2005年06月24日

三菱電気子会社の保守情報漏洩について

今回の情報漏洩は、社員が顧客企業の設備保守情報を家に持ち
帰り自分のパソコンに保管しました。
ところがwinnyというソフトがこの情報を不特定多数の者にばら撒き
漏洩しました。
どこにばら撒かれたのかは特定することは出来ないでしょう。

家庭で使用するパソコンは、企業内の情報セキュリティ環境で
で使用するものに比べるとはるかに脆弱なものです。

本来、社員が会社の保有する保守情報を許可なしに外部に持ち出
した時点で、これは漏洩したことになります。

会社の秘密情報を持ち出す際の管理規定が整備されていたとしても、
社員がそれを守らなかったことも考えられます。

社内ルールを守っておれば、起きなかった事件かも知れません。

技術的、物理的にどんなに牽牛な対策を講じても、人が悪意を
もって行う行為については防ぎにくいものです。

今後の報道を見た上で、またコメントしたいと思います。  

Posted by s_akiterujp at 14:41Comments(0)TrackBack(0)

2005年06月23日

中小企業の経営者向け個人情報保護対策Q&A No.010

Q.個人情報の洗い出しの具体的な方法があれば教えて下さい。


【回答】
 社内で個人情報を取り扱っている担当・部署の特定を行います。特定した中で
どのような個人情報を取り扱っているかを調査します。

たとえば、人事部門であれば従業員の情報、営業部門であれば顧客の情報、購買部門であれば仕入先の個人情報などがあります。

それらの情報から漏洩したときに被害が大きなもの、少ないもののランク付けを行い、被害が大きいものから順に対策を行っていきます。

顧客情報→取引先情報→従業員情報の優先順位で対策を立てて行くのが良いで
しょう。

 白石経営事務所では、会社の状況に即したケーススタディを通じて、従業員の
啓蒙教育を行っております。

 お問合せは白石経営法務事務所 s_akiterujp@ybb.ne.jp までどうぞ。



  
Posted by s_akiterujp at 20:03Comments(0)TrackBack(0)

2005年06月22日

中小企業の経営者向け個人情報保護対策Q&A No.009

Q:第三者に無断で個人情報を提供されましたが、どのように対処すればいいで
しょうか?


【回答】
無断で使われることによって、被害が発生した場合は個人情報取扱事業者に対し
て損害賠償請求を行うことができます。
また、関係行政機関に苦情の申し立てをすることができます。

ただし、以下の場合は個人の了解を得ることなく第三者に個人情報を提供すること
ができます。

)[瓩亡陲鼎場合
(具体例:礼状捜査を受ける場合)
⊃佑寮弧拭身体または財産の保護に必要で、本人の同意取得が困難な場合
(具体例:急病の場合)
8衆衛生上、または自動の健全な育成推進に特に必要で、本人の同意取得が困難な場合
(具体例:疫学調査の場合)
す颪竜ヾ悗簔亙公共団体などが法令上の事務を遂行するのに協力が必要で、本人の同意取得が困難な場合
(具体例:税務署の半面調査に協力する場合)
ニ椰佑竜瓩瓩砲茲辰督鷆,鮹羯澆垢襦屮プトアウト」という制度を採用する場合
オプトアウトとは、「個人情報を第三者に提供することを望まなければ、本人の申
し出によっていつでも中止する」という内容などをあらかじめ通知または公表して
おき、その上で第三者提供を行うことです。
Π兮
(具体例:百貨店が注文を受けた商品を届けるため、宅配業者に個人データを渡す
場合など)
Щ業承継
(具体例:営業譲渡で顧客情報を渡す場合など)
╋ζ瑛用
(具体例:観光業、旅行業など、グループ企業で総合的なサービスを提供する場合
など)
この場合、共同利用の範囲、利用する情報の種類、利用目的、情報管理の責任者の
名称などをあらかじめ本人に通知するか、本人が簡単にわかるようにしておく必要
があります。

  
Posted by s_akiterujp at 23:09Comments(0)TrackBack(0)

2005年06月18日

中小企業の経営者向け個人情報保護対策Q&A No.008

Q:個人情報を業者に個人情報を提供する場合に注意するべきことは何ですか?

