プライバシーマークの取り消し事例。その詳細とは?
-Sponsored Link-
企業の信用を証明するプライバシーマークは一度取得したからもうずっと続けられるというものではありません。
これはあくまでも「個人情報についてしっかりと保護をしており、そのための努力を続けている」ということで付与される印ですから、それができていないと判断された場合には取り消されることになるのです。
では実際にプライバシーマークが取り消された事例としてはどう言ったものがあるのかというと、多くの人にとってイメージしやすいのは2014年7月に発生した通信教育国内最大手企業、ベネッセコーポレーションでの個人情報流出事件でしょう。
この事件では最終的に3500万件以上の個人情報が流出し、当時39歳のシステムエンジニアが逮捕される事態になりました。
この事件を受けてベネッセ社は取締役二名の引責辞任、個人情報が流出した被害者に対して500円分の金券を配ることで対応しましたが、これまで無かった極めて大規模な個人情報流出事件は日本国内に対して個人情報保護のあり方について考えさせるものとなりました。
そしてこうした事件を引き起こしたことで日本情報経済社会推進協会はプライバシーマークを与えるに値しないと判断し、取り消しに至ったわけです。
さて、取り消し事例としてはこういったことがあるとして具体的に何をしてしまうと取り消しが行われるのかについてですが、これは「プライバシーマーク制度における欠格事項および判断基準」に記載がされています。
ここでは漏洩、紛失、滅失もしくは毀損、改竄もしくは正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示請求等の拒否の八項目が欠格事項と定められており、ここまでで述べてきたベネッセ社の事例に照らし合わせると「漏洩」と「目的外利用・提供」が該当すると考えられます。
ここで明記された項目は注意や警告で済むこともあるのですが、流出件数が極めて膨大であったことも踏まえてこの事例では欠格に値すると判断されたわけです。
この事例で最も注目するべき点は「企業としてプライバシー保護に努めていても、個人の行動によって企業への信頼が著しく貶められる」という点でしょう。
このベネッセ社の取り消し事例で逮捕されたシステムエンジニアは下請け企業の派遣社員でありベネッセ社に所属する人員ではありませんでした。
従って「保護すべき個人情報をどこに任せ、どういったルールを作るのか」ということを今一度考え直すことが必要だと言えます。
コストをかけて取得したプライバシーマークを失わないよう、企業自身だけではなく関連する先までしっかりと考え、統制することが取得企業には求められているのです。
-Sponsored Link-
|
|
