本コラムの前回で「個人情報漏えい事故はどの程度で公表すべきなのか?」という記事を書いていますが、ここで紹介した内容に似た事例がありますので紹介します。これはある会社で実際にWebサイトに掲載されたお詫び文の事例です。


個人情報漏えいに関するお詫びとお知らせ

2011年4月11日
●●●●●●●●●株式会社

 このたび、●●●●●●●●株式会社(略)では、お客様の契約情報が記載された「お手続き完了のお知らせ」という書面に、誤って他のご契約者様の情報を記載してしまうという事故が1件発生しましたのでご報告申しあげます。
 今後、同様の事態が発生しないよう、これまで以上にお客様情報の安全管理の徹底に努めてまいります。

1.誤って伝えてしまったお客様情報の内容
 「ICカード番号」「銀行名」「支店名」
 「口座番号(下二桁以外マスキング処理済)」「カナロ座名義人」
 上記の通り、口座番号に関しては、マスキング処理を施しております。

2.経緯および状況
 2011年3月3日、弊社カスタマーセンター(略)において、あるお客様から、二つのお客様番号(お客様を特定するための管理番号の統合を依頼されました。その過程において、別のお客様の情報を誤って統合し、「契約手続き完了のお知らせ」に記載し、発送してしまいました。誤って発送した書面は、3月16日に回収し、契約情報を漏洩してしまったお客様へは、書面にてお詫び申しあげております。

3.再発防止に向けて
 弊社個人情報保護及びセキュリティポリシーに関する取り組みの継続強化をよリー層推進し、カスタマーセンターにおける指導、研修の強化を更に徹底し、お客様の信頼回復に努めてまいります。
 このような事態を招き、お客様にご′心配、ご迷惑をおかけすることになりましたことを、心から深くお詫び申しあげます。

お問い合わせ窓口
●●●●●●●●●株式会社 個人情報管理事務局
TEL : ●●-●●●●-●●●● (10:00~ 18:00)

発生した事実は下記の通りです。

・顧客に手続き書類を郵送した際に、

・1名の顧客に対して、

・他人の管理番号、カナ氏名、銀行口座情報(一部マスキング済み)を間違えて印字して送付した。

・本人には個別に謝罪した。

ここまでの情報をわざわざ社外に公表する必要があるのでしょうか?

前回の私の記事を読んで、弊社コンサルタントの遠藤がFacebookにコメントしてくれました。


経済産業省のガイドラインなどを、皆さんがしっかり理解されて、行動されるべきなのは確かですね。(略)

とはいえ、このガイドラインにある通り、経済産業省のスタンスとしては「公表を省略しても構わないが情報が共有されることが望ましい」という風に「できるだけ公表してね」であることは間違いないと思います。

したがって、わけもわからず事件を公表する必要はない一方で、「要件を満たしたら公表すべきではない」ということでもないなと、そう思いました。

この遠藤のコメントがおそらく一般的な落としどころなのだと思います。

それにしても私は、「個人情報漏えい」=「すべて公表しなければならないわけではない」ということを、もう少し皆さんにわかっていただいた方がいいのではないかと思いますので、あえて同じテーマで、今回2つめの記事を書いてみました。

執筆者紹介

中康二

オプティマ・ソリューションズ株式会社 代表取締役

多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など。

この記事は中康二氏が運営する「プライバシーマーク・個人情報保護blog @pmarknews」に掲載されたコンテンツを適宜編集部にて加筆・修正を行って転載しています。