ベネッセの個人情報流出事件で個人情報保護法に基づく行政処分
今回の情報流出は、最初は不正競争防止法の観点でしたが、先日、経済産業省が個人情報保護法に違反するということで、行政処分をしていました。
日本経済新聞電子版
ベネッセに再発防止徹底を勧告 経産省、情報漏洩で
2014/9/26 10:53 (2014/9/26 12:20更新)
http://www.nikkei.com/article/DGXLASDF26H01_W4A920C1EAF000/
小渕優子経済産業相は26日の記者会見で、ベネッセコーポレーションで大量の顧客情報が漏洩した問題を受け、同社に勧告処分を下すと発表した。個人情報保護法に基づいた処分。個人情報の保護体制を明確化するなどの対策を求める。
経産相は「個人情報の管理と情報セキュリティーの徹底により、再発防止策にしっかり取り組んでほしい」と述べた。経産相は同日、個人情報保護法の経済産業分野の指針と、所管する独立行政法人の情報処理推進機構がつくる指針を改正することも明らかにした。
この事件を巡っては、親会社のベネッセホールディングスの原田泳幸会長兼社長が17日、原因と再発防止策をまとめた最終報告書を小渕経産相に提出。データベースの保守や運用は、同社と情報セキュリティーの専門会社であるラックとの共同出資会社に移管するなどの再発防止策を報告していた。
経済産業省からの行政処分
経済産業省HP
ホーム>お知らせ>ニュースリリース>2014年度一覧>(株)ベネッセコーポレーションに対して個人情報保護法に基づく勧告を行いました
http://www.meti.go.jp/press/2014/09/20140926002/20140926002.html
本件の概要
経済産業省は本日、(株)ベネッセコーポレーションに対し、個人情報の保護に関する法律(以下「法」)第34条第1項の規定に基づき、法違反行為を是正するために必要な措置をとり、個人情報の漏えいの再発防止を徹底するよう勧告しました。
1.勧告事項
経済産業省が株式会社ベネッセコーポレーションに対し、法第32条の規定に基づき報告の徴収を行ったところ、法違反行為が認められたため、個人情報の漏えいの再発防止に向けて、委託先も含めた個人情報の保護に関する実施体制の明確化、および情報セキュリティ対策の具体化を行うよう勧告しました。
認定した違反行為は、個人情報の安全管理措置義務違反(法第20条)及び委託先の管理監督義務違反(法第22条)です。2.個人情報保護法に基づく措置
個人情報保護法(法第36条)においては、主務大臣の権限として下記のように規定しています。
○主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。(法第34条)経済産業省は本日、(株)ベネッセコーポレーションに対し、個人情報の保護に関する法律(以下「法」)第34条第1項の規定に基づき、法違反行為を是正するために必要な措置をとり、個人情報の漏えいの再発防止を徹底するよう勧告しました。
要するに「個人情報をきちんと管理していなかったのが違反ですよ」ということですね。
ちなみに、個人情報を5000件以上保有している場合に対象となります。したがって、それ以下の保有業者は個人情報保護法の対象外となります。
しかし、一般的に同等に取り扱われ、個人情報保護法の適用がなくても、民法などの一般則から、何らかの違法性がとわれるようになるので、小規模の事業者でも個人情報をしっかり管理してくださいよとなります。
個人情報の管理の意識が高まっている
最近どこの事業者のHPにも「プライバシーポリシー」なる表記がされています。
表記の法的義務はありませんが、公に宣言することで社会的信頼を得る効果があります。
事業者の皆さま、特に個人等の小規模事業者には、プライバシーポリシーをコピペして表記するだけでなく、しっかり中身を理解してほしいと思います。