|
<< FAQ一覧に戻る
Q3-20.当社では会員登録制でサービスを提供する業務を行っております。そのサービスの一つに、Web上で個人固有のID および パスワードでログインすると、その人の個人情報を表示し、登録内容を自由に変更できる仕組みがあります。IDは当社でユニークなキーを発行、パスワードはお客様に設定していただいています。
このIDとパスワードを第三者が適当に入力し、たまたまヒットしてしまい、情報を悪用され訴えられた場合は当社側の責になるのでしょうか?このようなケースに備えての対策などもご教示下さい。
法は第20条で個人情報の安全管理を次のように規定しています。
◇ ◇ ◇
法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
◇ ◇ ◇
経済産業分野のガイドラインでは更に詳しく以下のように解説されています。
◇ ◇ ◇
法第20条の説明
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。
その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましい。
◇ ◇ ◇
つまり、貴社は、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、「必要かつ適切な措置」を講じる義務があるということです。
この「必要かつ適切な措置」は一律ではなく、情報の価値、リスク、本人が被る損害(やがて貴社に損害賠償請求がくる可能性大)の程度に応じた「必要かつ適切な措置」を組織的、人的、物理的、技術的な要素にわたって実施しなければなりません。
従って、現状のID、パスワードでの技術的安全管理措置が、情報の価値、リスク、本人が被る損害に見合ったものであるのかどうか?という事が実際の漏えい事故の際に問題になるのです。
貴社が負うべき法的な「責」は二つの側面があります。
(1)個人情報保護法、主務大臣の命令に違反した場合の罰則
(2)民事による本人からの損害賠償訴訟
(1)に関しては、現状のID、パスワードが「必要かつ適切な措置」であるという判断で実施しており、事故が起きて、主務大臣の改善助言・勧告・命令に従い改善すれば罪に問われることはありません。
(2)に関しては、ただ漏えいしただけの抽象的な損害であっても損害賠償の対象になります(500円の商品券だけでは済まない)のでご注意下さい。
この領域は漏えい事故即、損害賠償訴訟になる可能性がこれから益々大きくなります。その際に適切な安全管理措置をとっていたにもかかわらず起きた事故であるという説明ができるかどうかで判決は全く違ったものになります。
現状先ず必要なことは、貴社のセキュリティポリシー、プライバシーポリシーを確立し、そのポリシーに応じた安全管理措置を設定されることです。このような作業を経て、採用された「安全管理措置」であれば、(1)に関して大きな問題はありません。(2)はどこまで貴社の主張が認められるか未知数です(今後の判例の積み重ねを見ていくしかありません)。
<< FAQ一覧に戻る
|