【回答】
 受けようとする役務に明らかに関係のないと思われる個人情報は提供する
 必要はありません。
 たとえば、ピザ屋さんが配達にあたって必要のない情報(年齢、血液型など)
 です。
 利用目的を明記していない、または説明がない場合には、どのような目的で
 使われるかが明確でないため安易に個人情報を提供しないでください。

 下記の点に注意して、判断するようにして下さい。

  ・利用目的が明確になっているか
  ・個人情報保護方針を明確にしている会社か
  ・その情報が第三者に開示されることがあるのかどうかの確認、提供される場合
   は本人の承諾を得ているか
  ・自分の個人情報を開示要求する場合の窓口が明確になっているか
  ・自分の個人情報を知りえる状態になっているか
  ・開示項目の内容
  ・開示の申し込みの際に必要な書類
  ・開示の申し込みの際に必要な手数料、その徴収方法
  ・開示の際の回答方法
  ・苦情の受付窓口
  
Posted by s_akiterujp at 01:13Comments(0)TrackBack(0)

2005年06月17日

中小企業の経営者向け個人情報保護対策Q&A No.007

Q.個人情報保護法施行前に入手した個人情報を用いて、顧客にパンフレットや
新商品の情報等を送付していました。
  施行後も送付してもよいのでしょうか?

【回答】
  施行後も同じ利用目的であれば違反にはなりません。
  ただし、ホームページなどで利用目的や問い合わせ先を公表する必要があり
  ます。
  その際の利用目的は“新商品やイベント情報のご紹介、”など、具体的
  に特定する必要があります。  
Posted by s_akiterujp at 01:19Comments(0)TrackBack(0)

2005年06月13日

中小企業の経営者向け個人情報保護対策Q&A No.006

Q.個人情報を漏洩した会社が、500円の金券を送っていましたが
   これは支払わなければいけないのでしょうか?
   もし、支払わなければどのような罰則があるのでしょうか?
   また、支払わなくて済む方法はありますか?

  【回答】
   漏洩しただけで、被害が出ていなければ、お詫びのメールやお手紙
   などで謝罪し、再発防止に努めることを約束することで済む場合も
   あるでしょう。

   現在ではお詫びの金券の額も万単位となっていますので、多額な出費と
   なります。

   もし、実際に架空請求やおれおれ詐欺などの被害が発生しておれば、
   損害賠償や慰謝料を請求されることも有り得るでしょう。

   これを支払わないとしたら、民事訴訟を起されることも有り得ます。

   また、個人情報取扱事業者であれば、最悪のケースとして、個人
   情報保護法違反としての罰則が適用されます。

   罰則は30万円以下の罰金刑か、6ヶ月以下の懲役刑があり、社会に
   与えた影響や被害の度合いによって刑量が異なってきます。


  
Posted by s_akiterujp at 21:33Comments(0)TrackBack(0)

2005年06月09日

中小企業の経営者向け個人情報保護対策Q&A No.005

Q.よく「情報が漏れた」と云いますが、漏れた基準とはどのようなことを
  指すのでしょうか?
  

 【回答】
   漏洩したといえるには、盗難や従業員が第三者に売り渡したり、
  不特定多数の者の目にさらされた状態をいいます。

 具体的な例としては、

 ‥纏劵瓠璽襪FAXの同報送信で送信相手以外の者に誤って送信してしまった。
 個人情報を保存しているノートパソコンの紛失や盗難にあった。
 F睇瑤亮圓個人情報を、名簿業者に無断で売渡した。
 ぅ轡絅譽奪澄爾砲けずに個人情報が記載された紙をゴミに出し、それを回収
  した業者が、第三者に売渡した。

  などがあります。

  しかし、やい覆匹両豺腓聾朕余霾鵑猟鷆ー圓らの苦情などで、はじめて
  漏洩したことに気づくでしょう。
  
Posted by s_akiterujp at 20:36Comments(0)TrackBack(0)

2005年06月08日

中小企業の経営者向け個人情報保護対策Q&A No.004

Q.リストラを行い、社員を解雇しました。
  解雇した社員は経営者である私を恨んでいると思います。
  そんな元社員が持ち出した顧客の個人情報が不正に使用された場合、
  責任は、経営者である私にも及ぶのでしょうか。

 【回答】
   あなたは、被害のあった顧客に対して、解雇した元従業員のしたこと
  であっても、誠意ある対応が望まれます。
  
  あなたの取りうる行動は、先ずは顧客より詳しい状況を聞いて下さい。
  事前に個人情報の相談窓口を設けておき、ここで一元的な対応が行えるよう
  にしておくと良いでしょう。

