資料ダウンロード

個人情報が漏えいする原因とは?

1.個人情報の漏えいとは

 2022年4月1日に施行された個人情報保護法の改正で、個人情報の漏えい等の報告が義務化されました。漏えい等の「等」には滅失と毀損が含まれています。

法律の定義では、

漏えいとは、個人データが外部に流出すること
滅失とは、個人データの内容が失われること
毀損とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること

とあります。

 どのようなケースが漏えい等にあたるかは、個人情報保護委員会のホームページにガイドラインで公表されています。

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1

 この義務には続きがあります。該当条文を見ると、次のように書いてあります。

第26条(漏えい等の報告等)
第1項(個人情報保護委員会への報告義務)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。以下、ただし書き省略。
第2項(本人への通知義務)
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。以下、ただし書き省略

法律の条文なんて難しくて法律家でないと何が書いてあるかわからないという条文アレルギーをお持ちの方も、この程度なら理解できますよね。
第1項が個人情報保護委員会への報告義務、第2項が本人への通知義務の規定です。個人情報保護委員会への報告義務はわかるけれども本人への通知義務は嫌だなと感じる方もいることでしょう。

しかし、2022年3月31日まではこれらは法律の義務ではなかったばかりか、個人情報保護法が施行される前の2005年3月31日までは個人情報の取扱いそのものにも規制がなかったので、名簿の売買がごく当たり前のように行われていたのです。わずか20年足らず前の時代のお話です。昨今の標的型攻撃メールとかランサムウェア感染といったサイバー攻撃に依らずとも、基本情報はダダ洩れだったのです。皆さん、よくご無事でしたねというほかありません。

2.繰り返される漏えいパターン

10月17日、関西方面の大手通信会社で900万件近くの大量の個人情報が漏えいしたというニュースがありました。報道内容を見ると、過去の漏えい事件と同じパターンでした。もう、典型的といってもいい感じです。さらに厳しい義務規定を新設した方がいいんじゃないか思うくらいです。もちろん、これは個人情報保護委員会への報告義務対象になります。

どんな漏えいパターンであったのかというと、子会社の元派遣社員による漏えいです。一部、クレジットカード情報も含まれていたようで、さらに名簿屋にも流出したおそれもあるそうです。これって、皆さんの中に何か身に覚えがある方もいらっしゃるのではないでしょうか。

そうです、今から10年前の2014年にベネッセコーポレーションでおきた大量の個人情報漏えい事件と同じパターンです。この事件では顧客システムの委託先に派遣されていた社員によるものでした。さらに漏えいまでには至らなかったようですが、昨年、2022年に尼崎市の住民情報をUSBメモリーにコピーして持ち出し、カバンごと紛失したという事件も同じパターンです(翌日、カバンと一緒にUSBメモリーも発見され、漏えいしたおそれはなかったそうです)。

3.顧客情報へのアクセス制御が不十分

顧客情報(個人情報)が漏えい(社外に持ち出す)したということは、その前提として個人情報にアクセスできるように許可しているということです。このアクセスというキーワードにはいくつかのレベルがあります。閲覧できる、利用できる、保存できる、複製できる、削除できるなど。こうした個人情報の取扱いについては、委託契約で定めているはずです。また、そもそも容易に個人情報にアクセスできないように安全管理措置を講じているはずです。なのに、なぜ個人情報をコピーして持ち出せたのでしょうか? またコピーした時点で情報システム部門は気が付かなかったのでしょうか。いやいや、それ以前に執務室にいる他の社員や委託先の上司等が気づかなかったのでしょうか?

公表された資料によると漏えいした主な原因は、

  • 保守作業端末にダウンロードが可能になっていた
  • 保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた
  • セキュリティリスクが⼤きいと想定される振る舞いをタイムリーには検知できていなかった
  • 各種ログ等の定期的なチェックが⼗分でなかった

とのことです。

ほぼほぼ、ベネッセ事件の時と同じ管理策の脆弱性が原因です。お客様からの通報で漏えいの調査に取り掛かったのも同様です。そもそもダウンロードして外部記憶媒体にデータをコピーしてどのような業務をするのでしょうか?

もし、そのような業務の必要がなかったとしても、外部記憶装置を執務室への持込禁止というルールが徹底されていれば防げたはずです(お金のかからない物理的安全管理措置、ベネッセの時も同様)。

4.リーディングケース

もっと驚くべきことは、2013年7月ごろから2023年1月にかけて、10年近くにわたり気が付かなったとうことです。おやおや、ベネッセ事件以前からでしたか。でも似たケースはもっと前にも起きていたんです。個人情報保護法が施行される以前の事件で、有名な地方自治体による最初の個人情報の大量漏えい事件として知られているものです。

宇治市が住民基本台帳のデータを使用して乳幼児検診システムを開発する業務を民間業者に委託、再々委託先のアルバイトの従業員がデータを不正にコピーしてこれを名簿販売業者に販売し、同業者が更に上記データを他に販売するなどしたため、住民らが個人データ流出により精神的苦痛を被ったと主張して、国家賠償法1条又は民法715条(使用者責任)に基づき、損害賠償金(慰謝料及び弁護士費用)の支払を求めたものです。

