫... 続きを読む
受信 2004/03/21 20:43:06
» 情報保護には内部規則・仕掛け [面白い音楽は から]
顧客情報の漏洩を考える :週間!木村剛
全く同感です。内部犯行防止には犯行を追跡できる仕掛け必要です。
漏えい事件を起こした会社の対応がなっていない... 続きを読む
受信 2004/03/22 13:28:48
» 空気にお金を払うかどうかの問題じゃないのかな [Your Way, My Way, Any Way から]
一般的にマスコミとは、特定の事象に関して、無責任に面白おかしくであると同時に人が興味を引くように情報を操作して広く公に流すものであるように考えている。
木... 続きを読む
受信 2004/03/23 0:19:30
» ACCAも顧客情報流出!(怒) [日曜日は楽しいドライブ から]
Yahooの顧客情報流出事件でセキュリティがなってないなぁなんて思っていたら、本 続きを読む
受信 2004/03/25 15:50:55
» 個人情報漏洩のこれから [tmiura.notice から]
[soujirou: またまた個人情報流出!今度はACCA!]
いい加減これだけ件数が増えてくると、だいたい皆どこかのルートで個人情報が漏れていて、漏れていない... 続きを読む
受信 2004/03/30 2:48:19
» 個人情報漏洩のこれから [tmiura.notice から]
[soujirou: またまた個人情報流出!今度はACCA!]
[紫月美夜: ]
いい加減これだけ件数が増えてくると、だいたい皆どこかのルートで個人情報が漏れて... 続きを読む
受信 2004/03/30 2:53:36
» 税理士が、DVDとCD-ROMで指導する個人情報保護対策 [お得情報? から]
今年4月施行の個人情報保護法完全対応型支援ツール
・この支援ツールは、文書モデルの入ったCD-ROMと解説DVDからなる。
・文書モデルはExcelを使って簡単に自社版が作成できる
・購入後もメールで質問ができるなどのアフターフォローも充実
・他に個人情報に対応の同様の商品は売られていない
・税理士事務所所属のその道のプロがわかりやすく作っており、安心
・値段が安い(コンサルタントや専属の担当者が不要)
・中小企業の社長さんにもとても便利
・何回で..... 続きを読む
受信 2005/05/11 16:11:13
» 楽天、流出10万件? [sima2*blog から]
楽天(三木谷浩史社長)が運営するインターネット上の仮想商店街「楽天市場」の顧客情... 続きを読む
受信 2005/07/28 9:56:30
» 楽天、流出10万件? [sima2*blog から]
楽天(三木谷浩史社長)が運営するインターネット上の仮想商店街「楽天市場」の顧客情... 続きを読む
受信 2005/07/28 10:01:34
» 日本テレコム情報漏洩 私有PCから? [いしだのぶろぐ から]
日本テレコムがとうとうやってしまいました。まさか私有PCからの漏洩とは。 すでに 続きを読む
受信 2006/07/25 0:06:45