  そして、被害者の立場に立ってお詫びすることです。
  この場合は、被害者に対する誠意ある対応がなによりも大切です。

  明らかに元社員の犯行であるとの確証を得ることができれば、元社員を
  刑事告訴することもできます。

  また、元社員に対してはあなたが被った精神的・財産的被害について
  損害賠償請求と慰謝料請求を行うことができます。

  これらの問題が発生した時は、専門家である行政書士や弁護士に相談し
  て行うと良いでしょう。

  
Posted by s_akiterujp at 22:27Comments(0)TrackBack(0)

2005年06月07日

中小企業の経営者向け個人情報保護対策Q&A No.003

Q.当社では、複数人の社員が顧客データの登録を行っています。
  当然、顧客データを漏洩させることの怖さは、折に触れ伝えている
  のですが、それでも会社に反発をもった社員が意図的に顧客データを
  漏洩させるのではないか、との不安が消えません。
  従業員から顧客データを守るためには、まず何をすればよいでしょうか?

 【回答】
  先ずは、社員に個人情報の漏洩防止に関する誓約書を提出させて下さい。
  その内容として、損害賠償の義務と、即刻懲戒解雇する旨を盛り込んで
  下さい。

  これは社員だけでなく、パートやアルバイトの従業員にも適用してください。
  労働基準法の解雇権の乱用にならないように、就業規則にも盛り込んでおく
  ことをお勧めします。

  また、従業員間でも内部牽制機能がはたらくような仕組みを考える必要があ
  ります。
  内部牽制機能とは、互いにチェックできる体制を意味しており、従業員ごと
  に許容された権限内の範囲で、業務の前工程と後工程の担当者を別の者に
  して権限外のことを行うのを防止することができるようにしておくことです。

  内部牽制機能が機能しているかを見るには、非定期に業務監査を行うことが、
  個人情報の漏洩防止にも役立ちます。

  会社に反発をもった従業員が意図的に個人情報をもらすことは、十分に
  考えられることです。

  そのような従業員を雇っている事自体、大きなリスクを抱えていることに
  なり、あなたの精神衛生上よくありません。

  会社が大事か、そのような従業員が大事か早めに決断して下さい。

  

  
Posted by s_akiterujp at 20:55Comments(0)TrackBack(0)

2005年06月06日

中小企業の経営者向け個人情報保護対策Q&A No.002

不幸にして顧客の個人情報が漏洩して、被害にあった人から損害賠償を請求
された場合、どのように対処していけばよいでしょうか。

【回答】
   民事と行政の両面より追求の手がやって来ますのでそれぞれについての
   対応が必要となってきます。

   〔瓜面について
    個人情報取扱事業者であろうとなかろうと、実際に個人に被害が発生
    した場合は、民法上の不法行為として損害賠償請求や慰謝料の請求が、
    あなたにやって来ます。

    被害者に対して誠意をもって謝罪し、和解に持ち込むようにしましょう。
    最近の判例では、慰謝料は1人につき1万円という判例が出ています。
    

    あなたが、この要求に応えることができなければ、場合によっては
    被害者から民事訴訟をおこされるかも知れません。

    そして、その結果は行政処分や刑事処分にも大きく影響してきます。
 
    
   行政面について
主務大臣より個人情報漏洩について報告を求められます。
    そして主務官庁による是正勧告というものが来るでしょう。
    この是正勧告に従わなかった場合は、是正命令が発せられます。
    心ある事業者であれば、この段階で是正命令に従うため、それ以上
    のお咎めは無いでしょう。(ただし確証はありません)

    また、被害者に対する和解が成立しておれば、主務官庁に与える心証も
    よいものとなります。

    主務官庁の是正命令にも従わない悪質な場合は、あなたは検察庁に送検
    され、刑事責任を問われることになります。

    罰則は6月以下の懲役または30万円以下の罰金に処せられます。

   社会的な制裁
    取引先、金融機関、顧客、その他関係する全てからの信用を失うでしょう。
    場合によっては、事業の継続が困難となり、倒産ということになります。

 このような事にならないためにも、個人情報保護対策は必要となってきます。  
Posted by s_akiterujp at 21:43Comments(0)TrackBack(0)