大阪高裁判決(最高裁で上告棄却)によると慰謝料10,000円、弁護士費用5,000円を認める判決がされました。判決では、「住民票データはプライバシーに属するものとして法的に保護されるべきもので、名簿販売業者へ販売され、不特定の者への販売の広告がインターネット上に掲載されたこと、またそれを名簿販売業者から回収したとはいっても完全に回収されたものかどうかは不明であるといわざるを得ないことからすると、本件データを流出させてこのような状態に置いたこと自体によって、住民らへの権利侵害があったというべき」としています。

個人情報の漏えいはプライバシー(人格権)の侵害にあたるということを改めて認識して、日々の個人情報の取扱いに気をつけてください。

この事件では、MOディスク(若い方はご存知ないかも?)にコピーして名簿屋に売却しています。ベネッセ事件ではスマホにコピーしています。媒体は時代を反映して変わっていますが、漏えいのパターンは同じです(委託先の監督義務違反)。現行法ではこのように不正に取得した個人データを売却することは違法ですし、買う側も違法です。さらに業務で取扱った個人情報データベース等を自分や第三者の不正な利益を得ることを目的に提供や盗用した場合は、懲役1年以下又は罰金50万円以下の罰則が適用されることがあります。これはベネッセ事件をきっかけに新設された罰則です。まあ懲役1年と判決が出ても、執行猶予になる可能性が高いと思います。

5.不正のトライアングル

 以上のような内部犯による個人情報の漏えいが起きるのは、不正のトライアングルという考え方があります。

  • 動機
  • 機会
  • 正当化

いろいろと会社に不満などがあって、不正を働こうとする動機があり、実際に不正に個人情報を持ち出せそうな機会が揃い、それを正当化する歪んだ気持ちが組み合わさって不正が行われるというものです。フツーはコピーしようとする段階で「いやいや、これはいかん」ととどまるのがコンプライアンスというものです。

上記の漏えい事件ではどのような不正のトライアングルが形成されたのかわかりませんが、外部からのサイバー攻撃以外にも内部不正による漏えい等も安全管理措置が大切です。

6.報告よりも通知が大切

個人情報保護委員会による2022年度の個人情報の漏えい等の報告は7,685件で、過去5年間よりも多くなっています。義務化以前の報告は任意でしたから、ほんとはもっと多くの漏えい等があったのかもしれません。個人情報の漏えい等が起こった場合、個人情報保護委員会への報告が義務化されましたが、前述のように本人への通知義務も大切です。

そもそも個人情報保護法の目的は、個人の権利利益を保護することにあります。前述のように個人情報の漏えいにより名簿屋へ転売がなされ不正利用によりプライバシー侵害すなわち権利利益が侵害されたということです。ですから、真っ先にお知らせするべきは漏えいされた本人に対してです。ただし、今回のように900万件に近い大量漏えいにおいては、記者会見やホームページ等での公表をして、その後、個別相談窓口で対応ということになるでしょう。

7.委託先の監督義務

過去の個人情報の漏えい事件を調べてみると、この委託先(再委託先や再々委託先の場合も)によるものが多いように感じます。そもそも個人情報は事業者の利用目的の範囲で利用するために取得しているはずですが、これを外部の事業者に渡して事業活動を行うというものです。

委託は提供とは異なり事前に本人からの同意は不要です。なぜなら委託先は第三者にあたらないからという法律構成だからです。提供と委託の違いは別の機会に譲るとして、委託元(個人情報を取得した事業者)は、委託先に個人情報を渡して業務依頼をするにあたり、監督義務が課されています。したがって、漏えいさせた委託先の責任もさることながら、委託元にも責任があり、両者とも前述の報告義務等があります。しかし、委託先での出来事を委託元は24時間監視しているわけではありません。したがって、今回のように10年近く漏えいに気が付かなかったのでしょう。

委託先の監督義務について、委託元は委託先の選定に当たり委託先の安全管理措置が法令が委託元に求められるものと同等であることを確認するため、委託する業務内容に沿って確実に実施されることについて、あらかじめ確認しなければいけません。そして委託契約には、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込み、委託先における委託された個人データの取扱状況を把握するためには定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいとされています。

 

8.個人情報の漏えいを防ぐために

内部犯にせよ外部犯にせよ、個人情報にアクセスされることを前提に、何かしら異常なふるまいがあった場合は、外部へ持ち出される前に不正なアクセス等として検知し、被害が拡大(他の端末や他のネットワーク)する前に対策できるようにしておくことが大切です。

そのためには改めてリスクアセスメントにより漏えい等が発生した場合の事業や利害関係者(顧客や従業員等)への影響を踏まえ、安全管理措置の見直しをするとともに、新たなサイバー攻撃の脅威等にも対応できる情報収集・分析・対策のプロセスを機能的に実施することです。

こうした事故事例は、安全管理措置を見直すうえでの反面教師ですので、同様のリスクがないかアセスメントしてみるといいでしょう。また社内で個人情報やPマークの教育を実施する際、「こういう事故が起きているから、このルールがあるんだ」と説明すると、社員の当事者意識や認識も深まると思います。