日時: | 2006年4月17日(水)11時30分〜14時 |
場所: | 銀座ライオン7丁目店6階 |
出席者: | 49名(内65会会員:大隅、梶本、正林、山根、峯) |
講師: | 砂田健次氏(92期/(株)損保ジャパン 営業開発第二部第一課長) |
演題: | 「個人情報保護法1周年〜あなたの個人情報は大丈夫ですか」 |
講師紹介: | 92期卒。昭和60年早稲田大学法学部卒業後当時の安田火災(現在の損保ジャパン)に入社、新宿支社における企業取引の営業を経て本社火災新種業務部で商品管理開発業務に従事。 その後、滋賀県内の営業担当を経て昨年7月より現職。自動車、火災以外の広範囲の保険業務を担当。 |
講演内容: (要点のみ) |
(1)個人情報という問題について、何故保険会社が出てくるのかという疑問を持たれると思うが、損害保険協会においてこれに係わる保険を作ろうという動きがあるため。自分は法律の専門家ではないので本日は法律的な話ではなく、この1年の動きを振り返ってみたい。 (2)この法律は昨年4月に施行された。企業の側から見ると準備が極めて大変という感じであるが、企業内の個人の立場としては、小さなことではあるが、自分は帰宅途中に酒を飲まなくなり、また鞄を持ち歩かなくなった。 (3)お配りした資料にあるように個人情報漏洩などの事故例は非常に多い。置き忘れ、故意・犯罪、盗難、メールの誤送信、ウィニー等。この中で盗難、置き忘れ、誤操作が非常に多い。最近はウィニーによるネット上への情報流出による個人情報事故が多発。 (4)最近のウィニーによる情報漏洩事例(詳細省略) 2005年4月:秋田県湯沢市の11,255人分の名簿流出、 2006年3月:岡山県警の犯罪被害者と容疑者の個人情報流出など。 (5)ウィニーについて (i)ウィニーとは:ファイル交換ソフトの一つ。ウィニーを使っている人同士の間で、お互いが保存している情報を自由に(勝手に)引き出すことが出来る。本来は、引き出されてもいい情報と引き出されては困る情報とがフォルダーに区別されている。 (ii)アンティニー(Antinny)の仕業:アンティニーはウィニー関連のウィルスで、本来は引き出されては困る情報を、勝手に、引き出されてもいい情報にしてしまう。そのため、公開されないと思っていた個人情報や画像、メールの内容などが勝手に引き出されることになる。 (iii)情報漏洩の確認方法:ウィニーを使用している場合、公開用の「UP」フォルダに何らかのファイルが保存されていて、それが自分の指定したファイルでなければ、漏洩している危険性が高い。自分の情報が実際にネットワークに流出しているかどうかは、ウィニーを利用してやりとりされているファイルをダウンロードして確かめるしか方法はない。 (iv)参考情報(サイト):独立行政法人情報処理推進機構(IPA)セキュリティセンターhttp://www.jpa.go.jp/security/(直近情報、対策情報などがわかりやすく掲載されている) (6)漏洩事故による企業の損失 法的責任(損害賠償責任、行政監督権限の介入、処罰、業務の停止など)、企業イメージの失墜、信頼の低下による顧客の喪失 等々。 (7)漏洩した個人情報の値段 (i)宇治市住民基本台帳の漏洩事例:外部の民間業者にシステム開発業務を委託したところ、その再委託先に勤務していたアルバイト従業員がデータをMO(光磁気ディスク)にコピーし、名簿業者に売却した。損害賠償額は一件当り1万5千円(うち5千円は弁護士費用)合計すると33億円!漏洩した情報をもとに二次的損害が発生すれば損害賠償額はさらに大きくなる。 (ii)賠償額算定の考え方:流出した情報の数と情報の性質により変化すると考えられる。基本情報(氏名、住所、生年月日、性別)であれば、上記宇治市の事例が参考とされる可能性があるが、資産状況、信用情報といった重要情報の場合やさらに身体的特徴、病歴、投薬の有無などの情報が漏洩した場合には高額になると考えられる。NPO日本ネットワークセキュリティ協会では損害賠償額=基礎情報価値X機微情報度X本人特定容易度X社会的責任度X事後対応評価というモデルを示している。 (iii)その他の事例:通信業者:590万件の漏洩。500円の金券。コンビニ:会員115万人に500円の商品券などのように一人500円が基本?? エステサロン会社では、流出データにスリーサイズが含まれていたことやネット上に情報がさらされたことから一人100万円の慰謝料を求めて提訴されたケースもある模様。 (8)個人情報とは、生存する個人に関する情報のうち、氏名、生年月日、住所などで特定の個人を識別することが出来るものをいう。個人情報の主な例:名刺、顧客リスト、アンケート、申込書、年賀状リスト等々。 (9)個人情報保護法の施行で何を守らねばならないか?5千件超の個人データを取扱う事業者に対し以下のような個人情報の取扱いルールが義務化されている。 【主な取扱いルール】 (i)個人情報を取得する際には、利用目的を本人に通知または公表すること (ii)利用目的を変更する時には、本人に通知または公表すること (iii)個人情報が漏洩しないよう対策を講じ、従業員だけでなく、委託業者も監督すること (iv)個人情報を第三者に渡す時は本人の同意を得ること (v)本人からの求めに応じ、個人情報開示要求には対応すること、 なお、個人情報データを5千件超保有していない事業者でも、情報漏洩事故が発生した場合「法律上の賠償責任」を負う可能性がある。 (10)具体的な対策 (i)個人情報保護法対応に関する責任者を決める (ii)自社が取扱う個人情報を把握し、取扱い方法を整理する (iii)整理した取扱い方法に沿って、内部規定(情報取扱規定、就業規則など)を整備する (iv)取扱マニュアルを作成、社員教育を行ない、正しい処理を徹底させる (v)個人データを記録するサーバ等への技術的な対策(不正アクセス対策、暗号化など) (vi)個人データの委託先ならびに派遣従業員の派遣元との契約書上の個人情報の取扱いに関する規定の整備 (11)情報漏洩防止例(企業におけるFAX・メール送信などの基本行動) 【FAX送信】 (i)宛先確認など入念なチェックをする FAXのダイヤル押し間違いのないように送付先をあらかじめ登録しておく (ii)ダイヤルする時は、二人で確認しながら送信する (iii)FAXは宛名本人以外が見る可能性もあるため、電話で一言伝えておくなどの対応を心掛ける 【メール送信】 (i)誤送信を防ぐため、送信時は相手のメールアドレスを十分確認する (ii)メールアドレスは登録ミスをなくすために相手から空メールを送信してもらい登録する (iii)個人情報が含まれるファイルを添付してメール送信する場合は、ファイルにパスワードを設定する 【個人情報の外部への持ち出しには細心の注意を】 (i)顧客情報を外部へ持ち出す場合には細心の注意を払う、自動車内の放置は厳禁。車ごと盗難に遭った事例もある。必ず携行する (ii)電車の網棚に安易に置かない。乗り越したり、眠ったりした時に置き忘れる危険大。必ず手に持つ (iii)宴席が予定されている時は、顧客情報を絶対に携行しない |